트위터·페이스북 등 SNS, 해커들 주요 공격 포인트 되고있어!

소셜 네트워크 서비스(Social Network Service, 이하 SNS)의 인기가 날이 갈수록 치솟고 있다. 특히 트위터(Twitter)와 페이스북(Facebook)은 둘 다 국내에서만 100만 계정을 돌파하는 등 그 인기는 식을 줄 모르고 계속되고 있다. 그러나 인기가 많아질수록 역으로 이를 노려 악의적으로 사용하는 사례도 빈번히 발생하고 있다. 인기만큼이나 위협도 커져가는 SNS. 이번호에서는 이러한 SNS를 악용한 봇넷의 위협을 몇가지 사례를 통해 살펴보도록 한다.

유형1

SNS를 봇넷 C&C 센터로 활용하는 사례가 확인됐다. 짧은 명령글을 쓰는 것만으로도 손쉽게 좀비PC들을 조종할 수 있는 것을 노린 것이다. 주로 외국에서 많이 사용되는 SNS가 표적이 되었으나 최근에는 국내 SNS인 미투데이(me2day)가 C&C 센터로 사용된 것이 밝혀지기도 했다.

사례1 >> 트위터를 C&C 센터로 사용

트위터를 C&C 센터로 사용하는 봇넷이 발견됐다. ‘TwitterNET Builder.exe’라는 작성툴을 사용해 봇을 조종할 트위터 계정을 입력하고 Build 버튼만 누르면 봇 프로그램이 만들어진다. 실행된 봇은 감염PC를 탈취해 범죄자의 트위터 계정의 트윗(Twit)을 정기적으로 체크한다. 범죄자가 트윗을 통해 명령을 내리면 감염PC들은 일제히 명령을 수행한다. 이러한 트윗 명령을 통해 바이러스를 추가로 다운로드하거나 DDoS 공격 등을 수행할 수 있는 것이다.

사례2 >> C&C 센터로 이용된 미투데이

지난 7월에는 트위터와 국내 SNS인 미투데이가 봇넷 C&C 센터로 이용된 사례가 확인됐다. 봇은 웹하드나 P2P 등을 통해 유포된 것으로 추정된다. 트위터 C&C 센터와 마찬가지로 감염PC는 범죄자의 미투데이에 정기적으로 접속해 명령을 체크한다. 범죄자가 미투데이를 통해 명령을 내리면 감염PC는 명령에 따라 바이러스 다운 및 공격을 수행한다. 이 명령을 내리는 서버는 국내 웹하드 사이트 게시판인 것으로 드러났다. NHN은 상황을 접하자마자 바로 조치 완료했으며 미투데이 회원의 직접적인 피해는 없는 것으로 파악된다고 밝혔다. 그러나 이를 모방한 추가 공격이나 피해가 발생할 수 있으므로 사용자들의 주의가 필요하다.

유형2

SNS의 소통 방법을 악용한 멀웨어 감염 시도도 확인됐다. 트위터나 페이스북 등 같이 ‘수많은 친구들’과 ‘신뢰’를 갖고 ‘실시간’으로 소통하는 SNS의 특성을 이용해 빠르고 대량으로 감염을 확대할 수 있기 때문이다. 대부분 메시지와 함께 악성 URL이 첨부되며 URL을 클릭하면 멀웨어를 다운로드하도록 유도된다. 트위터의 경우, 글쓰기가 140자로 제한되기 때문에 단축 URL을 많이 사용하게 되는데 이를 악용해 악성 링크를 교묘히 숨겨 사용자들의 클릭을 유도하는 것이다.

사례1 >> 트윗을 이용한 감염 시도

트위터의 트윗을 이용해 멀웨어 감염을 시도하는 사례가 확인되고 있다. 방법은 다음과 같다. 우선 트윗에 사용자의 호기심을 끌만한 메시지가 작성된다. 아래 그림의 경우, 마이클잭슨의 죽음에 관한 영상을 볼 수 있다는 메시지가 적혀있다. 그리고 메시지와 함께 악성 URL이 첨부된다. URL을 클릭하면 동영상을 볼 수 있는 가짜 페이스북 페이지로 연결되는데 영상을 보기 위해서는 새로운 코덱을 설치해야 한다는 메시지가 나타난다. 코덱을 설치하기 위해 ‘setup.exe’ 파일을 다운로드하면 ‘Koobface’라는 웜에 감염된다.

봇넷 ‘Koobface’는 그 이름도 ‘Facebook’에서 유래됐다. Koobface는 사용자의 SNS 계정을 훔쳐 팔로워들에게 스팸 메시지를 전송한다. 트렌드 마이크로에서 ‘WORM_ KOOBFACE.V’로 진단되는 웜의 경우, 감염되면 Windows 기동 시 자신이 자동 실행되도록 레지스트리 값을 추가한다. 또 Windows 폴더 내에 자신의 카피를 작성해 감염 사용자의 인터넷 열람 이력 쿠키를 검색한다. 그 후 트위터에 사용자가 로그인하는지 확인되면 사용자의 트위터 세션을 탈취한다. 확인되지 않을 경우, 사용자가 로그인할 때까지 기다린다.

트위터 세션을 탈취하면 트윗을 작성해 사용자의 팔로워에 전송한다. 트윗에는 ‘Congratulations! You are on hidden camera(축하합니다! 당신은 몰래카메라에 찍히고 있어요)’, ‘Congratulations! You are on TV!(축하합니다! 당신은 TV에 나오고 있어요)’ 등의 메시지와 함께 Koobface 웜의 카피를 다운로드할 수 있는 URL이 첨부된다. 그리고 팔로워들이 URL을 클릭하면 할수록 감염은 더욱 확대돼 가는 것이다.

사례2 >> 다이렉트 메시지를 이용한 감염 시도

트위터의 다이렉트 메시지를 이용한 피싱 공격도 확인됐다. 이 다이렉트 메시지에는 ‘lol, this is me??(lol, 이게 나라고??)’, ‘lol, this you??(lol, 이게 너야??)’, ‘lol, this is funny(lol, 이거 웃기다)’ 라는 문구와 함께 악성 URL이 첨부된다. ‘lol’은 ‘lots of laugh’의 약자로 ‘매우 재밌다’는 뜻이다. 흥미로운 내용을 기대해 URL을 클릭하면 가짜 트위터 로그인 페이지로 연결되며 이때 계정과 패스워드가 유출된다. 범죄자는 훔친 정보를 사용해 봇넷을 구성, 사용자의 팔로워에 멀웨어 배포를 위한 다이렉트 메시지를 보내거나 가짜 의약품 광고 같은 스팸메일을 전송한다.

유형3

SNS 사이트로 위장한 스팸메일도 확인됐다. SNS 이용자가 급증하고 있는 것을 이용해 사용자들의 의심없는 클릭을 유도하는 것이다.

사례1 >> 페이스북 로그인 정보 업데이트로 가장한 스팸메일

페이스북 보안팀으로 위장해 페이스북에 보안 문제가 발생했으므로 메일 내의 URL을 클릭해 로그인 정보를 업데이트하라는 스팸메일이 확인됐다. 지시대로 URL을 클릭하면 가짜 페이스북 로그인 페이지로 연결되며 메일주소와 패스워드를 입력하도록 요구된다. 그 후 보안툴을 다운로드하라는 페이지로 유도되는데 여기에서 다운로드하는 것은 보안툴이 아니라 ‘Bredolab’이라는 웜이다. 봇넷 ‘Bredolab’은 기본적으로 다른 멀웨어를 다운로드하는 것을 목적으로 한다. 이들의 아종은 주로 감염PC에 가짜 보안 소프트웨어를 설치해 바이러스 삭제를 위한 소프트웨어 이용 결제를 요구하거나 봇넷 ‘Zeus’ 관련 멀웨어 ‘Zbot’을 다운로드한다. 봇넷 Zeus는 주로 감시 활동 및 정보 수집을 목적으로 한다. Zeus는 보통 IT 담당자나 보안 전문가를 두지 않은 중소기업을 표적으로 온라인뱅킹 관련 개인정보나 로그인 정보를 수집하고 악용한다. Zeus는 꾸준히 활발한 활동을 보이고 있어 Zbot군은 현재 가장 위험한 정보 수집형 멀웨어로 인식되고 있다.

신뢰를 악용하는 봇넷 위협

이렇게 SNS를 이용한 봇넷의 감염 시도가 성공하는 데에는 소셜 엔지니어링 수법이 큰 기여를 하고 있다. SNS 이용자의 급증과 SNS 상 친구간의 신뢰성을 바탕으로 이를 교묘하게 악용해 자연스럽게 멀웨어를 다운로드하도록 유도하는 것이다. 이러한 문제에 봉착하게 되면서 트위터는 악성 URL 클릭 방지를 위해 URL 필터링을 통한 보안 기능 강화에 착수했다. 그러나 아직 초보적인 단계에 그쳐 실제로 위협으로부터 사용자를 보호하는 데는 부족한 것이 사실이다. 때문에 자신의 PC를 지키기 위해서는 사용자 스스로가 미리 보안 대책을 세워놓는 것이 중요하다.

기본적으로 메일을 확인하거나 URL을 클릭할 때 세심한 주의를 기울이는 것이 필요하다. SNS 관련 봇넷들이 지금까지 사용해온 다양한 소셜 엔지니어링 수법을 알아두는 것도 중요하다. 위장 스팸메일의 경우, 첨부된 URL을 바로 클릭하지 말고 해당 사이트를 직접 방문해 메일 내의 내용이 진짜인지 확인해보도록 한다. 친구가 보낸 트윗이나 메시지라 해도 조금이나마 의심스러운 부분이 있으면 링크를 클릭하지 말아야 한다. 꼭 클릭해야 할 경우에는 악성 URL을 효과적으로 차단하고 악성 프로그램의 실행을 방지할 수 있는 보안 소프트웨어를 가동하고 있어야 한다.

트렌드 마이크로의 ‘좀비PC 탐지 및 치료 솔루션’

트렌드마이크로의 ‘좀비PC 탐지 및 치료 솔루션(Threat Management Solution, TMS)’은 DDoS 공격 및 정보유출을 유발하는 ‘봇’을 탐지하고 자동으로 치료하는 데 특화된 장비다. 최신 바이러스 백신으로 업데이트하는데도 좀비PC의 피해가 생기는 이유는 좀비PC에 침입한 ‘봇’이 기존의 바이러스와는 달리 네트워크 통신을 통해 활동하거나 다른 프로그램이 구동할 때 편승해 활동하기 때문에 일반적인 바이러스 스캔방식으로는 탐지가 어렵다는 데 있다.

또한 탐지를 하더라도 많은 사용자의 PC를 일일이 대응하기가 어려워 봇의 치료 또한 어려운 과제였다. 트렌드마이크로 솔루션은 사용자 PC에 설치된 에이전트 프로그램을 통해 중앙에서 자동적으로 봇을 제거하는 특징을 갖고 있다. 특히 사용자 PC에 설치되는 치료 솔루션은 시스템 리소스를 거의 차지하지 않으며 타 백신 프로그램들과 충돌 사례가 없음은 물론 오진의 경우에도 일선 관리자들이 조치를 취할 수 있도록 설계돼 있다.

<글 : 한국트렌드마이크로 마케팅팀>

[월간 정보보호21c 통권 제121호(info@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>