Storm-2949, Microsoft 365 비밀번호 재설정 악용해 클라우드 데이터 탈취

Storm-2949, Microsoft 365 비밀번호 재설정 악용해 클라우드 데이터 탈취

Microsoft는 Storm-2949로 추적되는 위협 행위자가 Microsoft 365 및 Azure 환경을 사용하는 조직을 대상으로 수행한 정교한 다단계 캠페인에 대한 세부 정보를 발표했습니다. 이 Microsoft 365 클라우드 자격 증명 공격에서 특히 주목할 만한 점은 진입점입니다. 대부분의 관리자가 일상적이고 위험도가 낮다고 생각하는 기능, 즉 셀프 서비스 비밀번호 재설정(SSPR)입니다. 일단 침투한 공격자는 OneDrive, SharePoint, SQL 데이터베이스를 조용히 이동하며 탐지되기 전에 고가치 데이터를 추출했습니다.

이번 캠페인은 클라우드 플랫폼이 그에 구축된 구성과 가정만큼만 안전하다는 사실을 분명히 상기시켜 줍니다.

Storm-2949가 셀프 서비스 비밀번호 재설정을 무기화한 방법

셀프 서비스 비밀번호 재설정은 널리 도입된 편의 기능입니다. 직원이 IT 부서에 연락하지 않고도 계정 액세스를 복구할 수 있어 헬프데스크 부담과 다운타임을 줄여줍니다. 대부분의 보안 팀은 이를 무해한 것으로 간주합니다. Storm-2949는 이를 문으로 여겼습니다.

SSPR 기능을 악용함으로써 위협 행위자는 무차별 대입으로 비밀번호를 해독하거나 멀웨어를 배포할 필요 없이 사용자 ID를 탈취할 수 있었습니다. 이 공격은 SSPR이 구성되거나 검증되는 방식의 취약점을 이용하여 합법적인 계정을 장악했습니다. 자격 증명이 재설정되고 액세스가 확보되면 공격자는 정상적인 사용자 활동에 섞여 들어가 행동 기반 탐지를 훨씬 더 어렵게 만들었습니다.

이 접근 방식은 엔드포인트 보안 도구가 포착하도록 설계된 많은 신호를 우회하기 때문에 주목할 만합니다. 악성 실행 파일도, 의심스러운 다운로드도, 명백한 침입 시그니처도 없습니다. 공격자는 단순히 유효한 사용자로 로그인할 뿐입니다.

어떤 데이터가 노출되었는가 — 그리고 왜 클라우드 스토리지가 고가치 표적인가

초기 액세스 권한을 얻은 후 Storm-2949는 명확한 목표를 가지고 Microsoft 365 및 Azure 생태계를 이동했습니다. 바로 최대한 많은 고가치 데이터를 추출하는 것입니다. 대부분의 기업 환경에서 문서 저장 및 협업에 사용되는 OneDrive와 SharePoint가 주요 표적이었습니다. Azure 인프라에 연결된 SQL 데이터베이스에도 접근하여 데이터가 유출되었습니다.

현대 조직이 이러한 서비스에 저장하는 데이터의 규모는 정교한 위협 행위자들에게 명백한 표적이 되게 합니다. 비즈니스 계약서, 재무 기록, 고객 데이터, 내부 커뮤니케이션, 독점 연구 자료 등이 모두 SharePoint나 OneDrive에 저장되는 경우가 많습니다. Azure에 연결된 SQL 데이터베이스에는 수익화되거나 후속 공격에 사용될 수 있는 구조화된 운영 데이터가 포함되어 있는 경우가 많습니다.

이 패턴은 다른 대규모 자격 증명 수집 사건에서 관찰된 것과 매우 유사합니다. Charter Communications 기록 4천만 건을 노출한 ShinyHunters 비싱 공격도 유사한 논리를 따랐습니다. 즉, 정상적으로 보이는 액세스 권한을 얻은 다음 방어자가 대응하기 전에 최대한 많은 데이터를 추출하는 것입니다. 클라우드 스토리지는 엄청난 가치를 한곳에 집중시키므로, 바로 그것이 표적이 되는 이유입니다.

자격 증명 기반 공격이 기존 방어를 우회하는 이유

전통적인 보안 아키텍처는 공격자가 침입한다는 개념을 중심으로 구축되었습니다. 소프트웨어 취약점을 악용하거나, 멀웨어를 배포하거나, 네트워크 트래픽을 가로챕니다. 경계 방어, 안티바이러스 도구, 침입 탐지 시스템은 모두 이러한 행동을 포착하도록 설계되었습니다.

자격 증명 기반 공격은 그 가정을 뒤집습니다. 공격자는 침입하는 것이 아니라 걸어 들어옵니다. Storm-2949가 SSPR을 사용하여 합법적인 계정을 장악하면, 이후의 모든 행동은 해당 사용자가 정상적으로 작업하는 것처럼 보입니다. 파일 액세스 로그에는 인식된 ID가 표시됩니다. 네트워크 트래픽은 예상된 서비스에서 발생합니다. 비정상적인 행동을 포착하도록 조정된 경고 임계값이 전혀 작동하지 않을 수 있습니다.

이는 브라우저와 플랫폼 취약점을 매우 위험하게 만드는 것과 동일한 위험 범주에 속합니다. Pwn2Own Berlin 2026의 연구원들은 Windows 11 및 Edge 제로데이를 연결하여 심층 시스템 액세스 권한을 얻을 수 있음을 시연하며, 신뢰할 수 있는 주류 플랫폼조차 악용 가능한 취약점을 가지고 있음을 보여주었습니다. Storm-2949의 캠페인은 클라우드 ID 인프라가 동일한 범주의 위험을 수반한다는 것을 보여줍니다.

일단 공격자가 익스플로잇이 아닌 ID를 통해 거점을 확보하면, 격리 작업이 훨씬 더 복잡해집니다.

실질적인 완화 조치: MFA, 감사 로그, 그리고 더 현명한 클라우드 구성

Storm-2949 캠페인은 조직과 개인이 노출을 줄이기 위해 취할 수 있는 구체적인 단계를 제시합니다.

SSPR 구성을 감사하세요. 셀프 서비스 비밀번호 재설정이 활성화된 경우 어떤 인증 방법이 필요한지 확인하세요. 전화 기반 복구 옵션은 가로채거나 사회공학적으로 조작될 수 있습니다. 여러 요소를 요구하거나 SSPR을 관리 기기로만 제한하면 공격자에게 큰 장벽이 됩니다.

모든 계정에 피싱 방지 MFA를 적용하세요. 표준 SMS 기반 다중 요소 인증은 실질적인 보호를 제공하지만 SIM 스와핑 및 특정 사회공학 전술에 여전히 취약합니다. FIDO2 표준을 사용하는 하드웨어 보안 키 또는 앱 기반 인증자는 악용하기 훨씬 더 어렵습니다.

조건부 액세스 정책을 검토하세요. Microsoft 365와 Azure는 모두 기기 규정 준수, 위치, 위험 신호에 따라 로그인을 제한할 수 있는 조건부 액세스 제어 기능을 제공합니다. 많은 조직이 이러한 기능을 사용할 수 있지만 활용하지 않고 있습니다.

비정상적인 데이터 액세스 패턴을 모니터링하세요. 공격자가 합법적인 자격 증명을 사용하더라도 짧은 시간 안에 수백 개의 SharePoint 문서에 액세스하거나 대량의 OneDrive 파일을 다운로드하는 경우 경고가 발생해야 합니다. Microsoft Defender for Cloud Apps 또는 동등한 모니터링 도구를 구성하여 대량 데이터 액세스를 표시하는 것은 실용적인 탐지 계층입니다.

클라우드 액세스에 대한 네트워크 수준 보호를 고려하세요. VPN을 사용하여 클라우드 서비스 액세스가 알려진 모니터링 네트워크 경로를 통해서만 이루어지도록 강제하면 알려지지 않은 위치에서의 자격 증명 남용에 대한 공격 표면을 제한하는 데 도움이 될 수 있습니다.

이것이 의미하는 바

대규모 엔터프라이즈 환경을 관리하든 업무용으로 Microsoft 365를 개인적으로 사용하든, Storm-2949 캠페인은 클라우드 보안이 기본적으로 켜져 있는 기능이 아니라는 점을 보여줍니다. Microsoft 365 및 Azure와 같은 플랫폼은 강력한 보안 도구를 제공하지만, 이러한 도구가 효과적이려면 의도적인 구성과 지속적인 모니터링이 필요합니다.

조직이 민감한 데이터를 클라우드 스토리지에 의존하고 있다면 지금이 ID 및 액세스 제어를 감사할 때입니다. 특히 누구에게 SSPR이 활성화되어 있는지, 어떻게 검증되는지, MFA가 일관되게 적용되는지, 그리고 데이터 액세스 모니터링이 활성화되어 있는지 검토하세요.

플랫폼이 보안을 자동으로 처리한다고 가정하는 것은 바로 이 캠페인이 악용한 자세입니다. 액세스 제어를 검토하는 데 몇 시간을 투자하는 것이 며칠 또는 몇 주에 걸쳐 OneDrive나 SharePoint 데이터가 은밀히 유출된 사실을 발견하는 것보다 훨씬 적은 비용입니다.