마이크로소프트 Teams와 Zoom, ‘유령 통화(Ghost Calls)’ 공격에 취약점 노출?
최근 보안 연구진에 의해 마이크로소프트 Teams와 Zoom 같은 화상 회의 플랫폼을 악용한 새로운 공격 기법, ‘유령 통화(Ghost Calls)’가 발견되어 기업 보안에 새로운 위협으로 떠오르고 있습니다. 이 공격은 정상적인 화상 회의 트래픽에 숨어 탐지를 회피하는 방식으로, 기존 보안 시스템을 무력화할 수 있다는 점에서 심각성을 더합니다.
유령 통화 공격이란 무엇인가?
유령 통화 공격은 공격자가 Zoom이나 Teams와 같은 화상 회의 플랫폼이 사용하는 TURN (Traversal Using Relays around NAT) 서버를 통해 공격 트래픽을 전송하여 탐지를 피하는 기술입니다. 공격자는 화상 회의 참가자에게 할당되는 일시적인 TURN 자격 증명을 탈취하여 공격자의 시스템과 피해 시스템 사이에 터널을 구축합니다.
공격 작동 방식: 기업 방화벽 무력화
이 공격의 핵심은 모든 트래픽이 기업 내에서 신뢰하는 Zoom/Teams IP 주소와 도메인을 통해 라우팅된다는 점입니다. 일반적으로 기업 방화벽 내에서 화이트리스트에 등록된 이러한 주소를 사용하기 때문에, 유령 통화 공격은 쉽게 탐지를 피할 수 있습니다. 공격 트래픽이 정상적인 화상 회의 트래픽과 혼합되어 있기 때문에 더욱 감지하기 어렵습니다.
왜 Teams와 Zoom이 취약한가?
Praetorian 연구진은 화상 회의 플랫폼이 엄격한 송신 제어가 있는 환경에서도 작동하도록 설계되었기 때문에 이러한 공격에 취약하다고 설명합니다. 공격자가 시스템에 침투할 수 있다면 데이터 유출 가능성이 높아집니다. 또한, 이 트래픽은 종종 AES 또는 다른 강력한 암호화를 사용하여 종단 간 암호화되므로 분석이 불가능하고, 공격자가 숨기에 완벽한 장소가 됩니다.
벤더의 대응: 보안 강화가 필수적
TURN 자격 증명은 일반적으로 2~3일 후에 만료되므로 터널의 수명은 짧습니다. 하지만 Praetorian은 벤더가 패치할 취약점이 있는 것은 아니며, 유령 통화 공격을 방지하기 위해 추가적인 보안 장치를 도입하는 데 집중해야 한다고 강조합니다. 벤더들은 비정상적인 TURN 자격 증명 사용 패턴을 감지하고, 의심스러운 활동을 모니터링하는 등 적극적인 보안 조치를 강화해야 합니다.
기업 보안 담당자의 역할
기업 보안 담당자는 화상 회의 플랫폼의 보안 설정을 강화하고, 비정상적인 네트워크 트래픽을 감지하기 위한 모니터링 시스템을 구축해야 합니다. 또한, 직원들에게 보안 위협에 대한 교육을 실시하여, 의심스러운 링크나 파일에 대한 경각심을 높이는 것이 중요합니다. 제로 트러스트 보안 모델을 도입하여 내부 네트워크에 대한 접근 권한을 최소화하는 것도 효과적인 방어 전략이 될 수 있습니다.
데이터 유출 가능성
공격자는 유령 통화 공격을 통해 민감한 데이터를 유출하거나, 내부 시스템에 대한 접근 권한을 획득할 수 있습니다. 탈취된 데이터는 경쟁 기업에 판매되거나, 랜섬웨어 공격의 인질로 사용될 수 있으며, 기업의 평판에 심각한 타격을 입힐 수 있습니다. 유령 통화 공격은 단순히 기술적인 문제가 아니라, 기업의 존립을 위협하는 심각한 보안 문제로 인식해야 합니다.
장기적인 보안 전략 수립의 중요성
유령 통화 공격과 같은 새로운 위협에 대응하기 위해서는 단기적인 대응책뿐만 아니라, 장기적인 보안 전략 수립이 필요합니다. 기업은 보안 전문가의 도움을 받아 자체적인 위협 모델링을 수행하고, 취약점을 지속적으로 개선해야 합니다. 또한, 최신 보안 기술을 도입하고, 보안 인력을 양성하여 사이버 공격에 대한 대응 능력을 강화해야 합니다.
결론
마이크로소프트 Teams와 Zoom을 비롯한 화상 회의 플랫폼은 현대 업무 환경에서 필수적인 도구이지만, 보안 취약점을 악용한 공격에 노출될 수 있다는 점을 간과해서는 안 됩니다. 기업은 유령 통화 공격과 같은 새로운 위협에 대한 경각심을 높이고, 적극적인 보안 조치를 통해 사이버 공격으로부터 안전한 업무 환경을 구축해야 합니다.
