사용자 기업들 사이에서 오피스 365 도입하는 비율 높아지고 있어…공격자들 연구 활발
그저 이메일 및 공유 플랫폼으로만 생각하면 안 돼…클라우드에 대한 학습부터 선행되어야

기업들의 이메일 플랫폼 시장을 MS 오피스 365가 점점 장악하고 있는 상황이다. 때문에 사이버 범죄자들 사이에서도 오피스 365에 대한 관심이 높아지고 있다. 보안 업체 맨디언트(Mandiant)의 조시 매들리(Josh Madeley)에 의하면 “APT 공격자들도 오피스 365를 창의적인 방법으로 공격에 활용하고 있다”고 한다.

오피스 365에는 정보 공유와 협업을 위한 도구인 익스체인지(Exchange), 팀즈(Teams), 셰어포인트(SharePoint), 원드라이브(OneDrive)와 같은 것들이 포함되어 있다. 이 툴들에 저장되어 있는 데이터만 생각해도 공격자들이 오피스 365를 노린다는 게 그리 이상하게 생각되지 않는다. “심지어 오피스 365만 잘 털어도, 굳이 회사의 온프레미스 네트워크를 해킹할 필요가 없게 되죠.”

작년 한 해 동안에도 수많은 APT 단체들이 오피스 365에 대한 관심을 보였다. 맨디언트의 수석 컨설턴트인 더그 비엔스톡(Doug Bienstock)은 “이제 오피스 365 플랫폼은 정보의 광산과 같다”고 표현한다. “APT 공격자들은 원래 데이터를 노리는 경우가 많고, 보다 많은 데이터를 갖기 위해 오랜 기간 동안 피해자의 네트워크에 머물러 있는 걸 선호합니다. 또한 한 기업을 침해해 다른 기업을 침투하는 경우도 많죠. 그렇기 때문에 이메일 등이 있는 오피스 365가 안성맞춤일 수밖에 없습니다. 온갖 정보와, 타 회사와의 연락 내용도 메일에 보통 들어 있으니까요.”

심지어 이메일만 유용한 것도 아니다. “개발자들은 주로 팀즈를 활용해 API 키나 취약점 정보를 나눕니다. 셰어포인트로도 이런 식의 이야기가 진행되고, 원드라이브에 여러 민감 정보를 저장해두고 어디서나 작업하는 걸 선호하죠. 공격자 입장에서 오피스 365가 갖는 가치는 무궁무진합니다. 특히나 코로나 때문에 이런 협업 도구들이 보편화 된 지금 시점에서는 더 그렇습니다.”

기술력이 그리 높지 않은 해커의 경우 오피스 365를 BEC 기법으로 공략하려 한다. APT 단체들은 오피스 365의 관리자 계정을 탈취하려고 한다. 관리자 계정을 확보하면 오피스 365라는 인프라가 회사 내 온프레미스 네트워크와 어떤 식으로 결합되어 있는지도 알 수 있고, 이를 통해 공격 전략을 보다 효과적으로 짤 수 있기 때문이다. 특히 액티브 디렉토리(Active Directory)가 주요한 접근점이 된다고 한다.