'호사다마' 클라우드... 코로나19에 사용량·사이버공격 함께 급증
'호사다마' 클라우드... 코로나19에 사용량·사이버공격 함께 급증
  • 양대규 기자
  • 승인 2020.03.11 08:40
  • 댓글 0
이 기사를 공유합니다

커머스 클라우드 사용량 30%↑·사이버공격 44%가 클라우드 대상
AWS·MS 원드라이브·구글 드라이브 등 '유명 클라우드' 주요 위협 대상
'클라우드 스누퍼', 클라우드 대상의 위협적인 악성코드
MS '원노트', 원드라이브 통한 피싱 발견…접근성 좋아 다양한 공격 시도
Andri from Pexels
(사진=Andri from Pexels)

[디지털투데이 양대규 기자] 코로나19로 인해 온라인 커머스, OTT(Over The Top, 인터넷으로 콘텐츠를 제공하는 서비스)의 이용자가 폭증하면서 클라우드 트래픽도 급증하고 있다. 하지만 그만큼 클라우드 환경을 위협하는 사이버공격의 빈도가 늘고 종류도 다양해지고 있어 클라우드 업계의 고민이 깊어지고 있다.

11일 업계에 따르면 코로나19 발생 이후 온라인 커머스를 중심으로 클라우드 사용량이 급증하고 있다. NHN이 제공하는 토스트(TOAST) 클라우드의 경우 지난달 커머스 부문 서버 사용량이 1월 대비 30% 증가했다. 네이버 비즈니스 플랫폼(NBP) 역시 지난 2월 커머스 부문의 트래픽 증가에 따른 서버 사용량이 30% 가량 늘었다.

문제는 클라우드의 사용량이 증가하면서 보안 위협도 커지고 있다는 것. 보안업체 넷스코프에 따르면 최근 발생하는 사이버공격의 44%가 클라우드 서비스를 대상으로 한 것으로 나타났다. 

이에 전문가들은 클라우들 제공 기업과 이를 이용한 서비스 기업의 보안 강화와 함께 이용자들도 안전한 사용 습관을 가져야 한다고 강조한다.

AWS·MS 원드라이브·구글 드라이브 등 '유명 클라우드' 주요 위협 대상 

전문가들에 따르면 해커들은 전 세계적으로 클라우드 서비스가 많아지면서 멀웨어나 피싱 페이지를 호스팅하는 기법을 주로 활용하고 있다. 마이크로소프트(MS) 오피스 365, 원드라이브, 구글 드라이브, 아마존웹서비스(AWS) 등이 주로 악용되고 있는 것이다.

한 보안업계 전문가는 "해커들이 유명한 클라우드 서비스를 이용하는 것은 사용자들의 신뢰도가 높아 피싱과 스캠 등의 공격을 유도하기 쉽기 때문"이라고 설명했다.

(사진=Soumil Kumar from Pexels)
(사진=Soumil Kumar from Pexels)

실제 보안업체 넷스코프가 발표한 '클라우드와 위협 보고서(Cloud and Threat Repor)'에 따르면 최근 발생하는 사이버공격의 44%가 클라우드와 관련된 서비스를 대상으로 발생한다. 또한 해커들은 클라우드를 가장 효과적인 공격 대상으로 보고 있는 것으로 나타났다.

보고서에 따르면 또 데이터 정책 위반의 50% 이상이 클라우드 스토리지, 협업, 웹메일 애플리케이션에서 발생했다. 넷스코프가 위협을 탐지한 상위 5개 응용 프로그램에는 대표적인 클라우드 서비스인 '구글 드라이브'가 포함됐다.

넷스코프의 위협 연구 책임자 레이 칸자네즈는 "클라우드 피싱과 악성 프로그램 제공에서부터 클라우드 명령 및 제어, 궁극적으로는 클라우드 데이터 유출에 이르기까지 클라우드 애플리케이션 전반에 걸쳐 점점 더 복잡한 위협 기술이 사용되고 있는 것을 목격하고 있다"고 지적했다.

이어 그는 "우리의 연구는 클라우드 지원 킬 체인의 정교함과 규모가 증가하고 있으며, 공격자와 보조를 맞추고 클라우드 위협을 차단하기 위해 수천 개의 클라우드 애플리케이션을 이해하는 보안 방어책이 필요하다는 것을 보여준다. 이러한 이유로 클라우드를 사용하는 모든 기업은 보안 아키텍처를 신속하게 현대화하고 확장할 필요가 있다"고 강조했다.

클라우드의 공격이 더욱 복잡해지고 위협적으로 변하면서 이에 맞춰 클라우드 제공 기업들의 보안 능력이 중요해진다는 것이다.

'클라우드 스누퍼', 클라우드 대상의 위협적인 악성코드

최근에는 아마존웹서비스(AWS)의 클라우드를 통해 공격하는 새로운 형태의 악성코드가 발견되기도 했다.

지난달 29일 영국 보안기업 소포스는 AWS에 호스팅된 서버를 조사 중에 해커의 명령제어(C2) 서버와 통신하는 악성코드를 발견했다고 밝혔다. 소포스는 새로운 악성코드에 '클라우드 스누퍼(Cloud Snooper)'라는 이름을 붙였다.

클라우드 스누퍼는 클라우드 보안 방화벽을 우회하는 정교한 기술과 맞춤형 지능형지속위협(APT)을 사용한다. 이 악성코드는 리눅스와 윈도 기반 서버를 성공적으로 공격한 것으로 알려졌다.

소포스의 분석에 따르면 해커가 원격으로 서버를 제어할 수 있는 루트킷을 발견했다. 루트킷은 시스템에서 탐지되지 않고 데이터를 도용하거나 탈취하는 데 사용되는 요소다. 공격자는 루트킷으로 악성코드 설치와 코드 실행 등의 공격을 행한다.

전문가들은 해커가 C2 트래픽을 정상적인 것처럼 위장해 보안 방화벽을 통과할 수 있었다며 클라우드 스누퍼가 매우 위험한 악성코드라고 경고했다.

소포스는 클라우드 스누퍼에 대해 '상당한 고급 기술'이라고 설명했다. 소포스는 "사용된 공격 도구들은 공격자가 직접 제작한 것”이라며 “자원과 실력이 충분하지 않으면 있을 수 없는 공격이다. 특정 국가가 지원하는 해커들의 공격이라고 생각한다”고 지적했다.

(사진=Markus Spiske from Pexels)
(사진=Markus Spiske from Pexels)

MS '원노트', 원드라이브 통한 피싱 발견…접근성 좋아 다양한 공격 시도

마이크로소프트(MS)의 대표적인 오피스 애플리케이션인 원노트(OneNote)를 활용한 피싱도 발견됐다.

보안업체 코펜스는 원노트를 활용한 피싱이 클라우드를 통해 이뤄진다고 밝혔다. 원노트는 MS의 클라우드 서비스인 원드라이브와 연결된다.

코펜스는 자사 블로그를 통해 “클라우드 서비스는 계정을 만드는 것이 어렵지 않다"며 "계정 하나가 차단돼도 계속해서 공격을 이어갈 수 있다. 그래서 클라우드를 활용하는 공격이 활발히 개발되고 있다”고 설명했다.

코펜스에 따르면 원노트는 사용이 매우 간편하고 접근성이 좋기 때문에 해커들이 다양한 방법을 실험하면서 피싱을 시도한다. 코펜스는 이런 실험이 쉬워 케이스가 많아지면서 공격 성공률이 올라간다는 것이다.

이에 전문가들은 클라우드 서비스 기업들이 보안을 강화해야 한다고 지적한다. 보다 강력한 보안 정책과 솔루션을 마련해야 한다는 것이다. 또한 이용자 개개인의 보안 수칙 강화도 중요하다고 강조한다. 출처가 불분명한 메일의 첨부파일이나 인터넷주소(URL) 실행하면 안되며, 비밀번호가 노출됐다는 판단이 들면 가능한 빨리 바꿔야 한다는 조언이다.

이런 가운데 클라우드 서비스 기업들도 보안 강화에 나서고 있다. 구글의 경우 ‘구글 양식을 통해 비밀번호를 전송하거나 공유하는 행위를 절대 하지 마시오’라는 경고문을 구글 양식 밑 부분에 항상 노출하는 등의 방법으로 보안을 강화하고 있다. 클라우드 보안을 위한 다양한 솔루션도 나오고 있다. 최근 삼성전자와 인피니언 등 칩 생산 업체들은 하드웨어 기반의 클라우드 보안 솔루션을 공개했다.

네이버 뉴스 스탠드에서 디지털투데이를 만나보세요.
디지털투데이 뉴스스탠드 바로가기 - MY 뉴스 설정
관련기사

  • 서울시 강남구 역삼로25길 46, 3층(역삼동) (주)디지털투데이
  • 대표전화 : (02)786-1104
  • 팩스 : (02)6280-1104
  • 청소년보호책임자 : 김효정
  • 제호 : 디지털투데이 (DigitalToday)
  • 등록번호 : 서울 아 00926
  • 등록일 : 2009-08-03
  • 발행일 : 2007-05-09
  • 발행인 : 김철균
  • 편집인 : 장윤옥
  • 편집국장 : 한민옥
  • 디지털투데이 (DigitalToday) 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받은바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2020 디지털투데이 (DigitalToday). All rights reserved. mail to d-today@d-today.co.kr
ND소프트
인터넷신문위원회