크로스 도메인 공격은 다양한 복잡성을 지닌다. 크라우드스트라이크는 도난당한 인증 정보를 활용해 클라우드 환경에 침입하고 엔드포인트를 가로질러 이동하는 공격 패턴이 증가한 것을 파악했다. 이러한 공격은 정교한 피싱 기법과 인포스틸러의 확산으로 더욱 활발해졌다. 위협 행위자들은 인증 정보를 획득하거나 도용한 후, 설정이 취약한 클라우드 환경에 직접 접근해 방어가 철저한 엔드포인트를 우회한다. 또 맬웨어 대신 원격 모니터링 및 관리(RMM) 도구를 사용해 공격 탐지 및 차단을 더욱 어렵게 만든다.
크로스 도메인 공격에 능숙한 ‘스캐터드 스파이더’(Scattered Spider)그룹은 2023년부터 표적 클라우드 환경 내에서 스피어 피싱, 정책 수정, 비밀번호 관리자에 대한 접근을 자주 활용하는 정교한 크로스 도메인 수법을 사용한 것으로 분석된다. 지난 5월, 크라우드스트라이크는 스캐터드 스파이더가 클라우드 서비스 가상 머신(VM) 관리 에이전트를 통해 클라우드 호스팅 VM 인스턴스에 발판을 마련하는 과정을 포착했다. 위협 행위자들은 피싱 캠페인을 통해 기존 자격 증명을 탈취해 클라우드 컨트롤 플레인에 대한 접근 권한을 얻었으며, 내부에 진입한 이후에는 지속적으로 활동을 이어갔다.
이 공격은 세 가지 운영 도메인(이메일, 클라우드 관리, VM 자체)에 걸쳐 수행됐다. 그 결과 각 도메인에서 확인 가능한 흔적이 최소화되어 기존의 탐지 방법으로는 식별이 어려웠다. 이러한 공격을 식별하기 위해서는 광범위한 위협 인텔리전스와 스캐터드 스파이더의 전술에 대한 사전 지식이 필요했다. 위협 헌터들은 클라우드 컨트롤 플레인의 원격 측정 데이터와 VM 내 탐지 정보를 연계해 침입을 인식하고 차단할 수 있었다.
북한의 사이버 범죄 집단 중 하나인 ‘페이머스 천리마’Famous Chollima)’는 기술의 한계를 뛰어넘는 정교한 공격 캠페인을 보였다. 위협 행위자들은 신원 조회를 우회하기 위해 위조하거나 도난당한 신분증을 사용해 계약직 또는 정규직 일자리를 확보했다. 그들은 보통 유명 기업에서의 경력이 기재된 이력서를 통해 합법적인 근로자로 위장했다.
지난 4월, 크라우드스트라이크는 미국의 항공우주, 방위, 소매, 기술 분야를 포함한 30개 이상의 미국 기업을 표적으로 삼은 페이머스 천리마의 첫 번째 공격에 대응했다. 위협 헌터들은 단일 사건 데이터를 활용해 새로운 내부자 위협을 추적할 수 있는 확장 가능한 계획을 개발했고, 이틀 만에 30건 이상의 추가 피해 고객을 확인했다.
대부분의 경우, 위협 행위자는 무단 액세스를 위해 회사 네트워크 인증 정보를 활용해 데이터를 탈취하고, RMM 도구 설치를 시도했다. 크라우드스트라이크는 의심스러운 네트워크 연결과 결합된 RMM 도구를 탐지해 추가 데이터를 확보하고 의심스러운 행동을 식별했다.
올해 미국 법무부(DOJ)는 북한 국적자들이 북한 정부의 무기 프로그램을 위한 자금을 마련할 수 있도록 도운 혐의로 여러 명을 기소했다. 크라우드스트라이크는 법 집행 기관 및 정보 기관과 협력해 이러한 악의적 활동을 밝혀내고 대규모 위협을 차단하는 데 핵심적인 역할을 했다.
정교한 크로스 도메인 위협에 대응하기 위해서는 행동 및 운영상의 변화를 지속적으로 인지해야 하므로 인텔리전스 기반 헌팅이 필수적이다. 이러한 신종 공격을 차단하려면 사람, 프로세스, 기술을 포괄하는 다각적인 접근 방식이 필요하다.
크라우드스트라이크는 크로스 도메인 위협에 대처하기 위한 몇 가지 권장 사항을 제시한다.
첫째는 포괄적인 가시성 확보다. 크로스 도메인 공격을 탐지하고 상호 연관성을 파악하기 위해서 클라우드, 엔드포인트, ID 등 기업 전반에 대한 포괄적인 가시성을 확보해야 한다. 이를 통해 위협 행위자의 내부 이동을 차단하고, 대응 시간을 개선하며, 문제가 확대될 가능성을 줄인다.
둘째는 크로스 도메인 헌팅 통합이다. 365일 24시간 상시 작동하는 위협 헌터는 보안 플레인 전반에서 악의적인 행동을 선제적으로 탐지할 수 있다. 직원 활동을 지속적으로 모니터링해 비정상적인 RMM 도구 사용과 같은 정상 범주에서 벗어난 행동을 탐지할 수 있다.
셋째는 신원 확인 강화다. 위험을 완화하기 위해 기업은 다중 인증(MFA) 및 생체 인증과 같은 고급 신원 확인 절차를 구현해야 한다. 강력한 인증 절차를 마련하는 것 외에도 비정상적인 인증 사고가 침해로 이어지기 전에 이를 포착할 수 있는 신원 보호 기능을 구현해야 한다.
오늘날 점점 더 정교해지는 크로스 도메인 공격에 대응하려면 자동화 솔루션만으로는 충분하지 않다. 이러한 교묘한 위협은 ID, 클라우드, 엔드포인트 전반에 걸쳐 작동한다. 따라서 선제적 대응을 위해서는 고급 기술과 인간의 대체 불가능한 전문성, 최첨단 원격 분석의 결합이 필수적이다.
- 애덤 마이어스(Adam Meyers) 크라우드스트라이크 공격 대응 작전을 총괄하고 있다.
Read More from This Article: 기고 | 크로스 도메인 공격하는 ‘스파이더’와 ‘천리마’에 대응하는 법
Source: News