Tor·VPN으로 탐지 회피, Gray Sandstorm과 유사한 수법으로 정보 탈취까지 진행
MFA 적용과 로그인 모니터링 등 조건부 액세스 강화가 핵심 대응책

[보안뉴스 김형근 기자] 이란과 연계된 위협 조직이 이스라엘과 UAE의 MS 365 환경을 겨냥해 대규모 공격을 감행한 것으로 나타났다.


이스라엘 보안기업 Check Point에 따르면, 이스라엘 300여개, UAE 25개 이상의 조직이 이번 공격의 영향을 받은 것으로 확인됐다.

공격자들은 하나의 흔한 비밀번호를 다수 계정에 대입하는 ‘패스워드 스프레이’(Password Spraying) 기법을 활용해 보안 탐지를 우회했다. 해당 방식은 계정 잠금 정책을 피해가면서 대규모 계정을 동시에 노리는 공격에 주로 사용된다.

이번 공격은 3월 한 달 동안 세 차례에 걸쳐 진행됐으며, 정부·기술·에너지 등 주요 산업군을 집중적으로 겨냥했다. 특히 공격자는 신원을 숨기기 위해 Tor(토르) 종료 노드와 상용 VPN을 활용해 트래픽을 위장한 것으로 나타났다.

분석 결과, 이번 캠페인은 과거 이란 정부 지원을 받은 것으로 알려진 Gray Sandstorm의 공격 방식과 유사한 특징을 보였다.

침투에 성공한 이후에는 이메일 본문 등 민감 정보를 외부로 유출하는 정보 탈취 행위가 이어진 것으로 확인됐다.

이번 공격을 분석한 Check Point와 Microsoft 보안 전문가들은 각 조직에 대해 로그인 로그를 상시 모니터링하고, 비정상적인 위치에서의 접근을 차단하는 조건부 액세스 정책을 즉시 적용할 것을 권고했다. 또한 모든 사용자에게 다중요소인증(MFA)을 강제 적용하는 것이 핵심 대응 방안이라고 강조했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>