러시아 정부 후원 APT29 공격그룹, 클라우드 기반 인프라 침투 공격에 집중

글로벌 보안전문가들은 블루브라보, 코지 베어 등 다양한 이름으로 알려진 러시아 국가 배후 사이버 공격 조직 APT29가 클라우드 기반 인프라에 침투하는 전술을 계속 발전시키고 있는 만큼 경계를 늦추지 말 것을 경고했다.

APT29의 출현은 전 세계 사이버 보안 전문가들 사이에서 상당한 우려를 불러일으키고 있다. 러시아 대외정보국(SVR)에 뿌리를 두고 있는 APT29는 적응과 혁신에 뛰어난 능력을 보여 왔으며, 특히 클라우드 기반 환경으로 전환한 조직의 보안 태세에 심각한 도전을 제기하고 있다.

보안연구원들의 최신 권고안은 온프레미스 네트워크 공격에 집중하던 기존 방식에서 벗어나 클라우드 인프라를 표적으로 삼는 APT29의 전략적 전환을 강조했다. 이 조직은 무차별 대입 공격과 비밀번호 스프레이 공격을 결합하여 서비스 및 휴면 계정을 통해 클라우드 서비스에 무단으로 액세스할 수 있는 능력을 입증했다. 이에 강력한 인증 메커니즘과 지속적인 모니터링이 더욱 중요해 졌다.

APT29의 공격 기법에서 주목할 만한 것은 토큰을 사용하여 기존의 비밀번호 기반 인증을 우회하는 것이다. 이 기법은 비밀번호 보안 조치를 우회할 뿐만 아니라 탐지 노력을 복잡하게 만들어 보안 담당자가 보다 정교한 신원 및 액세스 관리 제어를 채택해야 하는 상황이다.

또한, 자격 증명 재사용과 멀티팩터 인증(MFA) 우회 기술에 능숙한 APT29의 공격에 대응하기 위해서는 기본적인 비밀번호 보호 이상의 포괄적인 보안 조치를 구현하는 것이 중요하다.

특히 APT29는 거주지 프록시를 사용하여 악성 활동의 출처를 난독화하기 때문에 보안 담당자가 합법적인 접속 시도와 무단 접속 시도를 구분하기 어렵게 만든다. 이는 비정상적인 행동 패턴과 의심스러운 네트워크 활동을 식별할 수 있는 고도의 위협 탐지 기능이 필요해진 것이다.

클라우드 기반 인프라를 보호해야 하는 보안 담당자에게 보안전문가들의 권고안은 다음과 같다:

△강력한 인증 메커니즘 구현: 다단계 인증(MFA) 및 토큰 기반 액세스 제어를 사용하여 무단 계정 액세스의 위험을 완화.

△지속적인 모니터링 및 위협 탐지: APT29의 존재를 나타내는 의심스러운 활동과 비정상적인 행동 패턴을 식별할 수 있는 고급 위협 탐지 솔루션 활용.

△ID 및 접속 관리 강화: 강력한 ID 및 액세스 관리(IAM) 제어를 구현하여 권한 상승을 제한하고 자격 증명 오용의 위험을 완화.

△사전 예방적 취약성 관리: 알려진 취약점으로 인한 악용 위험을 완화하기 위해 정기적인 취약성 평가 및 패치 관리를 수행.

△사고 대응 준비: 사고 대응 계획을 개발하고 테스트하여 APT29 또는 이와 유사한 위협 행위자와 관련된 잠재적 보안 사고에 적시에 효과적으로 대응할 수 있도록 대비.

■[G-PRIVACY 2024] 하반기 최대 개인정보보호&정보보안 컨퍼런스 개최 (7시간 보안교육 이수)

△일시: 2024년 3월 12일(화)

△장소: 서울 양재동 더케이호텔서울 2층 가야금홀

△주최: 데일리시큐

△참석대상자: 전국 공공기관 및 지자체, 교육기관, 공기업, 일반기업, 금융기관 등 개인정보보호 책임자, 개인정보보호 담당자, CISO, 정보보안 실무자 등 1,000여 명 이상(현업 보안업무와 관련 없는 자는 참석불가)

△전시회: 국내외 최신 정보보안 솔루션 소개