Offcanvas

BI / CSO / 랜섬웨어 / 보안 / 악성코드

양날의 검··· 클라우드 협업 툴 확산에 보안 위협도 1,350% 증가

2020.05.28 Lucian Constantin  |  CSO
클라우드 서비스 도입이 증가하면서 보안 위협도 함께 증가했다. 코로나19 사태가 발생한 이후 클라우드 관련 위협이 무려 1,350% 증가한 산업군도 있다.

코로나19 확산 방지를 위해 이동제한령이 내려지자 전 세계 기업들은 클라우드 서비스를 도입하거나 통합하는 방식으로 빠르게 대응했다. 특히 마이크로소프트 오피스 365, 슬랙, 화상회의 플랫폼과 같은 클라우드 기반 협업 툴들이 적극적으로 도입됐다. 
 
ⓒGetty Images

사이버 보안 업체 맥아피는 최근 발간한 보고서를 통해 이러한 성장세와 함께 클라우드 계정의 자격증명 어뷰징 공격이 증가하고 있다고 밝혔다. 이는 엠비전 클라우드(Mvision Cloud) 보안 플랫폼을 사용 중인 3,000만 명 이상의 기업 고객을 대상으로 1월부터 4월까지의 클라우드 사용량 데이터를 분석한 결과다.

보고서는 전 산업군에 걸쳐 클라우드 서비스 도입이 50% 증가했다고 추산했다. 이보다 훨씬 더 큰 폭의 상승세를 보인 산업군도 있었다. 예를 들면 제조업계와 교육업계는 클라우드 서비스 도입 비율이 각각 144%, 114% 늘어났다. 

협업 및 화상회의 툴과 관련해서는 일부 툴들의 사용이 두드러지게 증가했다. 시스코 웹엑스는 600% 늘어났고 줌과 마이크로소프트 팀즈, 슬랙 역시 각각 350%, 300%, 200%의 증가세를 보였다. 여기서도 제조업계와 교육업계가 상위를 차지했다.

클라우드 서비스는 재택근무가 의무화된 상황에서 생산성을 높일 수 있는 적절한 방안이었고, 이에 따라 도입이 증가한 것은 자연스러운 흐름이다. 하지만 문제는 보안 위협도 함께 증가했다는 것이다. 

맥아피 보고서에 따르면 관리되지 않는 기기에서 기업 클라우드 계정으로 향하는 트래픽이 2배 이상 증가했다. 보고서는 “관리되지 않는 기기에서 민감한 데이터를 복구할 방법이 없다. 클라우드 접근이 늘어나는 가운데 보안팀이 기기에 따라 클라우드 접근을 통제하지 않는다면 데이터 손실로 발생할 수밖에 없다”라고 지적했다. 

클라우드 위협 증가
해커들이 이렇게 빠르게 도입되고 있는 클라우드 서비스를 노리고 있다. 맥아피에 따르면 클라우드 서비스를 노린 외부 위협의 수가 같은 기간 630% 증가했다. 특히 협업 플랫폼에 가장 많은 공격이 집중된 것으로 드러났다. 

보고서는 의심스러운 로그인 시도 및 로그인을 2가지 범주로 나눴다. 1) 비정상적인 장소에서의 과도한 사용이 이뤄지는 사례와 2) 인간이 아닌 것으로 의심되는 사례다. 두 범주 모두 분석 기간에 비슷한 증가 패턴을 보였다.  

1) 비정상적인 장소에서의 과도한 사용이 이뤄지는 사례: 기업의 위치와는 너무 상이한 장소에서 로그인한 후 다량의 데이터 혹은 권한이 필요한 작업에 접근하는 경우를 일컫는다.

2) 인간이 아닌 것으로 의심되는 사례: 동일한 사용자가 지리적으로 멀리 떨어진 두 장소에서 짧은 시차를 두고 로그인하는 것을 의미한다. 이를테면 한 사용자가 A라는 국가의 IP 주소로 서비스에 로그인한 후, 몇 분 지나지 않아 B 국가의 IP 주소로 서비스에 로그인하는 경우가 해당된다. 

클라우드 계정에서 감지된 위협 건수가 가장 많이 증가한 산업군은 운송, 물류, 교육, 공공기관이었다. 운송과 물류 업계의 경우 이러한 위협이 무려 1,350% 증가했다. 교육 업계(1,114%), 정부 기관(773%), 제조업계(679%), 금융 서비스 업계(571%), 에너지 업계(472%)가 그 뒤를 이었다. 

IP 주소를 기준으로 할 때 공격 출처는 태국, 미국, 중국, 인도, 브라질, 러시아, 라오스, 멕시코, 뉴칼레도니아, 베트남 순으로 많았다. 맥아피 연구진은 “이번 기회를 노린 것으로 분석되는 이들 공격의 상당수는 탈취한 자격증명 정보로 클라우드 계정 접근을 반복해서 시도하는 무차별 대입 공격으로 볼 수 있다. 특히 금융 서비스가 주요 타깃이 될 가능성이 크며, 그 출처는 중국, 이란, 러시아인 경우가 많다”라고 설명했다. 

‘크리덴셜 스터핑(Credential stuffing)’ 공격의 증가
유출되거나 탈취된 ID와 비밀번호 조합으로 계정에 접근하는 '크리덴셜 스터핑' 공격의 빈도가 최근 몇 년간 많이 증가했다. 특히 데이터 유출 사고로 노출된 자격증명 정보가 이러한 공격에 주로 쓰인다. 비밀번호를 재사용하는 습관을 악용하는 것이다. 

또한 보안회사 아카마이의 올해 초 보고서에 따르면 2017년 12월부터 2019년 11월까지 2년 동안 전 세계 기업을 대상으로 한 크리덴셜 스터핑 공격 건수가 854억 건에 달했다. 이 중 4억 7,300만 건은 금융권을 노린 공격이었다.
 
맥아피는 클라우드 기반의 보안 게이트웨이를 도입할 것을 권장했다. 이를 통해 직원들은 VPN을 통해 트래픽을 우회하거나 또는 기기 점검과 데이터 통제를 위해 엄격한 정책이 적용된 클라우드 접근 보안 브로커 플랫폼을 사용할 필요가 없어진다. 또한 만약 직원들이 개인용 기기로 기업 SaaS 애플리케이션에 접속해야 한다면 민감한 데이터에 대해서는 조건부 접근을 적용하라고 덧붙였다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.