이석원 기자
조직 클라우드 환경에 침입하는데 사용되는 악의적 오쓰(OAuth) 애플리케이션을 만들었기 때문에 마이크로소프트는 여러 악성 마이크로소프트 파트너 네트워크 계정을 비활성화했다. 이 계정은 공인 회사가 차지했으며 마이로소프트의 발행자 확인(verify publisher) 인증을 받았다.
보안 기업 프루프포인트(Proofpoint)와의 공동 발표에 따르면 위협자는 공인 기업을 가장해 MCPP(Microsoft Cloud Partner Program)에 등록해 정당한 기업으로 인증되는데 성공했다고 한다. MCPP에서 만든 오쓰 앱에는 애저 액티브 디렉터리(Azure Active Directory) 동의 프롬프트에 파란색 체크 표시가 포함되어 사용자에게 이 앱이 더 신뢰할 수 있다는 걸 알 수 있다.
위협자는 이런 계정을 이용해 발행자 확인된 오쓰 앱을 애저 AD에 등록하고 영국과 아일랜드 기업을 표적으로 한 동의 피싱(consent phishing) 공격을 실시하고 있었다고 한다. 동의 피싱 공격은 악의적 클라우드 애플리케이션에 권한을 부여하도록 사용자를 유도하는 공격이다.
마이크로소프트에 따르면 악의적 오쓰 앱은 고객 이메일을 훔치는데 사용됐다. 한편 프루프포인트는 앱 권한으로 이메일에 대한 액세스 뿐 아니라 캘린더와 회의 정보에 대한 액세스와 사용자 권한 변경이 가능했다고 경고하고 있다.
프루프포인트는 3개 공개 회사에서 제공하는 악의적 오쓰 앱 3개를 확인했지만 모두 동일 조직을 대상으로 했으며 여러 사용자가 이 공격 영향으로 조직이 위험에 처했다는 증거도 확인되고 있다고 한다.
또 프루프포인트는 2022년 12월 15일 위협 정보를 공개한 뒤 마이크로소프트는 곧바로 모든 악성 계정과 오쓰 앱을 중지했다. 마이크로소프트는 고객을 보호하기 위해 위협자가 소유한 애플리케이션과 계정을 사용 중지했다며 추가 보안 대책을 실시했다고 발표했다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
