메이지카트가 다시 활동을 시작했다. 카드를 훔치기 위해 여러 사이트에 스키머를 심는 것이 발각됐는데, 이를 역으로 추적해 보니 여러 가지 다른 공격들도 실시하고 있었다. 특히 암호화폐와 관련된 사기 행각들이 드러났다.

[보안뉴스 문가용 기자] 사이버 범죄자들이 한 가지 공격 인프라로 한 가지의 악성 행위만을 하는 건 아니라는 사실이 메이지카트(Magecart)라는 공격 단체의 행각을 통해 다시 한 번 드러났다. 메이지카트는 사이버 범죄 조직의 연합체로, 주로 온라인 상거래 사이트에 카드 정보를 빼돌리는 멀웨어인 스키머를 심는 범죄를 저지른다. 지난 수년 동안 여러 온라인 매장들을 괴롭혔으며, 다수의 피해자가 카드 정보를 잃었다. 티켓마스터(TicketMaster)와 영국항공(BA)도 이들에게 당한 바 있다.


보안 업체 멀웨어바이츠(Malwarebytes)에 의하면 최근 메이지카트는 여러 개의 전자상거래 웹사이트에 지불 카드의 정보를 빼돌리는 스키머를 심기 시작했다고 한다. 이번에 사용되는 스키머는 미스터스니파(mr.SNIFFA)라는 프레임워크를 기반으로 만들어진 것으로 분석됐다. 미스터스니파는 각종 난독화 도구와 전략을 활용할 수 있도록 해 주는 것으로 알려져 있다. 메이지카트는 과거에도 종종 미스터스니파를 통해 스키머를 만들기도 했었다.

멀웨어바이츠는 원래 이번에 발견된 메이지카트의 카드 스키머 캠페인을 뒤쫓기 시작했다. 그러다가 암호화폐 사기, 악성 서비스 판매 포럼, 도난 신용카드 번호 거래 등 각종 악성 행위들이 이뤄지고 있는 네트워크 하나를 발견하게 됐다. 모든 것의 배후에는 하나의 단체가 있었다. “범죄 서비스 하나가 끝나면 다른 서비스가 시작됩니다. 그런데 대부분은 서로 관련이 되어 있습니다. 서비스 하나하나 혹은 코드의 일부를 넘어 범죄 생태계 전체를 보려고 하는 것이 범죄자들의 움직임과 흐름을 이해하는 데 도움이 됩니다.” 멀웨어바이츠의 첩보 분석 책임자인 제롬 세구라(Jerome Segura)의 설명이다.

메이지카트가 진행하던 캠페인의 경우 공격자들은 세 개의 서로 다른 도메인을 개설해 사용하고 있었다. 각 도메인은 하나의 공격에 필요한 서로 다른 요소들을 발동시키고 활용하는 데 사용됐다. 그리고 셋 다 크립토 분야에서 따온 이름들을 가지고 있었다.
1) 최초 우회 접속에 사용되는 도메인 : saylor2xbtc.com(비트코인 유명인인 마이클 세일러의 이름을 따왔다.)
2) 스키머의 로더가 호스팅 된 도메인 : elon2xmusk.com(암호화폐 유명인인 일론 머스크의 이름을 따왔다.)
3) 실제 스키머가 호스팅 된 도메인 : 2xdepp.com(비트코인에 관심이 있는 것으로 알려진 영화 배우 조니 뎁의 이름을 따왔다.)

이 세 가지 도메인은 디도스가드(DDoS-Guard)라는 러시아의 호스팅 업체에 호스팅 되어 있었다. 디도스가드는 일종의 불렛프루프 호스팅 업체(bulletproof hosting : 묻지도 따지지도 않고 고객을 받기 때문에 사이버 범죄자들이 자주 사용한다_역주)로 사이버 범죄자들 사이에서 인기가 높은 것으로 악명이 높다.

이 세 개의 도메인은 다른 여러 가지 악성 공격들에 활용되는 것으로도 조사됐다. 예를 들어 스키머의 로더가 호스팅 되어 있는 도메인의 경우 유명 인테리어 업체인 하우즈(Houzz)의 웹사이트와 똑같이 생긴 가짜 웹사이트가 호스팅 되어 있기도 했다. 스키머가 호스팅 되어 있는 도메인은 여러 해킹 도구들을 판매하는 웹사이트 및 암호화폐 믹싱 서비스를 제공하는 웹사이트와도 관련이 있었다. 암호화폐 믹싱 서비스는 암호화폐의 추적을 어렵게 만들기 때문에 범죄자들 사이에서 인기가 높다. 게다가 같은 서브넷에 사이버 범죄자들의 포럼인 blackbiz.top 역시 호스팅 되어 있다는 사실이 뒤늦게 밝혀지기도 했다.

멀웨어바이츠는 디도스가드가 호스팅 하고 있는 웹사이트들 중 위에서 본 세 개의 도메인들처럼 2x라는 문자열이 들어간 도메인 이름을 가지고 있는 게 있는지 확인하는 작업에 들어갔다. 메이지카트가 자신들이 이번 캠페인에 사용하기 위해 운영하는 도메인들에 2x라는 글자를 붙이는 것 같았기 때문이다. 그리고 이를 통해 암호화폐와 관련된 악성 행위와 사기 공격에 사용되는 웹사이트들을 다수 찾아내는 데 성공했다. 전부 메이지카트와 관련이 있는 것으로 조사됐다.

이번 조사를 통해 한두 가지 분야에 역량을 집중시키는 공격 단체도 있지만 자신이 가진 공격 인프라를 가지고 이 분야 저 분야 다 손대는 ‘문어발식 공격’을 감행하는 단체도 있다는 사실이 확인됐다. 해킹 조직들 중 에빌코프(Evil Corp.)와 북한의 라자루스(Lazarus), 다크사이드(DarkSide) 등은 다양한 종류의 공격을 실시하는 것으로 알려져 있다.

지난 해 보안 업체 트렌드 마이크로(Trend Micro)는 다양한 기술을 보유한 사이버 범죄자들이 서로 힘을 합해 거대한 세력을 구성하고 있고, 이를 통해 사이버 범죄 대행 서비스를 제공하기 시작했다는 내용의 보고서를 발표한 바 있다. 이런 조직들 중 꽤나 큰 규모로까지 성장한 곳도 있었다. “방대한 규모의 조직이 다양한 성격의 공격을 실시할 수 있다는 건 공격자의 추적과 분석이 더 어려워진다는 뜻이고, 그렇다는 건 범죄의 트렌드를 파악하기 까다로워진다는 뜻이 되며, 이는 곧 공격 예측이 힘들어진다는 걸 의미하게 됩니다.” 당시 트렌드 마이크로가 내린 결론이었다.

3줄 요약
1. 메이지카트라는 단체가 웹사이트들로부터 카드 정보를 훔치기 시작.
2. 추적을 했더니 공격 인프라가 나왔고, 이 인프라를 가지고 다양한 공격을 실시하고 있었다는 사실이 드러남.
3. 문어발식 확장을 하는 사이버 단체들, 거대한 규모로 성장하면서 추적과 예측을 어렵게 만듦.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>