전체메뉴

[애플경제 이윤순 기자] 최근 해커들은 회의와 모임, 행사 등에 널리 사용하고 있는 마이크로소프트 팀즈(Microsoft Teams)를 악용, ‘이메일 폭격’을 가하고 있어 주의가 요망된다. 유명 보안업체 ‘소포스’(Sophos)에 따르면 사이버 범죄자들은 소위 ‘기술 지원 요원’으로 가장, 피싱을 가하는 수법으로 ‘팀즈’를 악용하고 있다.

이에 따르면 ‘STAC5143’과 ‘STAC5777’이라는 두 그룹의 범죄 클러스터가 나선 것으로 알려졌으며, 지난해 11월과 12월부터 이들의 활동 상황이 적나라하게 드러났다. 두 클러스터 모두 이같은 공격을 위해 자체적인 마이크로소프트 365 테넌트를 사용했다. 이들은 특히 외부 도메인의 사용자가 내부 사용자와 채팅이나 회의를 시작할 수 있도록 하는 ‘팀즈’의 기본 특성을 악용했다.

지난 2주 간 집중적인 공격 징후 파악

‘팀즈’는 이제 웬만한 기업이나 조직에선 업무와 경영의 필수 도구가 되다시피하고 있다. 특히 ‘팬데믹’을 거치면서 더욱 이는 일상화되었다. 그런 ‘팀즈’마저 사이버공격자들의 해킹 루트가 되고 있다는 점에서 이는 충격을 안겨주고 있다.

STAC5143은 이전에 보고되지 않은 위협이지만 STAC5777은 이미 MS가 식별, ‘Storm-1811’로 이름붙인 바 있다. STAC5143은 또 FIN7, ‘Sangria Tempest’ 또는 ‘Carbon Spider’로 불리는 해커 집단과 연결되어 있을 것으로 추정되고 있다.

앞서 ‘소포스’는 이미 지난 3개월 동안 이러한 ‘팀즈’ 공격과 관련된 15건 이상의 징후를 파악했으며, 그 중 절반은 지난 2주 동안 집중적으로 이뤄졌다고 알렸다.

이같은 이메일 폭격은 새로운 기술은 아니다. 그러나 무료 메일이 증가하고 있는 점을 악용, 기왕의 유료인 도구와 사용자를 무료 이메일 구독 목록에 가입시킬 것처럼 속이는 ‘메일 폭격’이 증가하고 있다. “이러한 스패밍 기술은 다양한 목적을 가진 광범위한 공격에 사용되는데, 사용자에게 전송되는 수백, 수천 개의 이메일 뒤에 숨어 암약하는 점이 특징”이라는 경고다.

그러나 안타깝게도 기존 보안 도구로는 이런 스팸 이메일을 인식하지 못한다. 그 때문에 좀체 이를 적발해내기가 어렵다. 그렇다고 대규모로 이메일을 차단할 경우, 꼭 필요한 정상적인 이메일까지 차단되기 때문에 더욱 어려움이 크다.

“기술지원 제공” 메시지는 철저 차단해야

일단 전문가들은 “모든 사내 구성원들은 소위 ‘기술 지원을 제공한다’는 식의 내용의 이메일로 접근하는 범죄자들에게 속지 않아야 한다”면서 “이를 위해 기업들은 사내 ‘헬프 데스크’를 운요하거나, 전문 보안 팀을 중심으로 한 적절한 피드백과 소통 시스템이 구축되어야 할 것”이라고 조언한다.

특히 직원들이 사내에서 사용하는 원격 액세스 도구에 대해 정확히 인식하는 것도 중요하다. 또한 승인된 도구 목록을 만들고, 직원들이 그 안에 무엇이 있는지 잘 파악하고 있는지를 확인하는 것도 중요하다. “그것만으로도 ‘팀즈’를 악용한 공격을 방어하는 데 도움이 될 수 있다”는 것이다.

‘소포스’도 “특히 모든 기업체 구성원들은 이같은 위협을 탐지하고 차단하기 위해 ‘팀즈’를 악용하느 수법에 대해 철저히 인식해야 할 것”이라며 “특히 MS Office 365 플랫폼을 사용하는 기업의 경우 더욱 각별한 인식과 교육이 필요하다”고 주문했다.