[데이터넷] 마이크로소프트는 자사 임원의 이메일 해킹 사고를 분석한 결과, 공격자가 사용자 인증을 위한 OAuth 표준을 남용해 침입했다고 밝혔다. 이 사고는 노벨리움(NOBELIUM)이라고도 불리는 러시아 배후 공격조직 미드나잇 블리자드(Midnight Blizzard)의 소행으로 알려지며, 초기 액세스를 활용해 기업 환경에 대한 액세스 권한이 있는 레거시 테스트 OAuth를 이용해 침투한 것으로 분석됐다.

그리고 공격자는 OAuth 애플리케이션을 추가로 만들고, 공격자가 제어하는 악성 OAuth 애플리케이션을 위한 새로운 사용자 계정을 만들었다. 그리고 레거시 테스트 OAuth 애플리케이션을 사용해 이메일 사서함 액세스를 허용하는 오피스 365 익스체인지 온라인 접근 역할을 부여했다.

공격자는 11월 말부터 MFA가 활성화되지 않은 비 프로덕션 테스트 테넌트 계정을 대상으로 비밀번호 스프레이 공격을 진행했다. 분산된 주거용 프록시 인프라를 집중 공격했으며, 비밀번호 입력이 일정 횟수 이상 지나면 접속이 차단되도록 한 정책을 피하기 위해 접속 시도 횟수를 적게 했다.

한편 지난해 5월 중국 배후 해커들이 마이크로소프트 취약점을 악용해지나 라이몬도 미국상무장관을 비롯한 미국 정보 관료의 이메일 계정에 액세스 한 사실이 알려지기도 했다. 이번 공격을 수행한 노벨리움은 솔라윈즈 공급망 공격을 벌였으며, 여러 대기업, 미국 주요 기관에 광범위하게 접근한 것으로 알려진다.

김선애 기자 다른기사 보기