개발과 생산의 각 요소들을 컨테이너 단위로 하나하나 구성한 뒤, 필요에 따라 이걸 레고 블록처럼 조립하여 빠르게 생산하고 빠르게 출시하는 방법론이 개발자들에게도 각광을 받기 시작했다.

[보안뉴스 문가용 기자] 데브옵스(DevOps)라는 소프트웨어 개발 방법론과 지속적 통합 및 지속적 배포(CI/CD)라는 소프트웨어 공급 방법론이 양지에만 통용되는 것이라고 생각한다면 큰 오산이다. 이제 공격자들도 이러한 신개념을 자신들의 사업에 활용하고 있다. 최근 발견된 악성 캠페인인 퍼플어친(PurpleUrchin)의 전모가 서서히 드러남에 따라 공격자들의 이러한 실상이 함께 공개되고 있다.


퍼플어친이 시작된 건 2019년 8월이다. 당시 공격자들이 노리던 건 깃허브(GitHub), 헤로쿠(Heroku), 토글박스(ToggleBox)와 같은 플랫폼들이었다. 그리고 이 캠페인이 처음 세상에 알려진 건 지난 10월, 보안 업체 시스딕(Sysdig)이 퍼플어친을 공개하면서였다. 그리고 이번 주, 보안 업체 팔로알토 네트웍스(Palo Alto Networks)는 자신들이 직접 분석한 내용을 발표했다. 꽤나 새로울 수 있는 내용들로 가득했다. 참고로 퍼플어친 캠페인의 배후에 있는 공격 단체는 오토메이티드리브라(Automated Libra)라고 한다.

팔로알토가 추적한 바에 의하면 현재까지 오토메이티드리브라가 생성한 클라우드 무료 사용 계정은 18만 개에 달한다. 클라우드 플랫폼에 접속하여 일정 기간 무료 사용이 가능한 계정을 자동으로 양산한 것으로 보인다. 지난 11월에는 깃허브에서 무료 사용 계정을 분당 3~5개씩 만들기도 했다. 지난 10월 시스딕은 이것이 암호화폐 불법 채굴을 위한 준비 과정이라고 분석했다.

컨테이너를 적극 활용
팔로알토에 의하면 퍼플어친은 여러 단계에 걸쳐 암호화폐 채굴 공격을 실시했다고 한다. 무료 계정 생성부터 시작해 채굴 멀웨어를 심거나 사기성 거래를 실시하는 것까지 도달하는 데에 이르는 모든 과정 하나하나를 ‘단계’라고 한다. 그리고 팔로알토는 이 모든 ‘단계’들이 컨테이너 내에서 이뤄졌으며, 자동화 기술이 적잖이 사용되었음을 밝혀냈다.

공격의 첫 단계는 계정 생성이다. 당연히 이 단계에서 사용된 컨테이너에는 계정 생성에 필요한 모든 자동화 도구들이 포함되어 있었다. 또한 다음 단계 공격을 위한 추가 컨테이너 다운로드 기능도 들어 있었다. 1단계에서 생성한 무료 계정들에 암호화폐 채굴 요소가 포함된 컨테이너들이 심겨진 것이다.

팔로알토의 수석 위협 분석가인 윌리엄 가마조(William Gamazo)는 “추가로 다운로드 되는 컨테이너들에는 각각의 고유한 요소들이 저장되어 있고, 이 요소들이 상황에 따라 이런 저런 방식으로 조합되면서 퍼플어친이라는 커다란 캠페인이 완성된다”고 설명한다. “암호화폐를 채굴하는 컨테이너도 있고, 시스템 관리자 권한을 가져오는 컨테이너도 있지요. 각 컨테이너는 공격의 ‘단계’이고, 공격자들은 상황에 맞게 순서대로 컨테이너를 주입함으로써 공격을 성공시킵니다.”

피해자나 클라우드 플랫폼에 맞춘 ‘맞춤형 공격’이 진행된다는 뜻이기도 하다. “공격 진행 상황 하나하나가 모듈처럼 느껴집니다. 캠페인 자체가 모듈 구조를 가지고 있다고 해도 무방할 정도입니다. 어떤 모듈은 추가 컨테이너를 직접 생성하는 기능을 가지고 있기도 합니다. 그런 경우, 공격의 시작은 단 몇 줄의 스크립트만으로 충분합니다. 극대화 된 효율을 보여주는 것이죠.”

깃허브를 공략하는 계정 생성 컨테이너의 경우 독특한 기능을 하나 더 탑재하고 있었다. 캡챠(CAPTCHA) 이미지 시험을 무사통과하게 해 주는 것이다. 주로 무료 도구들을 재활용해 캡챠 확인 절차 때 화면에 나오는 이미지를 매우 쉽고 간단한 것으로 바꿔준다. 그 외에 캡챠 상황에 따라 다른 방법이 활용되기도 한다. “오토메이티드리브라의 기술력이 대단히 뛰어나다고 말하기는 어렵습니다만 대단히 효과적/효율적이긴 합니다.” 가마조의 설명이다.

데브옵스로 자원 최적화를 도모한다?
팔로알토는 오토메이티드리브라가 데브옵스와 CI/CD 방법론을 도입해 캠페인을 운영하고 있다고 발표하기도 했다. 자신들이 가진 한정적인 자원을 최대한 활용하기 위해서라고 팔로알토는 추정한다. “컨테이너를 이렇게까지 적극 활용하는 공격 캠페인은 본 적이 없습니다. 작년 한 디도스 공격자들이 컨테이너를 활용하긴 했습니다만 퍼플어친이 선보인 규모는 아니었습니다.”

오토메이티드리브라는 무료 시험용 계정을 만들기 위해 훔친 신용카드 정보를 사용했을 가능성이 높다고 팔로알토는 보고 있다. “공격자들은 일정 기간 동안만 사용할 수 있는 계정을 통해 여러 공격을 실시하고 도망쳤습니다. 심지어 무료 사용 기간을 조금 넘은 경우도 있는데요, 이 경우 공격자들은 돈을 내지 않고 사라졌습니다. 현재까지 찾아낸 ‘내지 않은 금액’은 최대 190달러 정도에 불과합니다만, 아직 더 찾아야 정확한 피해 규모를 알 수 있습니다.”

여러 악성 행위가 ‘모듈 구성’으로 짜맞춰지고 실행되긴 하지만 퍼플어친의 핵심은 ‘암호화폐 채굴’이라고 팔로알토는 설명한다. 그리고 암호화폐를 채굴하는 공격이 요 몇 년 동안 대단히 보편화 되었다고도 경고한다. 팔로알토의 클라우드 위협 관리자인 나다니엘 퀴스트(Nathaniel Quist)는 “무료 계정을 통해 제공되는 자원은 매우 한정적”이라며 “이를 컨테이너 별로 나눠서 구성하고, 각 컨테이너를 모듈처럼 활용해 다양한 공격을 ‘조합했다’는 측면에서 공격자들의 영리함이 드러난다”고 설명한다.

“하지만 이들이 그런 영악함을 암호화폐 채굴에만 활용한 것이 우리로서는 다행입니다. 같은 원리로 채굴 코드가 아니라 다른 공격을 하기 시작했다면 어땠을까요? 예를 들어 퍼플어친과 같은 캠페인을 통해 기업 네트워크를 대량으로 스캔한다든가, 여러 개의 계정에 무작위 대입 공격을 한다든가, 악성 콘텐츠를 호스팅 한다든가 하는 식으로 말이죠. 아마 신뢰할 만한 공공 클라우드 서비스에서 시작되는 공격인 만큼 알아채기 힘들었을 것이고, 따라서 더 악의적인 공격에도 얼마든지 당했을 가능성이 높습니다.”

가마조는 “컨테이너라는 기술이 공격자들의 손에서 적극 악용되기 시작했다”면서 “공격의 효율을 높이는 데에 컨테이너가 적잖은 역할을 하는 것으로 보인다”고 경고한다. “공격자들은 효율에 높은 가치를 두죠. 컨테이너를 사용했을 때 효율이 좋다는 것을 경험한다면 공격자들은 계속해서 컨테이너를 공격에 활용할 겁니다. 유명 클라우드 플랫폼들에서 무료 사용 계정을 제공하는 한, 이러한 ‘무료 자원’을 활용하지 않을 리도 없고요.”

3줄 요약
1. 개발만 ‘모듈’ 방법론으로 하는 줄 알았더니, 이제는 사이버 공격도 모듈화.
2. 각 공격의 단계를 컨테이너로 구현하고, 컨테이너를 맞춤형으로 조합해 표적 공략.
3. 자원을 최대한으로 활용할 수 있게 해 주는 공격 방법이라 앞으로 인기 끌 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>