[글로벌-Biz 24] MS 365 해커들, 옥스퍼드대 이메일 서버·삼성 도메인 '뚫었다'

해커들이 옥스퍼드 대학교 이메일 서버를 탈취해 마이크로소프트 오피스 365 크리덴셜(개인 신상 암호화 정보)을 수집, 악성 메일을 전송하는 데 악용하고 있는 것으로 드러났다. 특히 해커들은 이 같은 메일 탈취를 위해 어도비 서버에서 호스팅 된 삼성전자의 예전 도메인(2018년 사이버 먼데이에 설정된 도메인)을 활용했으며, 송신 이메일 도메인은 옥스포드 대학교 부서 소속으로 위장했다. 이 공격은 주로 유럽을 포함한 아시아, 중동 지역 이용자들을 상대로 나타났다.

18일(현지 시간) 포브스에 따르면, 사이버 보안업체 체크포인트는 이 같은 피싱 메일 전송 전황을 발견하고 관련 보고서를 발표했다.
악성 메일을 보내기 위해 해커들은 옥스퍼드 대학, 어도비, 삼성 등 평판 높은 브랜드를 차용해 피해자들이 본인의 MS 오피스 365 계정 정보를 넘기도록 속였다.

체크포인트의 로템 핀켈스타인(Lotem Finkelstein) 연구원은 "공격자들은 송신자들이 도메인 평판 체크를 우회해 접근했고, 이메일 주소를 원하는 만큼 생성할 수 있어서 피싱 메일 발송을 위해 이메일 계정을 해킹할 필요도 없었다"고 설명했다.
이 같은 해킹 활동은 지난 4월 체크포인트 연구원들이 오피스 365 음성 메시지로 위장한 의심스러운 이메일을 확인하다 발견했다. 이 악성 메일은 메일을 받은 이용자들에게 오피스 365 계정으로 이동하도록 보이는 링크 이동 단추를 표시했다. 아울러 메일 상단에 '신뢰할 수 있는 서버 메시지'라는 알림을 뜨게 했다.

공격자들은 삼성 도메인을 사용해 피해자를 MS 오피스 365 테마를 가장한 어도비 이메일 마케팅 관련 웹페이지로 리디렉션하도록 하는 방법을 사용했다. 즉 삼성과 같은 평판 좋은 도메인 액세스가 보안 소프트웨어에 의해 차단되지 않는 점을 활용했다고 체크포인트 측은 밝혔다.

공격자들이 차용한 이같은 리디렉션 메커니즘은 이용자를 방금 클릭한 URL에 지정된 대상으로 리디렉션하게 해 광고에 대한 지속성을 측정하고 모니터링할 수 있게 해준다.

일단 공격자들은 메일을 통해 누락된 오피스 365 보이스 메일 확인 관련 이메일을 피해자들에게 전달했다. 메일을 클릭하면 MS계정으로 이동해 해당 음성 메시지를 들을 수 있게 해주는 듯한 링크 단추가 들어있다.

피해자들이 단추를 클릭하고 오피스 365 페이지로 들어갔을 경우 리디렉션 과정은 두 단계로 전개된다. 가장 먼저 합법적인 도메인의 기존 리디렉션 체계를 보여주고, 그 이후엔 이용자를 손상된 워드프레스 사이트로 옮기도록 한다.

대부분 이메일은 영국 옥스퍼드 대학교의 여러 부서에서 쓰이는 '합법적인' 하위 도메인 소속 주소로 돼 있었다.

체크포인트 분석 결과, 공격자들은 옥스퍼드의 SMTP(전자메일 전송을 위한 표준 프로토콜) 서버 중 하나를 악용할 방법을 찾았고, 이를 통해 발신자 도메인에 대한 평판 확인을 우회할 수 있었다.

또한, 실제 이메일 해킹을 통한 도용 없이도 그럴싸한 이메일 주소를 생성할 수 있었던 것으로 파악됐다. 아울러 각 피해자에게 고유한 URL을 할당하고, 피해자들이 별도의 가상 워드프레스 사이트에 접속해 피싱 공격을 받게 했다.

현재 어도비 역시 이런 공격 유형 존재를 파악했으며, 고객사 서버를 통해 발생되는 이런 유형의 공격을 예방하기 위해 적절한 조처를 한 상황이라고 체크포인트는 덧붙였다.


박수현 글로벌이코노믹 기자 psh@g-enews.com