사이버 보안 기업 체크포인트(Check Point) 산하 아바난(Avanan) 연구팀이 마이크로소프트 팀스를 악용한 사이버 공격을 발견했다.
해외 온라인 테크 매체 테크리퍼블릭은 연구팀은 해커 세력이 인기 원격 근무 툴인 팀스를 이용해 기업 사용자를 겨냥한 악성 프로그램 감염 공격을 개시했다고 밝힌 사실을 보도했다.
원격 근무 확산 추세와 함께 팀스가 음성 통화와 화상회의, 채팅 등 다양한 기능을 지원하면서 인기를 얻자 사이버 공격 측면에서 수많은 피해자를 대상으로 공격을 개시할 수 있는 수단이 되었다.
또, 해커 세력이 공격하고자 하는 기업과 관련된 모든 대화를 다양한 경로로 얻을 수 있는 수단이 되었다. 팀스는 사용자 간 민감 정보가 담긴 파일 공유가 가능하다는 점에서 지식재산권 관련 정보 등 각종 민감 정보 노출 위험성을 지닌 것으로 파악됐다.
아바난 연구팀은 지금까지 해커 세력은 팀스 사용자를 무작위로 선택해 피싱과 같은 공격 수법을 동원해 이메일 기밀 정보를 손에 넣었다고 밝혔다.
공격은 다양한 팀스 대화에 ‘UserCentric.exe’와 같이 .exe 파일을 첨부하여 악성 파일 설치를 유도하는 방식으로 이루어졌다. 악성 파일은 윈도 등록 데이터를 작성하고, DLL 파일을 설치하면서 프로그램이 자가 관리를 할 수 있는 단축 링크를 생성하면서 컴퓨터 제어 권한을 갖는다.
연구팀이 공개한 내용을 보았을 때, 피해자가 팀스에서 이메일 접속 정보 탈취 피해를 겪게 된 후 기업의 팀스 플랫폼에 접속할 수 없다. 연구팀은 이와 같은 피해 사례가 월평균 수천 건 발생한 것으로 확인했다.
팀스를 동원한 공격의 최종 목표는 구체적으로 공개되지 않았으나 해커 세력이 기업 내부 네트워크에서 더 많은 데이터를 탈취하거나 네트워크의 컴퓨터 전체 접근 권한을 얻는 것이 주된 공격 이유로 추정된다.
한편, 매체는 이번 공격의 피해 규모가 큰 원인으로 현재 마이크로소프트 팀스는 일반 바이러스 감지 엔진만 두고 있으며, 악성 링크 감지 시스템이 없다는 점을 지적했다. 또, 사용자가 팀스에서 공유하는 모든 대화와 파일을 신뢰하며 사이버 공격을 의심하지 않는다는 점도 그 원인으로 언급했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
