해커가 비밀번호 없이도 클라우드 서비스에 있는 누군가의 데이터에 접근할 수 있다? 이미 현실화된 얘기다.
6일(현지시간) 지디넷에 따르면 미국 라스베이거스에서 열린 블랙햇 해킹 컨퍼런스에서 보안 업체 임퍼바는 해커가 공격하려는 사용자의 비밀번호 없이도 클라우드 스토리지 서비스에서 파일을 마음대로 가져오거나 악성코드로 감염시킬 수 있는 이른바 '맨인더클라우드'(man-in-the-cloud) 공격에 대해 발표해 눈길을 끌었다. 피해자는 해커가 자신의 계정에 들어와 파일을 가져가더라도 상황을 파악하기가 어렵다고 한다.
'맨인더클라우드'는 두 서버간 또는 서버와 사용자 사이에서 정보를 중간에 가로채는 전통적인 '맨인더미들' 공격과는 다르다. 구글, 박스, 마이크로소픝, 드롭박스를 포함한 많은 파일 동기화 서비스 디자인에 존재하는 한 취약점을 활용한 공격 방법이라고 지디넷은 전했다. 취약점과 관련한 구체적인 내용은 언급되지 않았다.
'맨인더클라우드'는 개인 사용자들 만의 이슈가 아니다. 클라우드 서비스를 쓰는 기업들도, 공격 대상이 될 수 있다. 공격 프로세스는 다음과 같다. 공격은 패스워드 토큰을 공격자가 확보하면서 시작된다.
패스워드 토큰은 사용자가 쓰는 기기에 있는 작은 파일이다. 패스워드 토큰을 통해 사용자는 클라우드 서비스 접속 시 매번 비밀번호를 칠 필요가 없다. 공격자는 피싱이나 웹사이트 접속 시 악성코드를 내려받게 하는 '드라이브 바이 잇스플로잇' 공격 등을 통해 획득한 토큰을 갖고 자신의 기기가 계정 소유자의 것인 것처럼 위장할 수 있다. 공격 대상자가 클라우드 스토리지에 올려놓은 파일을 훔치는 것은 물론 추가 공격을 위해 악성코드나 랜섬웨어도 사용자 폴더에 추가할 수 있다.
이 과정에서 계정 소유자는 해커를 막기 어렵다. 토큰은 사용자 기기에 긴밀하게 연결돼 있고, 사용자가 계정 비밀번호를 바꾼다고 공격자를 막을 수는 없을 것이라고 지디넷은 전했다.
임퍼바의 아미차이 슐만 최고기술책임자(CTO)는 이번주초 지디넷과의 전화 통화에서 "공격자들은 공격이 탐지되는 방법을 찾고 있다. 현실에선 이미 이런일이 일어나고 있다"고 말했다. 지능형 사이버 공격 방어 기술 제공 업체 파이어아이가 최근 공개한 보고서에 따르면 러시아 해킹 그룹 APT29는 첨단 악성코드 툴인 해머토스(Hammertoss)를 사용해 피해자 정보를 빼돌리고 있는 것으로 밝혀졌다. 파이어아이 연구진들은 이들이 정보를 빼돌리는 데 사용한 것은 트위터, 깃허브(GitHub), 클라우드 스토리지 등 합법적 웹 서비스이기 때문에 피해자 네트워크 상에서 악성코드와 합법적 트래픽을 구분하는 것이 다른 해킹공격보다 더 어렵다고 전했다.
관련기사
- 안드로이드폰 지문정보 훔치는 공격법 공개2015.08.07
- 애플, OS X 치명적 보안결함 패치2015.08.07
- 트위터 사용한 러시아 해킹그룹 활동 내역 공개2015.08.07
- 삼성-구글, 월 1회 안드로이드기기 보안 업데이트2015.08.07
술만 CTO는 공격에 활용한 취약점과 관련 완전한 디자인 결함으로 보기는 애매하다는 입장이다. 그는 "클라우드 스토리지 서비스는 언제 어디서나 파일을 저장하고 공유할 수 있도록 하는데 초점이 맞춰져 있고, 위험하거나 불안정하지 않다"고 말했다. 해당 취약점은 사용성과 보안성 사이의 균형 관점에서 바라볼 필요가 있다는 설명이다.
이같은 문제를 간단하게 풀 수 있는 해결책은 없다. 슐만 CTO는 "많은 서비스들이 2가지 인증 수단을 버무린 투팩터 인증을 적용하고 허가되지 않은 접근이 있을 경우 공지하고 있지만 많은 사람들은 이걸 무시한다"고 지적했다.