ToddyCat 연계 Umbrij 멀웨어 분석: OAuth·Google API 악용으로 기업 Gmail 사서함 직접 유출

핵심 요약

  • ToddyCat 연계 Umbrij 멀웨어: OAuth 권한 흐름과 Google API를 악용해 피해 기업 사용자의 지메일 사서함 접근을 탈취하고, 그 호출을 정상처럼 위장한다.
  • 피싱 없는 침해: 사용자 자격 증명을 직접 탈취하지 않고, 정당한 API 호출처럼 위장한 인증·인가 요청으로 사서함 데이터를 직접 유출한다.
  • 표적은 기업 이메일: 기업 사내외 이메일 통신 호스팅용 Gmail을 1차 표적으로 삼아 고부가 정보 유출을 시도한다.

클라우드 신뢰 경계를 무력화하는 토큰 기반 침해는 전통적 이메일 보안 통제만으로는 탐지 한계를 가지므로 OAuth 권한 감사·제로 트러스트 재인증 체계로 선제 대응해야 한다.

정상적인 클라우드 API 호출로 위장한 이메일 사서함 침해 위협이 기업 보안에서 새로운 대응 과제로 부상하고 있다. 카스퍼스키(Kaspersky)가 보고한 토디캣(ToddyCat) 위협 행위자는 움브리주(Umbrij)라 명명된 신규 멀웨어를 통해 OAuth와 Google API를 악용, 피해 기업 사용자의 지메일 사서함에 대한 비인가 접근을 확보한 것으로 분석된다. 본 리포트는 공격의 기술적 구조와 기업 환경에 미치는 영향, 그리고 실무 적용이 가능한 대응 전략을 심층 해부한다.

들어가며: 정상 클라우드 채널을 무기로 삼는 차세대 APT

토디캣은 아시아·유럽의 정부 및 통신·방산 분야를 표적으로 삼아온 알려진 APT(Advanced Persistent Threat, 지능형 지속 위협) 그룹이다. 이번에 확인된 움브리주 멀웨어는 전통적 피싱이나 매크로 기반 첨부 파일 공격과 달리, 피해자가 인지하기 어려운 정상 API 트래픽 안에서 동작하도록 설계된 점이 특징이다. 결과적으로 보안 운영팀이 일반 트래픽과 침해 트래픽을 구분하기 어려워졌으며, 클라우드 기반 이메일 환경의 신뢰 경계 자체가 공격 표면으로 활용될 수 있다.

공격의 핵심 전제는 단순하다. OAuth는 사용자가 제3자 앱에 자신의 지메일 데이터 접근 권한을 위임할 수 있게 해주는 업계 표준 권한 위임 프로토콜이다. 움브리주는 이 정상 권한 흐름에서 발급된 토큰을 도용하여 Google API를 통한 정당한 호출처럼 위장한 인증·인가 요청을 발생시킨다. 사용자 입장에서는 로그인 이력에 비정상 단말이 표시되더라도, 정상 권한 요청으로 둔갑해 보안 이벤트로 분류되지 못하는 blind spot이 발생한다.

OAuth 권한 정기 점검과 비활성 토큰 정리

기업 환경에서 가장 먼저 정비해야 할 영역은 OAuth 기반 제3자 앱 권한과 비활성 토큰의 정기 감사다. Google Workspace 관리 콘솔에서는 사용자별 OAuth 클라이언트 ID, 부여된 스코프, 마지막 사용 시점을 확인할 수 있다. 움브리주형 공격은 장기 미사용 토큰이 침투 경로로 활용될 가능성이 높으므로, 90일 이상 미사용 토큰을 자동으로 회수하는 정책과, 비인가 클라이언트 ID가 출현할 경우 즉시 알림을 발생시키는 탐지 규칙을 동시에 적용해야 한다.

Google Workspace 로그 모니터링과 이상 행위 탐지

Google Workspace의 감사 로그(Audit Log)와 Security Investigation Tool은 OAuth 토큰 발급, 리프레시 토큰 사용, Gmail API 호출 패턴을 제공한다. 움브리주 공격은 동일 사용자 계정에서 비전형 국가·IP 대역의 API 호출이 발생하는 패턴을 보일 수 있다. 단일 이벤트 단위 탐지보다, 토큰 발급 이후 짧은 시간 내 다수의 mail.read/mail.send 스코프 호출이 발생하는 행동 패턴 기반 탐지 규칙이 효과적인 것으로 분석된다.

공격 기법 해부: OAuth 권한 흐름과 Google API 악용

움브리주의 공격 흐름은 크게 ① 권한 위임 확보 – ② 토큰 확보 – ③ 정상 API 호출 위장 – ④ 데이터 유출 4단계로 정리된다. 1단계에서 공격자는 피싱 또는 악성 OAuth 동의 화면을 통해 사용자가 직접 권한을 부여하도록 유도하거나, 이미 침해된 도메인 관리자 자격 증명을 통해 워크스페이스 레벨의 서비스 계정을 발급받을 수 있다. 2단계에서는 리프레시 토큰(Refresh Token, 장기간 사용 가능한 인증 토큰)을 확보하여 사용자가 재로그인하지 않아도 API 접근이 지속되도록 만든다.

3단계에서 공격자는 확보한 액세스 토큰으로 Google API 엔드포인트(gmail.googleapis.com 등)에 직접 요청을 전송한다. 이때 모든 호출은 공식 클라이언트 ID와 정당한 OAuth 스코프(scope, 접근 범위)를 사용하므로, IP·UA(User Agent)·TLS 핑거프린트만으로만은 정상 사용자와 구분이 어렵다. 4단계에서는 messages.list, messages.get, users.messages.attachment.get 등 API를 통해 메일 본문과 첨부 파일을 외부 인프라로 직접 유출시키며, 이 과정에서 일반적인 SMTP(간이 우편 전송 프로토콜) 기반 DLP(데이터 유출 방지) 정책의 적용을 우회한다.

Umbrij 공격 단계별 기술 요소 요약
단계 핵심 기술 악용 표면 탐지 단서
권한 위임 확보 악성 OAuth 동의, 워크스페이스 서비스 계정 발급 사용자 계정, 도메인 관리자 비인가 클라이언트 ID 등장, 미인식 앱 동의
토큰 확보 리프레시 토큰 탈취, 장기 토큰 발급 OAuth 토큰 저장소 토큰 만료 후에도 지속되는 API 호출
정상 API 호출 위장 공식 클라이언트 ID·스코프 사용 Google API 엔드포인트 비전형 국가·IP, 비정상 시각대 호출
데이터 유출 messages.list·get, 첨부 다운로드 Gmail 사서함, 메일 첨부 파일 대량 mail API 호출, 첨부 다운로드 급증

기업 환경에 미치는 영향과 위협 시나리오

움브리주형 침해는 기존의 사서함 침해 시나리오 대비 정보 유출 속도와 은밀성 면에서 한 단계 진화한 위협으로 평가된다. 메일 본문과 첨부 파일이 직접 다운로드되므로, 대외 비밀이나 계약서·기술 문서와 같은 고부가 정보가 단시간 내에 대량 유출될 수 있다. 또한 공격자는 메일 읽기 권한을 통해 내부 휴가 일정, 임원 연락처, M&A(인수합병) 검토 자료 등 2차 공격에 활용 가능한 메타데이터를 수집할 수 있는 것으로 분석된다.

특히 토큰 기반 침해는 사용자 비밀번호 변경 이후에도 리프레시 토큰이 살아있는 한 지속될 수 있다는 점에서 대응 골든타임을 축소시킨다. 보안팀이 비정상 사서함 접근을 인지한 시점에는 이미 유출이 완료되었을 가능성이 높으며, 클라우드 로그 보존 기간이 짧을수록 사후 포렌식(Forensic, 디지털 증거 분석) 가능성도 저하된다. 카스퍼스키는 토디캣 공격의 표적이 특정 산업군에 한정되지 않고, Google Workspace를 사용하는 모든 중견·대기업이 잠재적 피해군에 포함된다고 본다.

대응 전략: 클라우드 API 권한 감사 및 최소 권한 원칙 강화

움브리주형 공격에 대한 1차 대응은 클라우드 API 권한과 토큰 수명 전반에 대한 통제 강화다. 우선 OAuth 클라이언트 화이트리스트 정책을 통해 비인가 앱의 사서함 접근을 원천 차단하고, Google Workspace의 제3자 앱 접근 관리 메뉴에서 도메인 외부 앱에 부여된 mail.read·gmail.send 스코프를 정기적으로 점검해야 한다. 동시에 최소 권한 원칙(Least Privilege)을 적용해, 업무에 필요한 최소 스코프만 부여하고 임시 권한은 워크플로 기반 만료 처리를 자동화한다.

2차 대응은 모니터링과 탐지 고도화다. Google Workspace의 Admin Audit Log, Login Audit Log, OAuth Token Audit Log를 SIEM(보안 정보 및 이벤트 관리) 시스템과 통합하여 비전형 국가·IP에서의 API 호출, 단시간 내 대량 첨부 다운로드, 미인가 클라이언트 ID 사용 패턴을 자동 탐지하도록 구성한다. 알림 임계치는 사용자 1인당 1일 첨부 다운로드 건수, 비인가 IP에서의 토큰 사용 여부, 신규 OAuth 동의 발생 등으로 다축화하여 오탐을 줄이고 실제 침해 신호를 빠르게 식별한다.

제로 트러스트 기반 토큰 수명 단축 및 재인증 정책

제로 트러스트(Zero Trust, 무조건 신뢰하지 않고 모든 접근을 검증하는 보안 모델) 관점에서 토큰 수명과 재인증 주기를 단축하는 정책이 효과적인 것으로 분석된다. 리프레시 토큰 유효 기간을 기본 30일 이내로 제한하고, 비업무 시간·비전형 지역에서의 API 호출에는 강제 재인증(MFA·디바이스 신뢰 재확인)을 요구한다. 또한 사내 전 자산에 대한 디바이스 신뢰 등급을 차등 부여하여, 비관리 디바이스에서의 Google API 호출은 별도 승인 없이 차단되도록 컨텍스트 기반 접근 통제를 적용한다. 마지막으로 침해 사고 발생 시 토큰 일괄 폐기와 서비스 계정 재발급을 1시간 이내 완료할 수 있는 플레이북을 사전 마련해야 한다.

본 분석은 The Hacker News 기사 본문과 카스퍼스키 보고서의 공개 내용을 기반으로 한 보안 관점의 기술 해설이며, 향후 OAuth·Graph API 등 클라우드 권한 위임 프로토콜을 악용한 표적형 침해는 지속적으로 증가할 것으로 전망된다. 기업 보안팀은 사서함 보안의 정의를 “자격 증명 보호”에서 “토큰과 권한 흐름 통제”로 재정의하고, 클라우드 네이티브 환경에 최적화된 가시성과 통제 체계를 구축해야 할 시점이다.

실무 핵심 체크포인트

  • Google Workspace OAuth 클라이언트 화이트리스트 및 90일 이상 미사용 토큰 자동 회수 정책 적용
  • Admin Audit Log·Login Audit Log·OAuth Token Audit Log를 SIEM과 통합, 다축 탐지 규칙 운영
  • 리프레시 토큰 수명 30일 이내 단축 및 비전형 환경 재인증(MFA) 강제
  • 메일 첨부 다운로드량·미인가 클라이언트 ID·비전형 IP 호출에 대한 이상 행위 알림 임계치 설정
  • 침해 발생 시 OAuth 토큰 일괄 폐기·서비스 계정 재발급 플레이북 사전 수립

참고 자료: The Hacker News 원문 기사, Kaspersky 보안 보고서

#ToddyCat #Umbrij #OAuth #GoogleAPI #Gmail #APT #멀웨어 #기업이메일침해 #클라우드보안 #토큰탈취 #Kaspersky #이메일보안 #지속성위협 #권한남용

댓글 남기기