Entra ID 계정을 노리는 해커, 합법적인 도구를 악용하다: 패스워드 스프레이 공격 주의보

최근 사이버 공격자들이 합법적인 침투 테스트 도구를 악용하여 Microsoft Entra ID 사용자 계정을 대상으로 패스워드 스프레이 공격을 감행하고 있다는 경고가 나왔습니다. Proofpoint의 사이버 보안 연구원들은 TechRadar Pro에 공유한 심층 분석에서 수만 개의 계정이 표적이 되었고 일부 계정이 실제로 해킹당했다고 밝혔습니다.

UNK_SneakyStrike: 대규모 패스워드 스프레이 공격

연구원들은 ‘UNK_SneakyStrike’라고 명명된 대규모 공격을 감행한 익명의 위협 행위자들을 발견했습니다. 이들은 2021년 초 한 위협 연구원이 개발하여 DefCon30에서 공개적으로 배포한 TeamFiltration이라는 합법적인 침투 테스트 도구를 사용했습니다.

TeamFiltration: 양날의 검

TeamFiltration은 최신 ATO(Account Takeover) 공격 체인에서 사용되는 다양한 전술, 기술 및 절차(TTP)를 자동화하는 데 도움이 됩니다. Proofpoint는 "침투 테스트 및 위험 평가와 같이 합법적인 용도로 처음 만들어져 배포된 많은 보안 도구와 마찬가지로 TeamFiltration도 악의적인 활동에 활용되었습니다."라고 설명했습니다.

공격의 시작과 전개

연구원들은 공격이 2024년 12월에 시작되었을 가능성이 높다고 밝혔습니다. 공격자들은 Microsoft Teams API와 전 세계에 위치한 Amazon Web Services (AWS) 서버를 악용하여 사용자 열거 및 패스워드 스프레이 공격을 시작했습니다. 공격은 약 100개의 클라우드 테넌트에서 약 8만 개의 사용자 계정을 대상으로 이루어졌습니다.

공격의 근원지

공격이 시작된 주요 3개 지역은 미국(42%), 아일랜드(11%), 영국(8%)입니다. 공격자들은 "몇몇 사례"에서 계정을 탈취하여 Microsoft Teams, OneDrive, Outlook 및 기타 생산성 도구에서 중요한 정보에 접근할 수 있었습니다.

배후는 누구인가?

현재까지 이 공격의 배후에 있는 조직화된 위협 행위자는 밝혀지지 않았습니다. 연구원들은 주로 합법적인 도구를 불법적인 목적으로 사용하는 것에 초점을 맞추고 있으며, 이러한 도구가 사용자 계정 탈취, 민감한 데이터 유출, 지속적인 발판 마련 시도에 "쉽게 무기화될 수 있다"고 경고합니다.

앞으로의 전망

Proofpoint는 "위협 행위자들이 효과가 떨어지는 침투 방법에서 벗어나 TeamFiltration과 같은 고급 침투 도구 및 플랫폼을 점점 더 많이 채택할 것으로 예상합니다."라고 밝혔습니다.

맺음말

합법적인 도구를 악용한 사이버 공격이 증가하고 있습니다. 사용자들은 강력한 암호를 사용하고, 다단계 인증을 활성화하고, 보안 업데이트를 꾸준히 적용하여 Entra ID 계정을 보호해야 합니다.