[디지털데일리 홍하나기자] 조직의 핵심 업무 기능이 클라우드로 이전되고 있는 가운데 해커들은 레거시 프로토콜을 악용해 클라우드 어플리케이션 사용자들을 노리고 있다. 최근 다단계 인증으로 보호된 오피스365와 G스위트 계정이 대규모 인터넷 메시지 접속 프로토콜(IMAP) 기반 공격을 통해 해킹된 것으로 나타났다.

17일 국내 보안업체 이스트시큐리티와 미국 보안업체 프루프포인트에 따르면, 오피스365와 G스위트 사용자의 60%가 IMAP 기반 공격 타깃이 됐다. 그 결과, 공격을 받은 사용자 중 25%가 계정을 탈취 당했다.

이 해킹 기술은 기본 인증 IMAP 프로토콜이 다단계 인증을 우회하는 것을 악용했다. IMAP은 인터넷 메시지 접속 프로토콜로, 이메일을 이메일 서버에서 받아올 때 사용한다.

프루프포인트는 이번 공격을 IMAP 기반의 패스워드 스프레이 캠페인으로 명명했다. 이 공격은 다단계 인증으로 보호된 오피스365와 G스위트 계정을 해킹한다.

이스트시큐리티 측은 “이 공격은 주로 회사 임원이나 비서와 같은 공격가치가 높은 사용자들을 노렸다”며 “대부분의 해커들은 나이지리아 IP주소를 이용했다”고 설명했다. 이어 “성공적인 공격 중 40%가 나이지리아, 26%가 중국에서 발생했다”며 “모니터링 되고 있는 클라우드 사용자 계정 가운데 수백만 개에 약 10만 번의 로그인 시도가 발생했다”고 밝혔다.

그 결과, 72%의 사용자들이 최소한 한 번 이상의 공격 타깃이 됐다. 또 40%의 사용자들은 최소 한 번 이상 해킹 당했다.

프루프포인트 보고서에 따르면, 공격자들은 전 세계적으로 탈취한 수천 개의 취약한 라우터와 서버를 포함한 네트워크 장치를 공격 플랫폼으로 활용했다. 이를 활용해 평균 2.5일마다 새로운 피해자 계정에 접근한 것으로 나타났다.

공격자들은 이렇게 탈취한 클라우드 계정으로 조직 내부에 피싱 메일을 보내 악성 프로그램을 전파해 조직 전체를 감염시켰다.

그리고 이메일 전달 규칙 수정, 위임 설정을 활용해 액세스 상태를 유지하고 중간자 공격(MITM)을 이용했다. 중간자 공격이란 네트워크 통신을 하는 두 사람 사이에 중간자가 침입, 한쪽에서 전달된 정보를 도청 및 조작한 후 다른 쪽으로 전달하는 방식이다.

공격자가 탈취한 계정은 얼마든지 악용 가능하다. 특히 공개적으로 신뢰할 수 있는 계정이기 때문에 지하 시장에 판매되거나, 다른 회사에 피싱 캠페인을 보내거나 기업의 기밀 정보에 접근할 수 있다.

이러한 공격은 대학교, 고등학교 등의 교육기관이 취약하며 소매업, 금융업 등 다양한 분야의 회사들도 타깃이 될 수 있다. 또 공격자가 직원 급여 시스템이나 회사 은행 계정을 탈취할 경우 급여 지급 경로를 바꾸거나 재무 문서에 접근, 공격자의 계정으로 자금을 송금할 가능성도 충분하다.

이스트시큐리티는 “서비스 계정, 공유 메일 계정 관리자의 경우 취약한 비밀번호 사용을 지양하고 복잡한 비밀번호 규칙을 이용해야 한다”며 “계정 관리에 각별한 주의를 기울여야 한다”고 당부했다.

<홍하나 기자>hhn0626@ddaily.co.kr