클라우드가 위험하다 “사용자 계정 공격 급증…클라우드 무기로 악용”

클라우드 서비스를 대상으로 한 사이버공격이 크게 증가하고 있다는 조사가 나왔다.

마이크로소프트(MS)가 발간한 최신 ‘보안 인텔리전스 리포트(SIR) 22호’에 따르면, 올해 1분기 MS 클라우드 사용자 계정 공격 탐지율이 작년 동기 대비 300%나 늘어났다.

악성 IP 주소에서 MS 클라우드 계정 로그인 시도하는 비율도 매달 증가해 1년 새 44% 상승했다.

공격자들이 이미 노출됐거나 훔친 사용자 계정 정보를 도용해 클라우드 계정에 침입하려는 시도를 벌이고 있는 것으로, 취약하고 추측하기 쉬운 패스워드를 사용하면서 허술하게 관리하고 있는 탓이란 분석이다.

김귀련 한국MS 보안 프로그램 담당 부장은 “이제는 클라우드 서비스가 해커들의 주요 공격대상이 되고 있다”라면서 “가장 쉬운 공격 방법이 허술한 사용자 로그인 정보를 훔쳐 도용하는 방식으로 다른 클라우드 서비스 계정에 침입하는 것”이라고 말했다.

김 부장은 “(숫자와 대문자, 특수문자 등을 사용해) 아무리 복잡한 패스워드를 적용하더라도 텍스트 방식의 인증은 더 이상 안전하지 않다”라면서 “‘헬로(Hello)’와 같은 생체인증이나 다중요소 인증 정책이 필요하다”고 강조했다.

클라우드 서비스가 침해, 공격자들에게 장악돼 무기화되고 있다는 지적도 나왔다. 클라우드 서비스의 가상머신이 해킹돼 명령제어(C&C) 서버와 통신하는 악성 IP주소로 공격에 악용되는 경우다. 클라우드 서비스가 침해되면 연결돼 있는 다른 가상머신까지 공격하거나 스팸 발송 등에 악용될 수 있다는 것이 김 부장의 설명이다.

실제로 MS 애저(Azure) 보안센터에서 탐지한 아웃바운드 공격은 악성IP와 통신하는 비율이 51.0%, RDP 브루트포스(Brute Force) 무차별 대입 공격이 23.0%, 스팸 19%, 포트 스캐닝(Scanning)/포트 스위핑(Sweeping) 3.7%, SSH 브루트포스 1.7%로 집계됐다.

지역별로 MS ‘애저’로 들어온 공격은 116개국 가운데 중국 IP주소에서 35.1%로 가장 많았고 미국이 32.5%로 그 뒤를 이었다. 한국에서도 3.1%로 3위를 차지했다. 이들 국가에 C&C 서버가 많이 있다는 의미다.

침해된 ‘애저’ 가상머신이 외부의 알려진 악성IP주소로 C&C 서버와 통신한 현황을 분석한 결과, 악의적인 IP 주소 가운데 89%는 중국에 있었고 4.2%는 미국에 위치할 것으로 나타났다.

한편, 이 보고서에서는 한국의 악성코드 발생률은 8.3%로 전세계 평균치인 7.8%보다 소폭 높은 것으로 나타났다. 악성코드 유형 가운데 트로이목마(5.39%)가 가장 많았고 백도어가 그 뒤를 이었다.

MS SIR은 전세계에 제공하고 있는 200여개 클라우드 서비스와 10억대 이상의 윈도 디바이스 업데이트, 2000억개 이메일, 매달 3000억 넘는 인증, 180억 이상의 빙(Bing) 웹페이지 스캔을 바탕으로 분석한 사이버위협과 취약점 동향을 담고 있다.

작년까지는 반기별로 발간해 왔으나 올해부터는 분기별로 SIR을 발간한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network