2020.05.28

클라우드 기반 협업 툴 노린 위협, 4개월 만에 1,350% 증가

Lucian Constantin | CSO
코로나19 팬데믹으로 많은 기업이 각국 정부의 외부 활동 관련 규제에 따라야 하는 상황에 처했다. 기업은 클라우드 서비스의 신속한 도입과 통합, 특히 클라우드 기반 협업 툴과 화상회의 플랫폼의 도입으로 즉각 대응했다. 하지만 맥아피의 새로운 보고서에 따르면, 해커 역시 이런 변화에 대응해 움직이고 있으며, 클라우드 계정을 노린 공격이 증가하고 있다.
 
ⓒ Getty Images Bank

맥아피는 자사 MVISION 클라우드 보안 모니터링 플랫폼 기업 사용자 3,000만 명의 1~4월 클라우드 사용량 데이터를 취합 및 분석한 결과, 전 산업군에 걸쳐 클라우드 서비스 도입이 50% 증가한 것으로 추정했다. 하지만 일부 산업군은 증가율이 더 높은데, 제조는 144%, 교육은 114%이다. 

몇몇 협업 및 화상회의 툴의 증가율은 특히 높았는데, 시스코 웹엑스 600%, 줌 350%, 마이크로소프트 팀즈 300%, 슬랙 200% 순이다. 여기서도 제조와 교육 산업군이 상위를 차지했다.

이런 클라우드 서비스 도입의 증가는 충분히 이해할 수 있는 일이고, 재택근무 상황에서 업무 생산성을 높일 수 있는 좋은 방안으로 평가할 수 있다. 문제는 보안 위험 역시 함께 증가한다는 것이다. 맥아피의 데이터에 따르면, 관리되지 않는 디바이스로부터 기업 클라우드 계정으로 향하는 트래픽이 두 배나 증가했다.

보고서는 “비관리 디바이스에서 민감한 데이터를 복구할 방법이 없다. 따라서 이렇게 증가한 액세스는 보안팀이 디바이스 종류에 따라 클라우드 액세스를 통제하지 않으면, 데이터 손실 사고로 이어질 수 있다”고 지적했다.

공격자도 클라우드 서비스의 빠른 도입을 눈치채고 이런 상황을 악용하고자 한다. 맥아피에 따르면, 클라우드 서비스를 노린 외부 위협의 수가 같은 기간에 630% 증가했다. 공격이 가장 많이 집중된 곳은 협업 플랫폼이다. 

보고서는 의심스러운 로그인 시도와 액세스를 비정상 위치에서의 과도한 사용과 의심스러운 초인간 두 개 범주로 나누었다. 두 범주 모두 분석 기간에 비슷한 폭증과 증가 패턴을 보였다.

비정상 위치에서의 과도한 사용 범주는 기업의 프로파일을 고려할 때 비정상적인 위치로부터 성공적으로 로그인한 경우를 말한다. 이렇게 로그인한 사용자는 대량의 데이터에 액세스하거나 많은 특권 작업을 수행한다. 의심스러운 초인간 범주는 동일한 사용자가 지리적으로 먼 거리의 두 위치에서 짧은 기간에 로그인하는 것을 말한다. 예를 들어, 한 사용자가 한국 IP 주소로 어떤 서비스에 로그인한 후, 몇 분 뒤에 미국 IP 주소를 사용해 다른 서비스에 로그인한다면, 의심스러운 초인간 범주에 해당한다.

운송과 물류, 교육, 공공기관은 클라우드 계정에서 탐지된 위협 사건이 가장 많이 증가했다. 운송과 물류 산업에서 이런 위협은 무려 1,350%가 증가했으며, 교육(1,114%), 공공기관(773%), 제조(679%), 금융(571%), 에너지(472%)가 뒤를 이었다.

외부 공격의 근원지는 IP 주소를 기준으로 보면, 태국, 미국, 중국, 인도, 브라질, 러시아, 라오스, 멕시코, 뉴칼레도니아, 베트남의 순으로 많았다. 또 이들 공격의 대다수는 이번 기회를 노린 것으로 보이며, 기본적으로는 훔친 인증서를 사용해 클라우드 계정에 대한 액세스를 무작위로 시도한다. 몇몇 눈에 띄는 산업군, 특히 금융 서비스는 외부 위협의 주 대상이 된다. 이런 타깃 공격은 중국과 이란, 러시아에 근원을 둔 경우가 많다. 

유출되거나 훔친 사용자 이름과 패스워드의 조합으로 계정 액세스를 얻고자 하는 크리덴셜 스터핑(Credential Stuffing) 공격의 빈도는 최근 몇 년 동안 눈에 띄게 증가했다. 흔히 서드파티 데이터 유출에서 나온 중고 자격증명을 이용하거나 패스워드를 재사용하는 나쁜 관행을 악용하는 것이다.

아카마이의 올해 초 보고서에 따르면, 2017년 12월부터 2019년 11월까지 2년 동안 전 세계 조직을 대상으로 한 인증 악용 공격은 854억 건이며, 이 중 4억 7,300만 건은 금융 산업군을 노린 것이었다.

맥아피는 기업이 직원의 클라우드 계정을 보호하고 승인되지 않은 액세스를 방지하는 방안으로 클라우드 기반 보안 게이트웨이 도입해 VPN으로 트래픽을 경유하지 않아도 되도록 하거나 디바이스 점검과 계정 통제에 클라우드 액세스 보안 브로커 플랫폼을 사용해 엄격한 정책을 적용할 것을 권장했다. 특히 직원이 개인 디바이스로 기업 SaaS 애플리케이션에 액세스한다면, 민감한 정보에는 조건부 액세스를 적용해야 한다. editor@itworld.co.kr


2020.05.28

클라우드 기반 협업 툴 노린 위협, 4개월 만에 1,350% 증가

Lucian Constantin | CSO
코로나19 팬데믹으로 많은 기업이 각국 정부의 외부 활동 관련 규제에 따라야 하는 상황에 처했다. 기업은 클라우드 서비스의 신속한 도입과 통합, 특히 클라우드 기반 협업 툴과 화상회의 플랫폼의 도입으로 즉각 대응했다. 하지만 맥아피의 새로운 보고서에 따르면, 해커 역시 이런 변화에 대응해 움직이고 있으며, 클라우드 계정을 노린 공격이 증가하고 있다.
 
ⓒ Getty Images Bank

맥아피는 자사 MVISION 클라우드 보안 모니터링 플랫폼 기업 사용자 3,000만 명의 1~4월 클라우드 사용량 데이터를 취합 및 분석한 결과, 전 산업군에 걸쳐 클라우드 서비스 도입이 50% 증가한 것으로 추정했다. 하지만 일부 산업군은 증가율이 더 높은데, 제조는 144%, 교육은 114%이다. 

몇몇 협업 및 화상회의 툴의 증가율은 특히 높았는데, 시스코 웹엑스 600%, 줌 350%, 마이크로소프트 팀즈 300%, 슬랙 200% 순이다. 여기서도 제조와 교육 산업군이 상위를 차지했다.

이런 클라우드 서비스 도입의 증가는 충분히 이해할 수 있는 일이고, 재택근무 상황에서 업무 생산성을 높일 수 있는 좋은 방안으로 평가할 수 있다. 문제는 보안 위험 역시 함께 증가한다는 것이다. 맥아피의 데이터에 따르면, 관리되지 않는 디바이스로부터 기업 클라우드 계정으로 향하는 트래픽이 두 배나 증가했다.

보고서는 “비관리 디바이스에서 민감한 데이터를 복구할 방법이 없다. 따라서 이렇게 증가한 액세스는 보안팀이 디바이스 종류에 따라 클라우드 액세스를 통제하지 않으면, 데이터 손실 사고로 이어질 수 있다”고 지적했다.

공격자도 클라우드 서비스의 빠른 도입을 눈치채고 이런 상황을 악용하고자 한다. 맥아피에 따르면, 클라우드 서비스를 노린 외부 위협의 수가 같은 기간에 630% 증가했다. 공격이 가장 많이 집중된 곳은 협업 플랫폼이다. 

보고서는 의심스러운 로그인 시도와 액세스를 비정상 위치에서의 과도한 사용과 의심스러운 초인간 두 개 범주로 나누었다. 두 범주 모두 분석 기간에 비슷한 폭증과 증가 패턴을 보였다.

비정상 위치에서의 과도한 사용 범주는 기업의 프로파일을 고려할 때 비정상적인 위치로부터 성공적으로 로그인한 경우를 말한다. 이렇게 로그인한 사용자는 대량의 데이터에 액세스하거나 많은 특권 작업을 수행한다. 의심스러운 초인간 범주는 동일한 사용자가 지리적으로 먼 거리의 두 위치에서 짧은 기간에 로그인하는 것을 말한다. 예를 들어, 한 사용자가 한국 IP 주소로 어떤 서비스에 로그인한 후, 몇 분 뒤에 미국 IP 주소를 사용해 다른 서비스에 로그인한다면, 의심스러운 초인간 범주에 해당한다.

운송과 물류, 교육, 공공기관은 클라우드 계정에서 탐지된 위협 사건이 가장 많이 증가했다. 운송과 물류 산업에서 이런 위협은 무려 1,350%가 증가했으며, 교육(1,114%), 공공기관(773%), 제조(679%), 금융(571%), 에너지(472%)가 뒤를 이었다.

외부 공격의 근원지는 IP 주소를 기준으로 보면, 태국, 미국, 중국, 인도, 브라질, 러시아, 라오스, 멕시코, 뉴칼레도니아, 베트남의 순으로 많았다. 또 이들 공격의 대다수는 이번 기회를 노린 것으로 보이며, 기본적으로는 훔친 인증서를 사용해 클라우드 계정에 대한 액세스를 무작위로 시도한다. 몇몇 눈에 띄는 산업군, 특히 금융 서비스는 외부 위협의 주 대상이 된다. 이런 타깃 공격은 중국과 이란, 러시아에 근원을 둔 경우가 많다. 

유출되거나 훔친 사용자 이름과 패스워드의 조합으로 계정 액세스를 얻고자 하는 크리덴셜 스터핑(Credential Stuffing) 공격의 빈도는 최근 몇 년 동안 눈에 띄게 증가했다. 흔히 서드파티 데이터 유출에서 나온 중고 자격증명을 이용하거나 패스워드를 재사용하는 나쁜 관행을 악용하는 것이다.

아카마이의 올해 초 보고서에 따르면, 2017년 12월부터 2019년 11월까지 2년 동안 전 세계 조직을 대상으로 한 인증 악용 공격은 854억 건이며, 이 중 4억 7,300만 건은 금융 산업군을 노린 것이었다.

맥아피는 기업이 직원의 클라우드 계정을 보호하고 승인되지 않은 액세스를 방지하는 방안으로 클라우드 기반 보안 게이트웨이 도입해 VPN으로 트래픽을 경유하지 않아도 되도록 하거나 디바이스 점검과 계정 통제에 클라우드 액세스 보안 브로커 플랫폼을 사용해 엄격한 정책을 적용할 것을 권장했다. 특히 직원이 개인 디바이스로 기업 SaaS 애플리케이션에 액세스한다면, 민감한 정보에는 조건부 액세스를 적용해야 한다. editor@itworld.co.kr


X