테크레시피

개발자 신원 증명 취득한 앱으로 피싱 사기를…

조직 클라우드 환경에 침입하는데 사용되는 악의적 오쓰(OAuth) 애플리케이션을 만들었기 때문에 마이크로소프트는 여러 악성 마이크로소프트 파트너 네트워크 계정을 비활성화했다. 이 계정은 공인 회사가 차지했으며 마이로소프트의 발행자 확인(verify publisher) 인증을 받았다.

보안 기업 프루프포인트(Proofpoint)와의 공동 발표에 따르면 위협자는 공인 기업을 가장해 MCPP(Microsoft Cloud Partner Program)에 등록해 정당한 기업으로 인증되는데 성공했다고 한다. MCPP에서 만든 오쓰 앱에는 애저 액티브 디렉터리(Azure Active Directory) 동의 프롬프트에 파란색 체크 표시가 포함되어 사용자에게 이 앱이 더 신뢰할 수 있다는 걸 알 수 있다.

위협자는 이런 계정을 이용해 발행자 확인된 오쓰 앱을 애저 AD에 등록하고 영국과 아일랜드 기업을 표적으로 한 동의 피싱(consent phishing) 공격을 실시하고 있었다고 한다. 동의 피싱 공격은 악의적 클라우드 애플리케이션에 권한을 부여하도록 사용자를 유도하는 공격이다.

마이크로소프트에 따르면 악의적 오쓰 앱은 고객 이메일을 훔치는데 사용됐다. 한편 프루프포인트는 앱 권한으로 이메일에 대한 액세스 뿐 아니라 캘린더와 회의 정보에 대한 액세스와 사용자 권한 변경이 가능했다고 경고하고 있다.

프루프포인트는 3개 공개 회사에서 제공하는 악의적 오쓰 앱 3개를 확인했지만 모두 동일 조직을 대상으로 했으며 여러 사용자가 이 공격 영향으로 조직이 위험에 처했다는 증거도 확인되고 있다고 한다.

또 프루프포인트는 2022년 12월 15일 위협 정보를 공개한 뒤 마이크로소프트는 곧바로 모든 악성 계정과 오쓰 앱을 중지했다. 마이크로소프트는 고객을 보호하기 위해 위협자가 소유한 애플리케이션과 계정을 사용 중지했다며 추가 보안 대책을 실시했다고 발표했다. 관련 내용은 이곳에서 확인할 수 있다.

이석원 기자

월간 아하PC, HowPC 잡지시대를 거쳐 지디넷, 전자신문인터넷 부장, 컨슈머저널 이버즈 편집장, 테크홀릭 발행인, 벤처스퀘어 편집장 등 온라인 IT 매체에서 '기술시대'를 지켜봐 왔다. 여전히 활력 넘치게 변화하는 이 시장이 궁금하다.

뉴스레터 구독

Most popular