현대의 인터넷과 IT 환경 내에는 여러 가지 ‘안전 표시’들이 존재한다. 트위터의 파란색 표시나 브라우저들의 자물쇠 아이콘 등이 대표적이다. 공격자들이 이 표시를 악용할 수 있게 된다면 무조건적인 신뢰를 거머쥘 수 있게 된다.

[보안뉴스 문정후 기자] 지난 해 말, 한 해킹 그룹이 마이크로소프트 클라우드 파트너 프로그램(Microsoft Cloud Partner Program, MCPP)을 통해 ‘공인 퍼블리셔’라는 지위를 획득하는 데 성공했다. 공격자들은 이를 통해 자신들의 악성 프로그램들을 정상적인 프로그램인 것처럼 유포했다. MS 애저가 제공하는 푸른색 ‘안전 표시’가 있기에 가능했다. 누구라도 이 안전 표시를 본다면 이들의 프로그램을 ‘정상’인 것으로 생각할 수밖에 없기 때문이다.

​

[이미지 = utoimage]

MCPP는 마이크로소프트가 운영하는 파트너 프로그램으로, 40만 개가 넘는 기업들이 여기에 가입되어 있다. 기업용 서비스와 솔루션들을 제공하는 곳들이다. MSP 기업들과 소프트웨어 개발사, 기업용 앱 개발사 등이 많이 포진되어 있다.

MS까지 속인 이 해킹 그룹의 행보를 처음 발견한 건 보안 업체 프루프포인트(Proofpoint)의 연구원들이다. 작년 12월 6일의 일이었다. 그리고 당시의 일을 계속해서 조사해 1월 31일 보고서를 발표했다. 이에 따르면 공격자들은 자신들이 부당하게 취득한 지위를 이용해 영국과 아일랜드 조직들의 클라우드 환경에 침투했다고 한다. 이들은 금융과 마케팅 분야 종사자들을 주로 노렸고, 이들에게 속은 기업들은 계정 탈취, 데이터 유출, BEC 공격 등에 당한 것으로 나타났다.

MCPP 공인 파트너가 되려면 8개의 조건을 충족시켜야 한다. 주로 기술적인 내용을 다루고 있지만, 그것은 서비스/솔루션의 품질이나 개발사의 역량, 수준 등과는 관련이 없다고 MS는 강조하고 있다. 실제 기업들 사이에서 어떻게 받아들여지는 지는 둘째치고 일단 MS는 회사의 수준이라는 걸 평가하고 따지지는 않는다는 것이다. 그 말은 어느 정도 사실인 것으로 보인다. 해커들까지도 통과했으니 말이다.

공격자들이 MS를 속인 방법에 대해서는 구체적으로 설명이 되지 않고 있다. 다만 다음과 같이 대략적인 얼개만 나오고 있다.

1) 정상적인 기업들을 흉내 낸 회사 이름을 사용해 퍼블리셔로 등록했다.

2) 그러면서 동시에 ‘공인 퍼블리셔’이름을 1)번과 비슷하게 따로 만들어 숨겨두었다.

3) 예시 : 등록된 회사 이름은 Acme LLC, 확인된 퍼블리셔 이름은 Acme Holddings LLC.

놀랍게도 이것만으로도 공인 퍼블리셔의 지위를 얻어낼 수 있었다고 프루프포인트는 설명한다.

(사실 이것만으로는 공격자들의 수법을 정확히 알기가 어렵다. 그러나 프루프포인트도 상세한 설명을 제공하지 않고 MS도 “피싱 공격 수법은 매일처럼 새로워지고 있어 일일이 파악하고 대비하기가 어렵다”고 말하는 데서 그쳤다. 또한 “MS 고객들 중 이 사건으로 피해를 입은 곳은 적은 편”이라고도 설명을 추가했다.)

해커들은 어떤 식으로 사용자들을 속였나?

비교적 간단하게 ‘공인 파트너’의 지위를 확보한 공격자들은 곧바로 악성 오오스(OAuth) 앱들을 ‘공식 인증’을 받은 것처럼 꾸며서 퍼트리기 시작했다. 오오스는 ‘오픈 인증(open authorization)’의 준말로, 토큰을 기반으로 하고 있으며 사용자들이 매번 로그인을 하지 않고도 서드파티 애플리케이션들 간 데이터 공유를 승인할 수 있도록 해 준다. ‘구글 계정으로 로그인’, ‘페이스북 계정으로 로그인’과 같은 서비스들이 오오스를 이용해 만들어진 것이라고 볼 수 있다. 인터넷 사용자들이라면 이제 이 오오스에 자기도 모르게 익숙해져 있으며, 그래서 비슷한 인터페이스만 떠도 별 고민 없이 ‘허용’ 버튼을 누른다. 공격자들이 노린 것도 바로 이 심리라고 볼 수 있다.

최근 사이버 공격자들 사이에서 악성 오오스 앱들을 이용해 멀웨어를 퍼트리는 전략이 꽤나 큰 인기를 얻고 있다. 오오스 앱들을 살짝 조작함으로써 피해자 계정에 대한 접근 권한을 광범위하게 얻어내는 것이 목적이다. “사용자들이 권한을 허용하도록 미끼를 던지는 데에 오오스가 사용되는 거라고 볼 수 있습니다. 이를 ‘동의(허용) 피싱 공격(consent phishing)’이라고도 합니다.”

결국 피해자는 이중 덫에 걸려든 것이나 다름이 없다. 하나는 MS가 인증했다는 ‘안전 표시’, 그리고 다른 하나는 너무나 익숙해진 오오스 앱들이다. “심지어 이 공격자들은 일반 사용자들에게 너무나 익숙한 줌(Zoom) 아이콘과 줌 회의 공간 주소와 비슷한 URL들을 추가로 활용하기도 했습니다. 몇 겹이나 ‘익숙함의 덫’을 놓은 것이죠. 요즘 피싱 공격자들은 사람들이 뭐에 익숙한지를 낱낱이 알고 있습니다. 그리고 의심을 하더라도 한두 번만 하지 서너 번까지 의심하지 않는다는 것도 알고 있죠.”

이런 덫에 걸려 넘어진 피해자들은 공격자들이 받은 편지함이나 캘린더 등 일부 정보에 접근하도록 허용하게 됐다. 그 외에도 공격자들이 유포한 악성 오오스 앱들이 피해자들로부터 어떤 권한을 요구했느냐에 따라, 공격자들은 피해자들의 계정과 시스템에서 여러 가지 악성 행위를 실시할 수 있었다.

앞으로 어떻게 방어해야 할까?

마이크로소프트는 이러한 공격자들의 수법을 12월 15일에 알게 됐다. 그리고 즉시 공격자들의 계정들과, 그 계정과 얽힌 모든 애플리케이션들을 비활성화시켰다. 그런 후 내부 조사 팀을 꾸려 사건을 더 깊이 파헤치기 시작했다. MS는 “MCPP 검증 과정을 좀 더 철저히 하여 이런 일이 재발하지 않겠다”고 말하며 “이미 몇 가지 장치들을 추가한 상황”이라고 알렸다.

프루프포인트의 연구원들은 악성 애플리케이션들을 탐지하는 솔루션들을 구축하는 한 편, ‘동의 피싱 공격’이라는 수법 - 특히 요즘 유행하는 오오스 관련 수법들 -에 대하여 교육을 실시할 필요가 있다고 권장한다. “여러 방법들이 동원됐지만 결국 본질은 피싱 공격입니다. 서드파티 오오스 앱들이 권한을 요구할 때 허용해주지 말아야한다는 걸 기억하면 막을 수 있는 공격인 겁니다. 누가 서명을 했건 과도한 권한을 요구한다 싶으면 응해주지 말아야 합니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트

[국제부 문정후 기자(globoan@boannews.com)]​ 

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=113922&page=2&mkind=1&kind=1)]