• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

메타, 자사 플랫폼을 피싱 공격에 악용한 자들을 법원에 고소 2021.12.22

피싱 공격자들에 대한 고소장이 제출됐다. 메타가 제출한 것으로, 최근 일부 피셔들이 메타의 서비스들을 흉내 내며 사용자들의 크리덴셜을 훔쳐갔기 때문이다. 이 사건이 어떤 의미를 가지게 되고, 어떻게 귀결될지 많은 이들이 흥미롭게 지켜보고 있다.

[보안뉴스 문가용 기자] 페이스북의 모기업인 메타(Meta)가 3만 9천여 개 피싱 웹사이트들을 운영하고 있다는 자들을 고소했다. 공격자들은 가짜 페이스북, 왓츠앱, 인스타그램, 메신저 사이트를 만들아 메타 고객들의 사용자 이름과 비밀번호를 캐갔다고 한다. 메타는 공격자들이 메타의 공식 웹사이트와 비슷한 도메인을 만들어 운영하거나 관리하지 못하게 해달라고 법원에 요청했다.

[이미지 = utoimage]


“이번 소송은 사용자들의 안전과 프라이버시를 보호하기 위한 메타의 끊임없는 노력이 어디까지 갈 수 있는지를 보여주는 사례입니다. 또한 저희 플랫폼을 악용하려는 자들에게도 분명한 경고의 메시지가 전달되기를 바랍니다. 앞으로 기술을 악용하려는 모든 시도들에 확실한 책임을 묻게 할 것입니다.” 메타의 플랫폼 법률 국장인 제시카 로메로(Jessica Romero)가 자사 블로그에 게시한 글이다. 또한 “지속적으로 온라인 호스팅 및 서비스 제공 업체들과 협력하여 피싱 공격을 식별 및 차단할 것”이라고도 밝혔다.

이번에 제출한 고소장을 통해 메타는 “피싱 공격자들이 엔지록(Ngrok)에서 제공하는 릴레이 서비스를 악용했다”고 공개했다. 엔지록 서비스를 사용해 트래픽을 자신의 웹사이트로 우회시킴으로써 호스팅 제공자와 공격자 자신의 신원을 숨겼다는 것이다. 피해자들이 보기에는 피싱 URL이 엔지록의 서브도메인 사이트의 그것으로 보였고, 이에 별다른 의심을 할 수 없었다고 메타는 설명했다. “공격자들은 엔지록의 서비스 덕분에 자신들의 악성 웹사이트 URL을 도메인 등록소에 등록시키지 않고도 인터넷에 공개할 수 있게 되었습니다. 심지어 엔지록의 유료 서비스를 통해 페이스북에서 사용하는 URL과 거의 똑같은 URL을 생성하기도 했습니다.”

미국의 국가사이버보안연맹(National Cybersecurity Alliance)의 현 국장 대행인 리사 플래지미어(Lisa Plaggemier)는 “메타가 취한 법적 행동은 장기적으로 봤을 때 피싱 공격에 대한 일반 대중의 주의력을 높이는 데에 효과가 있다고 보며, 따라서 가치가 있는 일”이라고 말했다. “피싱 공격은 대단히 오래된 공격으로 보이기도 합니다. 그래서 다들 별 다른 관심을 갖지 않죠. 하지만 메타와 같은 최신 기술로 무장한 기업들이 피싱 공격자들을 공개적으로 지목함으로써 피싱 공격이 여전한 위협이라는 메시지를 전파할 수 있게 됩니다.”

또한 플래지미어는 “이번 소송 단 한 건으로 피싱 공격자들을 와해시킬 수 없을지도 모르지만 메타는 피싱 공격의 근절이라는 거대한 프로젝트의 일환으로써 이번 소송을 진행했기 때문에 성과가 없지 않을 것”이라고 말하기도 했다. “솔직히 메타라는 주목도 높은 회사가 피싱 공격에 대한 주의를 환기시켰다는 것만으로도 보이지 않는 성과가 있으며, 피싱 공격자들이 받는 압박감도 상당할 것이라고 봅니다.”

기술 기업들이 피싱 공격자들에 법적 책임을 물으려 했던 시도는 이전에도 있었다. 그러나 그런 시도 대부분은 법원의 명령을 받고 피싱용 웹사이트들을 폐쇄시키는 선까지만 진행됐다. 즉 피싱 공격자들 자체를 고소하는 식의 법적 싸움이 이뤄지지는 않았던 것이다. 보안 업체 룩아웃(Lookout)의 보안 솔루션 관리자인 행크 슐레스(Hank Schless)는 “이번 소송이 어떻게 진행될지 매우 흥미롭게 지켜보는 중”이라며 “이번 한 건으로 피싱 공격 행위 자체에 커다란 충격이 있을 거라고 기대하지는 않지만, 그럼에도 충분한 의미를 찾을 수 있을 것으로 보고 있다”고 의견을 표현했다.

아직 메타의 이번 소송이 어떤 선례를 남길지는 아무도 모른다. 사실상 처음 있는 유형의 소송이 시작됐다고 봐도 무방하다. 보안 업체 넷엔리치(Netenrich)의 수석 위협 연구원인 존 밤베넥(John Bambenek)은 “법원이 얼마나 빠르게 움직이고, 그런 움직임을 기업이 어떻게 유도하느냐에 따라 결과가 달라질 것”이라고 내다보고 있다. “일부 공격 인프라 폐쇄만으로 그치지 않기를 바랍니다. 효과가 아주 없는 건 아니지만, 공격자들 입장에서 새로운 인프라를 구하는 건 그리 어려운 일이 아니기 때문입니다.”

3줄 요약
1. 일부 공격자들이 페이스북 사용자들을 속여 크리덴셜을 훔쳐감.
2. 이 피싱 공격자들을 페이스북의 모기업인 메타가 고소함.
3. 공격자들을 직접 고소하는 건 거의 처음 있는 일이라 매우 흥미로운 사건임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>