Breaking
사이버 보안(Cybersecurity)
'오피스 365 계정' 탈취 공격, 한 달에만 150만 개 이상 악성 메일 발송시켜
2019-06-26 18:29:55
장희주
▲3월 한 달에만 침해된 오피스 365 계정에서 보내진 악성 및 스팸 이메일이 150여 개가 넘는 것으로 나타났다((사진=ⓒ플리커)

[라이헨바흐=장희주 기자] 보안 전문 업체 바라쿠다 네트웍스에 따르면 3월 한 달에만 침해된 오피스 365 계정에서 보내진 악성 및 스팸 이메일이 150여 개가 넘는 것으로 나타났다. 이러한 해킹 계정들은 '계정 탈취' 공격을 통해 발생한 것들로 계정 탈취 공격은 최근 빠르게 증가하고 있는 사이버 위협 가운데 하나다.

이번 조사에서 연구원들은 자사의 타깃 고객들을 대상으로 계정 탈취 사례를 분석했으며, 그 결과 한 달 만에 오피스 365 계정의 29%가량인 150만 건 이상이 사이버 공격자에 의해 해킹당한 것으로 나타났다. 이들 이메일은 모두 악성 스팸으로 간주했다.

'오피스 365 계정' 탈취 공격, 한 달에만 150만 개 이상 악성 메일 발송시켜

 

계정 탈취 공격

사이버 공격자들이 사용하는 수법과 관련해 연구원들은 해커들이 행하는 계정 탈취 공격에는 다양한 방법들이 존재한다는 결론을 내렸다. 예를 들면 이전 데이터 유출 공격으로 도용당한 계정 자격 증명 더미들에서 수집한 오래된 도난당한 계정의 자격 증명을 사용하는 방법이 있다. 물론 이러한 공격 방법은 잠재적 피해자들이 다른 여러 개의 계정에 자신의 로그인 증명으로 어떤 것을 사용하는지에 그 결과가 달라질 수 있지만, 대부분 많은 이용자가 동일한 계정 자격 증명을 사용하는 경향이 높기 때문에 해커들에게는 큰 이익이 될 수 있다.

또한 해커들은 개인 이메일에 도난당한 암호를 사용할 뿐만 아니라 비즈니스 이메일에도 접근하려 시도할 수 있다고 경고했다.

이외 또 다른 방법으로는 무차별 대입 공격이 있다. 바로 해당 계정에 맞는 암호가 나올 때까지 무차별로 다양한 유저네임과 암호를 조합해 시도하는 방식이다. 이 공격 역시 사용자들이 추측하기 쉽고 자주 변경하지 않는 단순한 암호를 사용하는 경향으로 인해 성공율이 높다. 이어 이 공격은 SMS를 포함한 웹 및 비즈니스 앱을 통해서도 발생할 수 있다.

계정 탈취 공격에는 이미 유출된 오래된 자격 증명을 사용하거나 무차별 대입을 통한 공격 기법이 이용된다.

높은 잠재 수익성

연구팀은 또한 전 세계 기업의 절반 이상이 이메일 시스템의 요구 사항으로 인해 오피스 365 계정에 가입돼있다며 이는 해커들이 글로벌 조직들 사이에서 오피스 365의 인기를 자신의 이익을 위해 활용하도록 만드는 요소가 된다고 분석했다.

이에 오피스 365의 계정을 탈취하는 것은 해커들에게 큰 이정표나 마찬가지로, 매우 큰 글로벌 조직이라 할지라도 공격할 수 있는 이점이 제공되기 때문이다. 게다가 회사 계정에 대한 접근으로 인해 민감하고 중요한 정보도 빼낼 수 있어 해커 입장에서는 큰 잠재 수익으로 연결될 수 있다.

▲해커들은 일단 계정을 탈취하면 더 민감한 데이터를 얻을 수 있는 목표물로 접근할 수 있다(사진=ⓒ123RF)

해커들의 정찰 업무

이 같은 방식으로 큰 기업의 이메일 접속에 성공한 사이버 해커들은 가장 먼저 해당 조직이 어떻게 사업을 운영하는지에 대한 필수적인 세부 사항을 찾는 것이 특징이다. 바로 즉시 회사를 공격하지는 않는 것으로 대신 기업의 활동을 감시하고 직원들과 경영진들의 이메일 로그인 자격을 훔쳐 이를 통해 재정 운영에 대한 정보를 추적한다. 이러한 정찰 업무를 통해 향후 타깃 목표 기업의 운영을 완전히 마비시킬 수 있는 대규모 사이버 공격에 대한 더 나은 기회를 가질 수 있기 때문이다.

연구팀은 또한 3건의 공격 가운데 1건은 공격자가 이메일을 통해 피해자를 유인, 그들의 계정 증명을 얻기 위해 직접 마이크로소프트(MS)인 척 가장한 것으로 나타났다고 설명했다. 그리고 범죄 현장에 흔적을 남기지 않기 위해 해킹된 계정을 사용해 보낸 이메일을 삭제하거나 숨기는 등의 기법도 활용했다. 실제로 업체의 이전 분석에 따르면 사이버 공격자들이 해킹한 4,000여 개의 계정 가운데 약 34%는 활동을 숨긴 것으로 밝혀졌다. 

이후엔 하위 계정의 자격 증명을 성공적으로 획득, 이어 더 민감한 데이터를 가진 조직의 임원 및 재무 부서 직원 계정 같은 고가치 타깃 목표물을 향해 나가는 것이다. 이 경우 대개 스피어피싱이나 브랜드 사칭을 통해 이루어진다.

이메일 보호 조치

이처럼 오피스 365 플랫폼에서 증가하고 있는 계정 탈취 공격과 관련해 연구원들은 오피스 365 이메일 시스템을 사용하는 기업의 경영진들이 더 많은 보호 조치를 취해야 한다고 경고했다. 만일 인공지능(AI)을 활용할 수 있는 충분한 여건이 되는 곳이라면 회사의 이메일 보안을 강화하는 데 적극적으로 사용하는 것도 좋은 방법이 될 수 있다. 그러나 AI 활용이 어렵다면 다중 요소 인증 시스템을 사용해 해커가 시스템에 침입하는 것을 방지할 수 있는 추가 보안 계층을 갖추는 것이 바람직하다.

[라이헨바흐=장희주 기자]