최근 사이버 보안 연구자들이 APT29(일명 Midnight Blizzard, Cozy Bear)가 진행한 새로운 크리덴셜 탈취 작전을 적발했습니다.
APT29는 러시아 외무정보국(SVR)과 직접 연결된 조직으로, 2008년부터 꾸준히 미국과 유럽의 정부, 군, NGO, IT 기업들을 공격해온 국가 지원 해킹 그룹입니다.
이번 공격은 단순한 피싱 메일 수준이 아니라, 합법적인 웹사이트를 해킹해 악성 스크립트를 삽입하고 방문자를 속이는 ‘워터링 홀(Watering Hole)’ 기법이 활용된 점이 특징입니다.
워터링 홀 공격, 어떻게 진행됐나? 🕵️♂️
APT29는 먼저 여러 정상 웹사이트를 침해했습니다.
그리고 여기에 난독화된 자바스크립트 코드를 심어두었죠.
이 코드는 웹사이트 방문자 중 일부만 특정 도메인으로 리디렉션하는 역할을 했습니다.
흥미로운 점은 공격자들이 탐지를 피하기 위해 아주 정교한 조치를 취했다는 겁니다.
- 전체 방문자 중 단 10%만 악성 페이지로 이동
- 쿠키 설정을 통해 동일한 사용자는 반복적으로 유도하지 않음
- base64 인코딩을 이용해 코드 자체를 숨김
결국 사용자가 평범한 사이트를 방문했음에도, 일부는 APT29가 만든 가짜 Cloudflare 보안 검증 페이지로 이동하게 됩니다.
가짜 Cloudflare 페이지의 속임수 🕸️
APT29가 만들어둔 페이지는 실제 Cloudflare의 “봇 차단/인증 페이지”와 유사하게 설계되었습니다.
- “나는 봇이 아닙니다” 체크박스
- 이메일 입력 창
사용자가 이메일을 입력하고 안내를 따라가면, 마이크로소프트 디바이스 코드 인증(Device Code Authentication) 과정을 밟게 됩니다.
문제는 이 흐름이 실제 Microsoft 계정 보안 기능처럼 보이지만, 사실상 사용자가 공격자의 기기를 자신의 계정에 신규 디바이스로 승인해버리게 된다는 겁니다.
즉, 로그인 자격 증명을 직접 탈취하지 않아도, 공격자는 피해자의 계정 접근 권한을 얻게 됩니다.
Device Code Authentication 공격, 왜 위험한가? 🔑
보통 계정 탈취는 피싱 메일이나 패스워드 스프레이 같은 방식이 많습니다. 하지만 디바이스 코드 인증 악용은 아직 많이 알려지지 않은 전술입니다.
보안 업체 Volexity에 따르면 올해에만 최소 3개의 러시아계 APT 그룹이 이 방식을 사용했으며, 그중 하나가 APT29였습니다.
이 방식은 전통적인 피싱보다 성공률이 높다고 분석되었죠.
APT29가 이를 활용했다는 것은 기존의 수법에서 한 단계 진화했음을 보여줍니다.
아마존의 대응과 차단 🛡️
아마존 위협 인텔리전스팀은 이번 캠페인을 탐지하고, 공격 인프라 일부를 차단하는 데 성공했습니다.
흥미로운 사실은 공격 인프라 중 일부가 AWS EC2 인스턴스를 사용하고 있었다는 점입니다.
아마존은 즉시 Cloudflare·Microsoft와 협력하여 공격자 도메인을 차단했고, 이후 APT29가 다른 클라우드 제공업체로 이주해도 계속 추적과 방해 작업을 이어갔다고 밝혔습니다.
이 과정에서 AWS 자체 인프라가 침해된 적은 없었다고 강조했습니다.
조직이 취할 수 있는 방어책 ✅
APT29의 이번 작전은 단순한 공격이 아니라, 보안 담당자들에게 큰 교훈을 남겼습니다.
특히 Microsoft 디바이스 코드 인증 기능을 사용하는 조직은 주의가 필요합니다.
- 필요 없는 경우 해당 기능 비활성화: 인증 절차 단순화와 공격 표면 축소
- 조건부 접근 정책 강화: 위치, 디바이스 상태, 리스크 기반 접근 통제 적용
- 인증 로그 모니터링: 신규 디바이스 등록 이벤트 집중 점검
- 다중 인증(MFA) 기본 적용: 계정 보호의 기본 수단
아마존의 CISO CJ Moses는 “조직이 Microsoft의 인증 흐름 보안 가이드를 검토하고 필요하지 않다면 기능을 끄는 것이 바람직하다”고 조언했습니다.
정리 ✍️
APT29는 오랜 기간 세계 주요 기관들을 괴롭혀온 대표적인 러시아 국가 지원 해킹 그룹입니다.
이번 워터링 홀 공격은 합법적인 사이트를 악용하고, 잘 알려지지 않은 인증 절차를 교묘히 활용해 탐지를 최소화하면서 계정을 탈취하려 했다는 점에서 주목됩니다.
아마존의 신속한 대응 덕분에 이번 캠페인은 크게 확산되지 않았지만, 이 사건은 여전히 중요한 메시지를 줍니다.
“APT는 진화하고 있고, 방어자들도 인증·클라우드 보안을 더 강화해야 한다”는 점이죠.
'CyberSecurity > Cyber Incidents📛' 카테고리의 다른 글
| 일본 노린 MostereRAT 피싱 캠페인: AV 무력화와 원격제어까지 😨 (0) | 2025.09.09 |
|---|---|
| Salesloft Drift 공급망 해킹, 글로벌 보안기업까지 뚫렸다 🔓 (0) | 2025.09.03 |
| Nx 빌드 시스템 공급망 공격, 수천 개 자격 증명 유출된 사건 ⚠️ (3) | 2025.08.31 |
| Anthropic Claude Code, 사이버 범죄자가 대규모 데이터 탈취와 협박에 활용 (4) | 2025.08.29 |
| Salesforce, OAuth 토큰 악용한 대규모 데이터 유출 사건 발생 (2) | 2025.08.28 |