마이크로소프트(MSFT)가 발표한 최신 보고서에 따르면, 사이버 범죄 조직 '스톰-0501(Storm-0501)'이 클라우드 환경을 겨냥한 새로운 형태의 랜섬웨어 공격을 본격화하고 있다. 기존의 온프레미스 기반 손상 방식에서 벗어나, 이제는 클라우드 기능 자체를 무기로 활용하는 전술로 전환하고 있다는 점에서 경고음을 울리고 있다.
스톰-0501은 2021년 미국 학군을 상대로 첫 공격을 감행하며 존재를 드러낸 이래, 2023년에는 헬스케어 분야까지 공격 대상을 확대했다. 현재는 애저(Azure) 클라우드 환경을 기반으로 악성 활동을 벌이며, 데이터 유출과 서비스 파괴를 주요 수단으로 삼는다.
기존 랜섬웨어 조직과 달리, 스톰-0501은 악성코드를 직접 배포하지 않는다. 대신 마이크로소프트의 클라우드 플랫폼에 내장된 정상 기능을 역이용해, 피해자의 데이터를 은닉·삭제하거나 자산을 파괴한 뒤 몸값을 요구한다는 점이 특징적이다. 특히 백업 지점을 제거하고 리소스 잠금 설정을 해제한 후, 볼트키와 암호화 범위를 조작해 데이터를 영구적으로 접근 불가한 상태로 만들고 있다.
보고서에 따르면, 이 그룹은 초기에 액티브 디렉터리 환경을 침해한 뒤, 마이크로소프트 엔트라 ID로 이동하며 사용자 계정과 자산 목록을 탐지해 전방위적 통제를 확보한다. 다중 인증이 설정되지 않은 글로벌 관리자 계정을 인계하며 권한 획득에 성공한 이후엔, 악의적 연합 도메인을 등록하며 지속적인 접근 경로까지 마련한다.
또한 엔트라 커넥트의 동기화 계정을 악용해 판단할 수 있는 중요한 지표를 은닉하고, 클라우드 저장소 기능을 이용해 대량의 기밀 데이터를 외부로 유출한다. 삭제 가능한 스냅샷이나 복원 포인트는 모두 제거되며, 이로 인해 보안 체계가 무력화되는 사례가 급증하고 있다.
마이크로소프트는 이와 같은 위협에 대응하기 위해, 이메일 피싱에 내성이 있는 다중 인증(MFA) 도입을 최우선적으로 권고했다. 여기에 계정 권한 최소화, 조건부 접근 정책 적용, 그리고 마이크로소프트 디펜더 제품군을 통한 전방위 모니터링 강화가 필요하다고 강조했다. 이 밖에 변경 불가능한 스토리지 설정, 키 볼트의 ‘삭제 방지’ 기능, 철저한 백업 체계 구축 등을 통해 피해 확산을 막을 수 있다고 덧붙였다.
이번 보고서는 스톰-0501의 비정형 공격 방식과 클라우드 환경의 구조적 취약성을 함께 조명하면서, 보안 전략이 여전히 에지 기기 중심에 치우쳐 있는 기업들에 경각심을 안기고 있다. 클라우드가 디지털 전환의 핵심 인프라로 부상한 지금, 그 어느 때보다 정교하고 다층적인 보안 체계가 요구되고 있다.