2024-10-07 04:15 (월)
랜섬웨어 조직, 마이크로소프트 애저 악용해 대규모 데이터 탈취…방어 전략은?
상태바
랜섬웨어 조직, 마이크로소프트 애저 악용해 대규모 데이터 탈취…방어 전략은?
  • 길민권 기자
  • 승인 2024.09.18 18:41
이 기사를 공유합니다

랜섬웨어 조직들이 마이크로소프트 애저(Azure) 클라우드 인프라를 악용해 피해 네트워크에서 데이터를 탈취하는 수법을 점점 더 많이 사용하고 있어 각별한 주의가 요구된다.

사이버 보안 기업 모드푸시(modePUSH)에 따르면, 비안리안(BianLian)과 리시다(Rhysida) 같은 랜섬웨어 조직들은 애저 스토리지 익스플로러(Azure Storage Explorer)와 AzCopy 같은 도구를 활용해 보안 시스템을 우회하고 기업용 클라우드 스토리지 서비스에 접근하고 있다.

애저 스토리지 익스플로러는 애저 스토리지 계정을 관리하는 그래픽 사용자 인터페이스(GUI) 도구이며, AzCopy는 데이터를 전송하는 명령줄 유틸리티다. 이 두 도구는 원래 기업에서 합법적으로 사용하는 것이지만, 사이버 범죄자들의 손에 들어가면 대규모 데이터 탈취 작전을 실행할 수 있는 수단으로 악용될 수 있다.

◆클라우드, 사이버 범죄 은신처로 악용

그동안 랜섬웨어 조직들은 Rclone이나 MEGAsync 같은 도구를 사용해 여러 클라우드 스토리지 제공업체와 파일을 동기화해왔다. 그러나 최근에는 마이크로소프트 애저를 선호하는 경향이 증가하고 있다. 이는 애저가 기업 네트워크에 널리 신뢰받고 통합되어 있기 때문에 방화벽이나 보안 도구에 의해 차단될 가능성이 적기 때문이다.

또한 애저는 대용량의 비정형 데이터를 신속하게 처리할 수 있는 성능과 확장성을 제공해 공격자들이 대량의 데이터를 빠르게 탈취할 수 있게 한다. 애저 스토리지 익스플로러와 AzCopy를 사용하면 범죄자들이 탈취한 파일을 클라우드 기반 블롭(Blob) 스토리지 컨테이너에 업로드할 수 있다.

한편 애저 도구를 사용하는 것이 공격자의 능력을 향상시키지만, 기술적 전문성도 요구한다. 모드푸시 연구원들은 공격자들이 애저 스토리지 익스플로러를 성공적으로 실행하기 위해 여러 종속 항목을 설치하고, .NET을 버전 8로 업그레이드하는 등의 작업을 해야 했다고 밝혔다. 이러한 기술적 도전에도 불구하고, 마이크로소프트 도구의 사용은 랜섬웨어 운영이 단순한 암호화와 몸값 요구를 넘어 데이터 탈취와 협박으로 점차 발전하고 있음을 보여준다.

데이터가 애저 블롭 컨테이너에 저장된 후, 랜섬웨어 운영자들은 이를 손쉽게 자신의 인프라로 전송할 수 있으며, 이는 다크웹 포럼에서 데이터를 판매하거나 협상 시 협박의 수단으로 사용할 수 있다.

◆애저를 사용하는 랜섬웨어 탐지 및 대응

애저의 신뢰성 때문에 랜섬웨어 행위자들이 감시망을 피할 수 있지만, 보안 전문가들은 이에 대응할 수 있는 여러 방안이 있다고 말한다. 모드푸시가 강조한 핵심 중 하나는 로그 파일의 중요성이다. 공격자들이 애저 스토리지 익스플로러와 AzCopy를 사용할 때, 일반적으로 %USERPROFILE%.azcopy 디렉토리에 로그 파일을 남기는데, 이 파일은 보안 담당자들에게 중요한 정보를 제공한다. 이 로그는 탈취된 데이터를 나타내는 'UPLOADSUCCESSFUL'과 추가적인 악성 프로그램을 도입했을 가능성을 나타내는 'DOWNLOADSUCCESSFUL'을 통해 조사자들이 신속하게 파악할 수 있다.

이러한 공격을 방지하기 위해 보안 팀은 애저 블롭 스토리지 엔드포인트인 ".blob.core.windows.net"로 향하는 비정상적인 아웃바운드 트래픽을 주의 깊게 모니터링하고, 중요한 서버에서 파일 전송 패턴의 이상 징후에 대한 알람을 설정해야 한다. 이미 애저를 사용하는 기업들은 '로그아웃 온 종료' 옵션을 활성화해 애플리케이션 종료 시 자동 로그아웃되도록 해 공격자가 활성 세션을 이용해 파일을 탈취하는 것을 방지하는 것이 좋다.

전문가들은 이러한 위협에 대한 대안과 예방책을 권고했다. 기업들은 클라우드 스토리지 플랫폼과 관련된 의심스러운 활동을 탐지할 수 있는 고급 네트워크 트래픽 분석 도구를 도입해야 한다고 조언했다. 또한, 클라우드 접근 보안 브로커(CASB)를 도입해 기업 데이터가 클라우드 애플리케이션과 어떻게 상호작용하는지 모니터링하고 제어하는 것이 중요하다고 밝혔다. CASB(Cloud Access Security Broker)은 클라우드 서비스와 기업의 사용자 간에 위치하는 보안 중개자 역할을 하는 보안 솔루션이다. CASB는 클라우드 애플리케이션 사용 중 발생할 수 있는 데이터 보안 문제를 해결하고, 규제 준수를 보장하며, 사용자가 클라우드 서비스에 접근하는 방식을 제어하는 데 중요한 역할을 한다.

전문가들은 또한 방화벽과 전통적인 보안 대책에만 의존해서는 안 된다고 경고했다. 범죄자들이 애저와 같은 신뢰받는 플랫폼을 악용할 수 있기 때문이다. 이제 기업들은 지속적으로 보안 프로토콜을 업데이트하고, 애저와 같은 합법적인 플랫폼에서의 악의적 활동을 탐지할 수 있는 클라우드 보안 솔루션에 투자해야 한다. 랜섬웨어가 계속해서 진화하는 만큼, 공격자의 전술을 앞서 나가는 것이 무엇보다 중요하다고 조언했다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★