위협 행위자가 인터넷 서비스를 활용하여 데이터 도난을 강화하고 보안 방어를 약화시키는 방법

Insikt의 새로운 연구에 따르면 위협 행위자들이 정상적인 인터넷 트래픽 내에서 악의적인 활동을 숨기기 위해 Google 드라이브, OneDrive, Notion, GitHub와 같은 신뢰할 수 있는 플랫폼을 점점 더 많이 악용하는 새로운 추세가 나타나고 있습니다. 이 전술은 데이터 도난 및 운영의 효율성을 높이는 동시에 기존 방어 체계를 약화시킵니다. 지능형 지속 위협(APT) 그룹이 이 전략의 선두에 서 있으며, 덜 정교한 그룹이 그 뒤를 따르고 있습니다. 이는 위협 행위자의 혁신과 함께 진화하는 적응형 방어 전략의 필요성을 강조합니다.

이 보고서는 멀웨어 카테고리 전반에 걸쳐 합법적인 인터넷 서비스(LIS) 악용에 대한 체계적인 개요를 제공함으로써 이해의 중요한 격차를 해소합니다. 이 보고서는 위협 행위자가 누리는 이점과 방어자가 직면한 어려움으로 인해 LIS 남용이 더욱 증가할 것으로 예측합니다. 포괄적인 보고가 부족하기 때문에 추세를 명확하게 정량화하기는 어렵지만, 잘 알려진 멀웨어 군의 LIS 악용, 새로운 변종에 의한 이러한 방법의 채택, APT 그룹의 빠른 혁신은 모두 공격자 인프라에 대한 LIS 악용이 증가하는 추세를 시사합니다.

LIS를 사용한 전체 C2 인프라 설정 개요

위협 공격자의 전술이 계속 진화함에 따라 IOC(침해 지표) 차단 및 기본 탐지와 같은 기존의 방어 방식은 그 효과가 떨어질 것입니다. 네트워크, 파일 및 로그 기반 탐지 방법을 포괄하는 다각적인 접근 방식이 제안됩니다. 또한 방어자는 잠재적으로 취약한 인터넷 서비스를 선제적으로 파악하고 공격 시뮬레이션을 수행하여 한발 앞서 나가야 합니다.

이 보고서에서 400개 이상의 멀웨어 패밀리를 분석한 결과, 25%가 LIS를 어느 정도 악용하고 있으며, 이 중 68.5%는 두 개 이상의 LIS를 악용하는 것으로 나타났습니다. 인포스틸러는 데이터 유출 목적과 인프라 설정의 용이성 때문에 LIS를 가장 많이 악용할 가능성이 높습니다(37%). 멀웨어 카테고리마다 다른 인프라 체계를 채택합니다. 구글 드라이브와 같은 클라우드 스토리지 플랫폼이 가장 많이 악용되고 있으며, 텔레그램이나 디스코드와 같은 메시징 앱이 그 뒤를 잇고 있습니다.

단기적으로, 방어자는 자신의 환경 내에서 사용되지는 않지만 악의적으로 사용되는 것으로 알려진 LIS를 식별하고 차단하는 것이 좋습니다. 장기적인 보안을 위해 조직은 특정 서비스의 합법적인 사용과 악의적인 사용을 모두 이해하는 데 리소스를 투자해야 합니다. 이러한 이해는 보다 효과적이고 미묘한 탐지 방법의 개발을 촉진할 것입니다. TLS 네트워크 차단과 같은 기술은 가시성 향상을 위해 관련성이 높아지고 있지만, 개인정보 보호 및 규정 준수 문제를 야기하기도 합니다.

이러한 어려움에도 불구하고 방어자는 악성 LIS 사용 차단 또는 플래그 지정, 선제적 위협 헌팅, 다양한 탐지 방법에 집중하는 등의 조치를 구현할 수 있습니다. 효과적인 탐지 메커니즘과 전반적인 보호를 위해서는 합법적인 서비스 사용과 악의적인 서비스 사용에 대한 포괄적인 이해가 중요합니다. 이 시리즈의 다음 보고서에서는 악성 인프라로 사용되는 특정 LIS 카테고리의 악용 사례에 대해 자세히 살펴볼 예정입니다.

각주가 포함된 전체 분석 내용을 읽으려면 여기를 클릭하여 보고서를 PDF로 다운로드하세요.