최근 마이크로소프트와 휴렛팩커드 엔터프라이즈(HPE)의 클라우드 기반 이메일 인프라가 침해되었다는 보도가 나오면서 사이버 보안 업계가 발칵 뒤집혔는데, 솔직히 여러 가지 이유가 있습니다! 2020년에 발생한 SolarWinds 해킹 사건을 기억하는 분들을 위해, 현재 Midnight Blizzard(일명 코지 베어, 노벨리움, APT29)로 더 많이 알려진 동일한 공격자들이 다시 해킹을 시도하고 있는 것으로 보입니다.
HPE와 Microsoft의 침해는 서로 며칠 만에 공개되었지만, 이 상황은 주로 이 위협 그룹이 러시아 대외정보국(SVR)과 밀접한 관련이 있으며 조직의 디지털 발자국과 자산 내 취약점을 지속적으로 악용하고 있다는 보고를 통해 미드나잇 블리자드의 국제 스파이 활동의 지속적인 실체를 강조하고 있습니다.
미드나잇 블리자드 운영자는 각각 개별 직원 사서함을 표적으로 삼고 비밀번호 스프레이 공격을 통해 HPE와 Microsoft의 클라우드 기반 이메일 환경에 접근했다는 점에서 두 사건에서 일관성이 있었습니다.
HPE는 해킹 그룹이 손상된 계정을 통해 액세스 권한을 얻은 후 "제한된 수"의 HPE 365 사서함에서 "데이터를 액세스하고 유출"했다고 밝혔습니다.
Microsoft의 경우, 공격자들은 초기 액세스 권한을 활용하여 Microsoft 기업 환경에 대한 높은 액세스 권한을 가진 레거시 테스트 OAuth 애플리케이션을 식별하고 침투했습니다. 이 애플리케이션을 익스플로잇하여 더 많은 악성 OAuth 애플리케이션을 생성할 수 있었고, 결국에는 권한이 있는 Microsoft 365 Exchange Online 역할을 부여할 수 있었습니다. 이 수법을 통해 공격자들은 시스템 내의 사서함에 액세스할 수 있었습니다.
위협을 가중시키기 위해 이 그룹은 세션 리플레이 공격을 사용하여 불법적인 방법과 액세스 브로커를 통해 획득한 도난 세션을 활용하여 클라우드 리소스에 대한 초기 액세스 권한을 확보하는 것이 관찰되었습니다.
위협 공격자가 피해자의 네트워크 내에서 OAuth 애플리케이션을 악용하는 것에 대해 경고한 Microsoft의 이전 연구와 공개 게시물을 고려할 때, 이러한 공격은 눈길을 끄는 동시에 흥미롭습니다. Microsoft는 2022년에 블로그 게시물에서 위협 공격자가 다단계 인증(MFA) 보호가 없는 조직의 클라우드 테넌트 계정에 대해 크리덴셜 스터핑을 사용한 공격에 대해 설명한 바 있습니다. 그 후, 위협 행위자는 클라우드 테넌트 계정에 대한 액세스 권한을 사용하여 악성 OAuth 앱을 만들어 피해자의 Exchange Online 인스턴스에 진입했습니다. 아이러니하게도 이 사례에서 Microsoft를 상대로 일어난 일과 전혀 다르지 않습니다.
이러한 사고가 발생하는 이유는 무엇인가요?
미드나잇 블리자드의 활동을 분석한 결과, 인증 메커니즘을 우회하고 표적에 침투하며 탐지를 피하기 위해 맞춤형 멀웨어와 공개적으로 액세스 가능한 변경된 도구를 혼합하여 사용하는 등 이 그룹의 정교함이 드러났습니다.
마이크로소프트는 IT 인프라에서 상당한 규모와 영향력을 가지고 있기 때문에 자주 표적이 되지만, 최근 마이크로소프트의 제품과 내부 시스템 모두에 대한 공격이 급증하고 있습니다. 비밀번호 스프레이를 이용한 이번 사건과 같은 공격은 다중 인증을 통해 완화할 수 있었으나, 이 조치가 구현되지 않은 것이 분명합니다. Microsoft는 강력한 사이버 위생의 중요한 구성 요소로 MFA를 지지합니다. 보안 에코시스템에서 차지하는 위치를 고려할 때 더 높은 수준의 책임을 지는 것이 필수적입니다.
Microsoft의 말에 따르면 "이번 공격은 Microsoft 제품이나 서비스의 취약점으로 인한 것이 아니었다"고 하는데, 이는 이 사건이 발생한 이유를 이해하는 데 중요한 맥락에서 중요합니다. 안타깝게도 Microsoft는 클라우드 환경과 인프라가 얼마나 제대로 보호되도록 구성되지 않았는지에 대한 책임을 져야 했습니다.
Microsoft 365 이메일 계정 탈취 공격의 희생양이 되는 것은 새로운 일이 아니며, 이번 사례는 HPE와 같은 업계 대기업도 클라우드 벡터를 통해 성공적으로 침투할 수 있다는 것을 보여주는 좋은 예입니다.
오늘날 대규모 다국적 IT 조직이 표적이 되는 것은 놀라운 일이 아니며, 특히 이 두 사건의 경우처럼 데이터 유출 및 도난과 관련된 경우에는 더더욱 그렇습니다. 그러나 더욱 우려스러운 추세는 이러한 조직이 클라우드 환경과 자산을 통해 표적이 되는 빈도가 증가하고 있다는 점입니다.
클라우드 컴퓨팅이 모든 형태와 규모의 기업에 확장성, 유연성, 성장, 협업을 제공하는 것과 마찬가지로 사이버 범죄자, 특히 고도로 숙련되고 동기가 부여된 국가 지원 공격자들이 연합 액세스 토큰을 탈취하거나 클라우드 자산이 잘못 구성되어 취약하거나 영리한 사회 공학 기술로 이메일 사용자를 흔들 수 있는 기회를 찾도록 유도합니다(실제로 이러한 기회는 많습니다). 클라우드 환경과 플랫폼의 상호 연결된 특성으로 인해 공격자는 이러한 노력 중 하나만 성공해도 충분히 공격에 성공할 수 있습니다.
무엇을 할 수 있나요?
이러한 사건은 모든 규모와 모든 분야의 조직에게 사이버 공격은 규모에 관계없이, 심지어 거대 기업을 포함한 모든 조직을 표적으로 삼을 수 있다는 점을 냉정하게 상기시켜야 합니다. 사실 모든 기업 플랫폼, 인프라 요소, 지원 기술은 잠재적인 공격의 주요 표적이 될 수 있습니다.
그러나 소중한 자산을 방어하거나 최소한 공격자의 작업을 어렵게 만들기 위해 활성화하고 채택해야 하는 기본적이고 타협할 수 없는 보안 기능 및 프로세스가 있습니다. 다음과 같은 것들이 있습니다:
- 가능한 모든 곳에서 MFA 적용
- 언제든지 취소할 수 있는 기능을 갖춘 OAuth 애플리케이션 및 토큰 감사(특히 '레거시'로 알려진 토큰)
- 보안 태세 관리(항상 놓치거나 간과할 수 있는 부분이 있기 마련이므로)
- 이상 징후를 모니터링하여 의심스러운 계정 행동(예: 새 애플리케이션 생성, 새/권한 있는 역할 할당, 데이터 유출)을 탐지합니다.
자세히 설명해 드리겠습니다:
구성 감사 및 상태 평가를 통해 MFA가 적용되지 않았을 수 있는 잘못된 구성을 식별하고 수정할 수 있습니다(예: 루트 Azure 보안 센터 수준)(그림 1).
그림 1. Microsoft Azure에 대한 구성 감사-Skyhigh Security
공격자는 악성 OAuth 애플리케이션을 활용하여 액세스를 중개하고 권한을 높여 경영진의 이메일이 저장된 기업용 Microsoft 테넌트로 넘어갈 수 있는 수준으로 끌어올렸습니다. 보안팀은 사용자 데이터에 액세스할 수 있는 연결된 OAuth 앱을 "치료, 감사, 허용 또는 차단"할 수 있어야 합니다.
앱 거버넌스를 유지하고 앱이 M365 내에서 기업 데이터와 상호 작용하는 방식을 제어하는 것은 매우 중요합니다(그림 2).
그림 2. 클라우드 커넥티드 앱-Skyhigh Security
ID(Entra ID) 및 M365 동작과 관련하여 보안 팀은 보안 역할 및 권한뿐만 아니라 Microsoft 365 환경 전반에서 이상 및 의심스러운 동작을 감지, 강조 표시 및 방지할 수 있는 기능이 필요합니다.
그림 3. 이상 징후-Skyhigh Security
참조: