지난 9월 MGM을 해킹하는 데 성공했던 그룹이 또 다시 놀라운 모습을 보여주며 공격을 실시했다. ID 관리 플랫폼에서부터 클라우드로, 그 클라우드에서 온프레미스 망으로 자유롭게 건너뛰며 결국 자신들의 목적을 달성한 것이다. 그것도 단 한 시간 만에.

[보안뉴스 문정후 기자] 미국의 대형 리조트 및 숙박 그룹인 MGM이 올해 사이버 공격에 당한 사건이 있었다. 이 사건을 일으킨 단체는 스캐터드스파이더(Scattered Spider)라고 불리는데, 최근 이들이 다시 나타나 자신들이 공격 대상으로 삼은 조직의 온프레미스 네트워크를 단 한 시간 만에 공략하는 모습을 보여주었다. 참고로 스캐터드스파이더는 블랙캣(BlackCat) 랜섬웨어와 관련이 깊은 단체로 보인다.


보안 업체 렐리아퀘스트(ReliaQuest)에 의하면 스캐터드스파이더는 옥타(Okta)의 싱글사인온 에이전트를 헬프데스크 직원으로부터 훔친 후, 이것을 가지고 서드파티 클라우드에 접속하는 데 성공한 뒤, 피해 기업의 네트워크로 들어가는 순서로 공격을 이어갔다고 한다. “처음 사건을 조사했을 때는 최초 침투 방법이 불확실한 면이 있었습니다만 몇 주가 지나면서 소셜엔지니어링 공격이 진행됐음이 분명해졌습니다. 피해자 기업, 즉 저희 고객사의 직원 계정 비밀번호가 저절로 리셋되었다는 게 확인됐거든요. 스캐터드스파이더는 MGM도 이런 식으로 뚫어냈습니다.”

’피로 유발 공격’으로 다중인증 무력화하기
렐리아퀘스트는 공격자들이 사용한 전략을 두고 ‘피로 유발 공격(fatigue attack)’이라고 묘사한다. 다중인증이 걸려 있는 계정에 로그인 시도를 계속하는 것을 말하는데, 공격자가 짧은 시간 안에 여러 번 로그인을 하면 나머지 인증 장치(예 : 문자, OTP, 인증 앱 등) 역시 계속해서 발동된다. 문자로 한 번 더 인증을 해야 하는 경우라면 해당 계정의 본래 주인에게 계속해서 인증 요청 혹은 1회용 비밀번호 문자가 가는 것이다. 이게 수없이 반복되면 사용자는 지치게 되고, 인증 요청에 기계적으로 응하게 된다.

스캐터드스파이더의 경우 2분 동안 다중인증 접속 시도를 네 번 했다. 해당 계정에 연결되어 있던 본래 사용자는 처음 세 번은 무시했다가 네 번째에는 인증을 허용했고, 공격자는 계정 접속에 성공했다. 옥타 인증 서비스와 관련이 있는 계정이었고, 공격자는 비밀번호를 재설정했다. 그리고 이 계정을 가지고 피해자가 이용하고 있던 클라우드 서비스에 접속했고, 여기서부터 빠르게 피해자의 온프레미스 환경으로 들어갔다.

피해자의 네트워크에 접속한 후 스캐터드스파이더는 다시 한 번 IT 관리자의 옥타 크리덴셜을 사용해 시트릭스 워크스페이스(Citrix Workspace)로 접속했다. 이 과정에서도 다중인증을 뚫기 위해 피로 유발 공격을 실시했다. 다중인증과 연결되어 있던 것은 기업 전체에서 관리하던 신규 장비였다. 공격자들은 이 장비를 통해 기업의 주요 작업 환경에 접속할 수 있었고, 거기서부터 여러 악성 행위(시트릭스 세션 하이재킹, 권한 상승, 횡적 이동 등)를 실시했다.

결국 스캐터드스파이더는 여러 가지 전략과 전술을 활용한 것이라고 할 수 있다.
1) 소셜엔지니어링(헬프데스크 직원 속이기)
2) IDaaS(서비스형 아이덴티티) 플랫폼을 통한 클라우드 공략
3) 파일 목록화와 찾아내기
4) 공격 지속성 확보

스캐터드스파이더, 이제 주요 위협으로 간주해야
이런 모든 과정을 진행하는 데 스캐터드스파이더에게 필요한 시간은 한 시간이었다. 이들이 얼마나 공격에 능란한지를 드러내는 것으로, 특히 피해자들이 가지고 있던 자원과 사용하고 있던 서비스들을 적절히 자신들의 목적에 맞게 사용해 유연하게 움직였다는 것이 놀랍다는 게 렐리아퀘스트의 설명이다. 게다가 특정 산업군만 노리는 게 아니라 여러 곳을 다양하게 노릴 줄 안다는 것도 이들을 만만히 봐서는 안 되는 이유라고 한다.

“스캐터드스파이더는 대단히 정교하게 표적을 설정하고 노립니다. 그리고 효율적으로 움직여 결국 횡적으로 이동할 수 있는 데에까지 이르죠. 요즘 해킹 단체들이 서로의 장점을 빠르게 흡수하여 상향평준화를 이루고 있는데, 스캐터드스파이더와 같은 공격을 더 많은 공격 단체들이 구사할 줄 알게 된다면 재앙과 같은 상황이 벌어질 것입니다. MGM 사태가 조만간 또 벌어질 수 있다는 겁니다.”

렐리아퀘스트는 이 고도화된 그룹에 대한 방비책 몇 가지를 보고서에 함께 제안했다.
1) 최소한의 권한의 법칙 철저히 유지하기
2) 반복된 다중인증 시도가 발생할 경우 관련 정보가 최상위 관리자에게 전달되도록 하기
3) 헬프데스크 직원들을 대상으로 한 보안 교육과 사용자 아이덴티티 확인 절차 강화
4) 지속적인 보안 강화 노력과 방법론 도입하기

3줄 요약
1. 지난 9월 MGM 공략했던 해킹 단체, 스캐터드스파이더.
2. 최근 단 한 시간 만에 여러 가지 전술을 복합적으로 사용해 한 기업 해킹.
3. 이들의 수법이 널리 알려지면 해커들은 또 다시 상향평준화 할 듯.
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>