전체메뉴

[애플경제 전윤미 기자] 지구촌 클라우드 네트워크에 치명적인 사이버 스파이 그룹 APT29가 기승을 떨고 있다. 특히 러시아 정보기관인 해외정보국(SVR)이 배후에 있는 것으로 의심되고 있어 더욱 주의가 필요하다는 전문가들의 경고다.

APT29는 클라우드 기반 환경과 MFA(다중요소인증)를 훼손하면서도, 좀체 잘 탐지되지 않는 수법을 구사해 클라우드 보안 전문가들의 ‘공적1호’가 되고 있다. 최근 영국 국립사이버보안센터(NCSC, National Cyber Security Center)와 각국 보안 당국에 따르면 이는 클라우드로 이동 중인 기업들을 주로 표적으로 삼고 있다.

이는 시스템에 대한 초기 액세스 권한을 얻기 위해 다양한 수법을 구사하며, 각국 정부나, 싱크탱크, 의료 및 에너지 공급업체, 항공사, 교육기관, 사법기관, 지자체와 지방의회, 금융기관, 군사 조직에 이르기까지 전방위적 공격을 퍼붓고 있다.

악명높은 APT29는 어떤 그룹?

APT29는 일명 ‘Cozy Bear’, ‘Midnight Blizzard’, ‘Dukes’로도 알려진 그룹이다. 특히 ‘2020 SolarWinds’의 배후로 널리 알려져있다. ‘2020 SolarWinds’는 네트워크의 취약점을 악용하고 각 분야에 엄청난 피해를 끼친 악명 높은 사이버 스파이 그룹이다. 특히 최근엔 마이크로소프트에 침투, 무차별적 비밀번호 공격으로 일부 기업 이메일 계정을 손상시키기도 했다.

특히 이 그룹은 기업이 클라우드 네트워크에 대한 초기 액세스 권한을 얻는 과정을 악용하곤 한다. 이는 사이버공격자들이 주로 온프레미스 디바이스를 대상으로 하던 공격 방식을 탈피, 클라우드로 그 무대를 옮기고 있음을 짐작케 한다.

APT29는 특히 휴면 계정이나 사람이 운영하지 않는 계정을 표적으로 삼고, 무차별적으로 비밀번호를 대입, 공격하는게 보통이다. 이른바 ‘인간 사용자’가 없기 때문에 MFA로 쉽게 보호할 수 없으므로 더욱 계정이 손상될 가능성이 크다.

특히 각종 서비스 계정은 관리를 담당하는 애플리케이션과 서비스에 따라 강력한 엑세스 권한을 갖는 경우가 많다. 만약 해커가 이런 계정에 대한 액세스 권한을 얻기만 하면, 네트워크에 대한 초기 액세스 권한을 부여받아 추가 공격을 이어갈 수 있다.

특히 NCSC는 “APT29는 또한 ‘MFA 폭격’을 통해 MFA 프로토콜의 약점을 악용하고 있다.”고 했다. 즉, 우연이든 아니든 피해자가 지쳐서 수락할 때까지 집요하게 피해자의 디바이스에 대한 인증 요청을 쏟아낸다. 때론 MFA를 우회한 후 해네트워크에 자신의 장치를 등록하고 피해 기업이나 조직의 시스템에 더 깊이 액세스할 수도 있다. 심지어는 “시스템에서 발급한 인증 토큰을 훔쳐 비밀번호 없이 피해자의 계정에 접근하는 것도 목격되었다.”는 얘기다.

APT29가 ‘탐지’를 피해 공격하는 수법

영국 사이버 보안업체인 ‘Darktrace’는 “APT29의 전술 변화가 클라우드 인프라 보안에 심각한 과제를 던져주고 있다.”면서 “클라우드로의 데이터나 워크로드 마이그레이션이 날로 증가하면서, 이를 악용하려는 사이버 범죄자들의 무대가 더욱 넓어진 셈”이라고 ‘테크리퍼블릭’에 밝혔다.

더욱이 클라우드 환경에는 사이버범죄자나 기업, 공공기관, 정부 등이 모두의 관심을 끄는 엄청난 양의 민감한 데이터가 포함되어 있기 마련이다. 그런 가운데 클라우드 인프라의 분산된 특성이나, 리소스 프로비저닝의 지연, 잘못된 구성 등으로 번번이 보안 문제가 발생하고 있다.

레지 프록시(Residential proxies)와 휴면 계정도 이들 해커에겐 매우 유용한 도구임이 밝혀졌다.

휴면 계정은 사용자가 구동하지 않고 방치해도 그래도 활성 상태가 계속된다. 그래서 휴면 계정의 경우 해커가 이에 대한 기업체나 조직이 비밀번호 재설정을 한다고 해도 얼마든지 악용할 수 있다. 휴면 계정이나 비활성 계정에 로그인하고 비밀번호 재설정 지침을 따르기만 하면 되기 때문이다.

해커는 또한 레지 프록시를 사용, 자신의 위치를 마스킹하고 네트워크 트래픽이 근처 IP 주소에서 발생하는 것처럼 위장하기도 한다. 그 때문에 피해 기업이나 조직으로선 의심스러운 네트워크 활동을 발견하기가 더 어려워진다. 그렇게 되면 의심되는 활동의 징후나 지표로 IP 주소를 활용하는 기존 사이버 보안 대책도 소용이 없다.

그래서 “클라우드 네트워크의 탐지 기능을 회피하면서 APT29 해커들은 은밀하게 활동을 펼칠 수 있다”는 것이다.

이같은 상황에서 클라우드 네트워크 보안은 ‘클라우드 시대’의 큰 과제가 되고 있다. 특히 클라우드를 도입한 기업이나 기관 등은 클라우드 보안을 클라우드 서비스 제공업체(CSP)의 책임으로 돌리는 경우가 많다. 그러나 “클라우드 보안은　CSP와 고객 기업이나 조직의 공동 책임”이라는게 전문가들의 지적이다.

NCSC “CSP와 고객, 클라우드 보안에 힘합쳐야”

사이버 보안업체인 ‘Darktrace’는 “많은 기업들이 CSP가 보안의 모든 측면을 처리할 것이라고 잘못 생각하고 있다. 그러나 CSP가 기본 인프라를 보호하는 동안, 고객도 나름대로 리소스, ID 및 액세스 관리, 애플리케이션 보안을 지켜야할 책임이 있다.”고 강조했다.

이에 따르면 특히 경영진이나 책임자들은 적절한 보안기술과 도구 및 프로세스에 과감히 투자함으로써 클라우드 보안에 충실해야 한다는 주문이다. 직원들에 대한 클라우드 아키텍처와 보안 교육은 말할 필요도 없다.

이에 NCSC는 “무엇보다 휴면 계정을 제거하고, 다단계 인증을 활성화하며, 의심스러운 활동을 모니터링하기 위한 ‘카나리아 계정’(위험 경고)을 생성, 클라우드 환경의 취약점을 해소해야 한다”고 촉구하고 있다. 이는 합법적인 것처럼 보이지만 실제로는 네트워크에서 의심스러운 활동을 모니터링하는 데 사용되는 계정이다.

이에 따르면 대표적으로 ▲MFA 구현, ▲ 강력하고 고유한 계정 비밀번호, ▲토큰 및 사용자 세션의 수명 단축 ▲시스템 및 서비스 계정에 대한 최소 권한 원칙 ▲각 계정에 대한 최소한의 액세스 수준 부여 등이 있다.

이 밖에도 승인된 디바이스만 네트워크에 자동으로 추가될 수 있도록 하며, 가능한 한 제로 터치 등록 정책을 구현해야 한다. 또 잠재적인 악성 코드를 예방, 감지 및 조사할 수 있도록 애플리케이션 이벤트나 호스트 기반 로그와 같은 다양한 정보 소스도 바람직하다.

NCSC는 “이런 최소한의 대책만 실천해도 손상된 계정으로 인한 잠재적 피해가 최소화되고 공격자가 얻을 수 있는 액세스 수준이 제한될 것”이라며 “진화하는 위협 환경에 대응하고 새롭게 등장하는 위협을 방어할 수 있는 올바른 기술과 인력, 프로세스를 갖추어야 한다”고 권했다.