사이버 보안 기업 프루프포인트(Proofpoint) 사이버 위협 연구원의 조사에 따르면, 리버스 프록시(reserve proxy) 아키텍처에 기반한 피싱 도구인 EvilProxy를 사용해 글로벌 유수 기업 고위 임원들과 관련된 클라우드 계정 탈취(ATO) 공격 사례가 100% 이상 급증한 것으로 조사됐다. 

주요 내용은 다음과 같다. 

프루프포인트의 지난 5개월간 연구한 결과에 따르면, 글로벌 유수 기업 고위 임원들과 관련된 클라우드 계정 탈취(ATO) 공격 사례가 100% 이상 급증한 것으로 나타났다. 글로벌 100여 개 기업에 소속된 직원 150만 명이 ATO 공격 타깃이 되었다. 

공격자들은 리버스 프록시(reverse proxy) 아키텍처에 기반한 피싱 도구인 EvilProxy를 사용했는데, EvilProxy는 다중인증(MFA)이 설정된 자격증명(credential) 정보와 세션 쿠키 데이터 등을 유출하는 데 사용될 수 있다.

최근 MFA를 채택하는 조직이 증가하는 추세에 대응하기 위해 공격자들이 계정 탈취(ATM) 수법과 다단계 중간자(AitM) 피싱을 결합하여 사이버 공격 수위가 나날이 높아지고 있다.

공격자들은 사용자 정보와 계정을 탈취하기 위해 끊임없이 새로운 수법을 고안한다. MFA를 비롯한 새 보안 상품이나 방식이 나올 때마다 수법도 바꿔나간다. 이번 연구 결과를 보면 알 수 있듯이, 보안 방어를 우회하기 위해 다양한 이메일, 클라우드 공격 형태가 생겨나고 있다. 따라서 MFA가 모든 사이버 공격을 해결하는 만병통치약은 아니라고 할 수 있다.

최근 부상하고 있는 EvilProxy 등 리버스 프록시 공격은 상대적으로 파급력이 적었던 과거의 피싱 키트 공격을 앞지르고 있다. 우선 리버스 프록시 공격 빈도가 급증했고, 조직의 방어 전략에서도 현격한 격차를 보이고 있다. 그러한 이유로 공격자들은 편리한 첨단 피싱 키트를 빠르게 개발하여 하이브리드 공격의 속도와 효율을 높이고 있다.

초기 공격 벡터는 이메일이었지만, 공격자들은 침투를 통해 클라우드 계정, 자산, 데이터 탈취를 최종 목표로 한다. 'VIP' 사용자 계정에 침투하면 공격자는 지속성(persistence)을 확보하여 얻고자 하는 정보를 수집하고 무단 계정 접근을 시도한다.

공격자들은 공격 마지막 단계에 측면 이동(lateral movement), 멀웨어 배포 등 다양한 수법을 동원한다. 사전에 타깃 조직의 문화, 조직도, 업무절차를 입수해서 연구하여 공격 성공 확률을 높이는 것으로 알려져 있다. 한편, 공격자들은 금융사기, 데이터 유출, 서비스형 해킹(Hacking-as-a-Service, HaaS) 거래 참여, 침투 계정 접근 권한 판매 등 계정 접근을 기반으로 현금화 작업도 벌이는 것으로 나타났다.

분석 자료는 프루프포인트 블로그 혹은 데일리시큐 자료실에서 다운로드 가능하다. 

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★