[아이뉴스24 최은정 기자] '해커가 IT인프라 관리 소프트웨어 기업 '솔라윈즈'를 겨냥했던 공급망 공격을 통해 마이크로소프트(MS) 365 서비스에 침투했다는 주장이 제기됐다.'
MS 365를 사용하는 기업들의 주의가 요구된다.
22일 보안기업 파이어아이에 따르면 지난달 솔라윈즈에 공급망 공격을 감행한 해커 그룹이 MS 내부 네트워크를 거쳐 MS 365 클라우드 서비스에 침입한 것으로 파악했다.
주로 기업·기관용으로 쓰이는 제품인 솔라윈즈 SW를 MS가 다운로드하는 과정에서 사내 네트워크에 악성코드가 흘러 들어갔고, 이것이 이번 사건의 시초인 것으로 추정되고 있다.
파이어아이 측은 네트워크에 악성코드 형태로 잠입해 있던 해커가 액티브 디렉토리(AD)를 악용하거나 MS 라이선스 관리자 계정을 훔치는 등 방법으로 MS 365 서비스에 접근한 것으로 분석했다.
AD는 기업이 윈도 환경에서 쓰는 기술로, 임직원들의 PC 보안을 위해 해당 PC를 묶어서 관리하는 기술을 말한다. AD 권한을 탈취하면 여기에 묶인 PC들을 모두 들여다볼 수 있어 해커들이 가장 선호하는 공격 요소로도 꼽힌다.
특히 이번 해커는 일반 사용자가 AD에 접속할 때 인증하는 절차인 AD FS(Federation Services) 토큰 서명 인증서를 위조했다. 이를 악용해 해커는 정상적인 사용자가 AD에 인증해 접속하는 것처럼 속일 수 있었다는 분석이다.
앞서 파이어아이는 솔라윈즈 공격 캠페인을 'UNC2452'로 명명하고, 미국 정부 등과 협력해 이를 지속 추적·분석하고 있다. UNC2452 배후에는 러시아 해킹 그룹이 있을 것으로 업계는 추정하고 있다.
회사는 이번 발표와 더불어 공격 단계 등을 담은 상세 보고서를 공개하기도 했다.
파이어아이 측은 "통상 해커는 초기에 침투한 이후 사내 네트워크 환경 내에서 이동하지만 UNC2452는 내부 네트워크에 접근한 후 권한을 획득하고, 이를 악용해 클라우드 서비스까지 침해했다"며 "해커가 MS 365를 사용하는 기업들의 계정을 획득하려는 시도를 포착한 사례가 있으니 주의가 필요하다"고 강조했다.
최은정 기자 ejc@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기