클라우드 컴퓨팅 기반 고객관계관리(CRM) 전문업체인 세일즈포스닷컴의 계정을 노린 금융정보탈취용 악성코드 '제우스' 변종이 발견됐다.
클라우드(SaaS) 영역에서도 악성코드가 등장하기 시작한 것이다.
20일(현지시간) 미국 지디넷 등 외신에 따르면 보안회사 애덜롬은 제우스의 변종이 SaaS 애플리케이션을 사용자들을 노리고 있으며, 실제로 몇 주 전에는 세일즈포스닷컴 사용자 계정 탈취를 노린 공격이 발견됐다고 밝혔다.
애덜롬 보안연구팀은 해당 제우스 변종을 '지뢰밭(landmines)'이라고 명명했다. 이 악성코드는 특정 PC의 행위를 통해 실행되며 공격 목표로 회사로부터 데이터를 유출시킨다.
연구팀에 따르면 세일즈포스닷컴 자체 보안취약점을 악용한 것이 아니다. 대신 사용자들 PC와 웹사이트 간 인증 과정을 노렸다.
이 악성코드는 짧은 시간 동안 수백가지 조회 작업을 수행한다. 비정상적인 행동은 사용자 PC를 통해 추적된다. 해당 PC는 윈도XP 혹은 구형 인터넷 익스플로러 버전을 사용했다.
제우스 변종(W32/Zbot)은 직원들이 가정에서 사용하는 PC로 세일즈포스닷컴에 접속할 때를 기다린다. 예를 들어 사용자들이 세일즈포스 인스턴스로부터 데이터를 사용하기 위해 '*.my.salesforce.com'에 연결될 때 정보를 훔쳐낸다.
이렇게 내부 시스템에 접속한 악성코드는 세일즈포스 계정 인스턴스를 실시간으로 복사하며 회사 계정 내 모든 데이터를 유출시킨다.
관련기사
- "세일즈포스, 오픈스택 합류"…왜?2014.02.21
- SaaS 시대, CFO-CIO 겸직도 가능한 이유2014.02.21
- 인스타그램 '좋아요' 조작 사업 성행2014.02.21
- SaaS 시대, 클라우드 보안 필수요건은...2014.02.21
이 공격은 세일즈포스닷컴 사용자를 대상으로 하고 있다. 따라서 다른 SaaS 기반 애플리케이션들도 공격 대상이 될 수 있다.
아미 루트왁 애덜롬 최고기술책임자(CTO)는 SaaS 애플리케이션 자체는 안전하다고 하더라도 관리되지 않은 기기에서 해당 애플리케이션이 사용될 때 문제가 생길 수 있다고 말했다.