지난 6년 동안 사이버 공격자들은 은밀한 곳에서 자기들끼리 피셔들을 위한 낙원을 만들었다. 여기에 오면 실력이 없는 자라도 공격을 할 수 있게 되며, 공격을 해왔던 자라면 공격 성공률을 높일 수 있게 된다. 그 동안 우리는 피싱 공격이라는 말에 픽 웃기만 했다.

[보안뉴스 문정후 기자] 웰(W3LL)이라고 알려진 해커의 피싱 공격 캠페인이 전 세계적으로 퍼져가는 중이다. 이미 기업용 MS 365 계정 8천 개 이상이 지난 10개월 동안 침해됐다고 한다. 피해는 주로 호주, 유럽, 미국에서 발생했다. 보안 업체 그룹IB(Group-IB)가 이 캠페인을 추적했다.


그룹IB가 조사한 바에 의하면 웰이 공격에 사용하는 도구들은 지난 해 10월부터 현재까지 최소 5만 6천 개가 넘는 MS 365 계정들을 표적으로 삼아 공격해 왔다고 한다. 공격 성공률은 14.3%였다. 나쁘지 않은 수치다. 또한 이 캠페인이 진행되는 동안 신설된 피싱 웹사이트는 850개 가까이 발견됐다. 이 사이트들을 통해 공격 대상이 되는 산업을 분석했을 때 제조, IT, 금융, 컨설팅, 의료, 법률 등으로 나뉘었다고 한다.

웰이라는 개인이 단독으로 이런 규모의 활동을 하기는 힘들다. 당연하지만 웰은 혼자서 이런 기록을 세우지 않았다. 웰은 다크웹에 해커들을 위한 시장(웰스토어 : W3LL Store)을 만들고, 이곳에서 500개 이상의 사이버 범죄 조직들과 거래를 진행하고 있다. 그는 고도로 발전된 피싱 키트인 웰패널(W3LL Panel)을 범죄 조직들에 대여하고 있으며, 조직들은 그의 도움을 받아 피싱 캠페인을 무리 없이 진행할 수 있게 된다. 즉 위 기록들은 웰의 다양한 고객들이 다같이 세운 것이다.

“결국 웰이라는 인물이 구축한 건 단순 장터가 아니라 거대한 피싱 생태계라고도 할 수 있습니다. 이곳에는 다양한 수준의 피싱 공격자들이 유용하게 쓸 수 있는 도구도 있고, 피싱 공격을 보다 쉽고 편리하게 해내고자 하는 소비자도 있습니다. 둘 사이에 시너지가 나고 있으며, 이 생태계에서부터 파생되는 피싱 공격은 더 위협적으로 변하고 있습니다.” 그룹IB의 부사장인 안톤 우샤코프(Anton Ushakov)의 설명이다.

웰스토어는 이미 6년째 운영되고 있다고 한다. “재미있는 건 웰이 스토어를 홍보하지 않는다는 겁니다. 처음부터 비밀리에, 은밀하게 운영하려 한 것으로 보입니다. 지금까지 성장한 건 순전히 입소문에 의한 것이었습니다. 피싱 키트의 성능과 효과가 워낙 좋았기 때문에 이 전략은 잘 통했고, 지금도 많은 인기를 누리고 있습니다. 특히 BEC 공격자들 사이에서 웰패널의 인기가 높은 편입니다.”

웰의 피싱 키트, 얼마나 좋기에
웰패널은 마이크로소프트 365 계정을 노리기 위해 만들어진 도구다. 다중인증 기능을 우회할 수도 있고 사용자가 자유롭게 커스터마이징 하여 사용할 수 있는 도구가 16개나 탑재되어 있다. 이 도구들은 특히 BEC 공격을 실행하는 것에 특화되어 있다. 누구나 이 도구를 활용할 수 있는데, 대신 얻은 수익을 웰과 7:3으로 나눠야 한다. 수익이 없다면 아무 것도 안 내도 된다. 친구를 소개해 웰패널의 고객이 되게 하면 소개시킨 자는 10% 보너스를 지급 받기도 한다. 웰은 이런 구조를 통해 지난 10월부터 현재까지 50만 달러 이상의 수익을 거뒀다.

“웰스토어는 계속해서 발전해 현재는 완전한 BEC 공격 서비스를 제공하는 플랫폼이 되었습니다. 사실상 공격을 대행해주는 것과 다름이 없는 수준으로 BEC 공격의 처음부터 끝까지 이행할 수 있도록 해주죠. BEC 공격을 처음 해 보는 범죄 조직이라면 스스로 공부하거나 고민할 것 없이 웰스토어에 오면 됩니다. 게다가 웰은 대단히 부지런하게 자신의 제품과 서비스를 업데이트 하는 편입니다. 혼자서 뭘 하려하는 것보다 웰스토어를 이용하는 게 훨씬 나은 결과를 낼 수밖에 없습니다.”

웰은 고객 관리 면에서도 남다르다. “고객 지원 서비스가 출중합니다. 심지어 라이브 웹 채팅 형태로도 고객을 지원하거든요. 그러니 해킹 공격에 있어서 초보적인 수준에 있는 공격자라 하더라도 웰스토어를 통해 고급 공격을 실시할 수 있게 됩니다.”

웰, 피싱 생태계의 고급화를 야기하다
피싱 공격은 사이버 공간에서 발생하는 여러 가지 유형의 공격들 중 가장 흔한 것이다. 피싱 키트 역시 셀 수 없을 정도로 많다. 사이버 범죄자 입장에서는 레드오션에 가깝다는 것이다. 이는 웰스토어가 처음 나타났던 6년 전이라 하더라도 마찬가지였다. 그런 상황에서 웰이 이처럼 큰 성공을 거둔 것은 두 가지 요인 때문이다. 피싱 키트가 고도화 되어 있고, 고객들에게 개인화에 가까운 서비스를 제공하는 것이 바로 그것이다.

이 때문에 피싱 생태계는 상향평준화의 길로 들어서고 있다. 웰의 사업 모델을 모방해 성공을 답습하려는 해커들이 늘어나고 있기 때문이다. “그 오래된 피싱 공격이 지금까지도 업그레이드 될 수 있다는 게 매우 놀랍습니다. 일반 기업들에서는 이메일 보안에 더 신경을 써야 할 것입니다. 피싱 공격은 예나 지금이나 이메일을 통해 들어오는 경우가 제일 많거든요. BEC 공격은 아예 이름부터 이메일 침해 공격입니다.”

보안 업체 노비포(KnowBe4)의 보안 인식 제고 담당자 에릭 크론(Erich Kron)은 “아마추어의 허술한 공격을 막아야 하는 게 아니라, 아마추어를 프로로 둔갑시켜주는 전문가의 공격을 막아야 한다는 걸 잊으면 안 된다”고 강조한다. “피싱 공격에 대하여 우리는 안일해지려는 습성이 있습니다. 피싱 공격자들은 계속해서 진화하는데 말이죠. 피싱 공격의 전문화가 지난 수년 동안 다크웹에서 소리 소문 없이 진행되고 있었다는 것에 보안 업계 전체가 경각심을 가져야 합니다.”

글 : 타라 실즈(Tara Seals), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>