• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

페이스북과 드롭박스 사용자 노린 공격 5년 간 몰라 2014.07.14

다양한 멀웨어 복합적으로 사용했으나 결국엔 오래된 수법

타깃이 열어볼 수밖에 없는 메일 발송해 감영 성공률 높여


[보안뉴스 문가용] 보안전문 업체인 사입호르트(Cyphort)의 연구원들은 최근 드롭박스와 페이스북 등의 사용자들을 노린 공격이 5년 전부터 지금까지 소리 소문 없이 지속되고 있었다는 사실을 발견했다.


아직까지 이 공격이 특정 조직이나 산업을 노리고 진행되어온 것인지는 명확히 규명되지 않았다. 최첨단 에너지 산업에서부터 작은 비영리 단체에까지 그 촉수를 광범위하게 뻗쳐온 것으로 밝혀졌기 때문이다. 사입호르트의 맥엔로 나바라지(McEnroe Navaraj) 씨는 공격자들이 정보를 수집한 동기는 불확실하지만, 그렇다고 해서 절대로 안심할 수는 없는 상황이라고 설명했다.


이번 공격은 일단 밤의 사냥꾼(NightHunter)으로 명명되었으며 SMTP 이메일을 악용해 필요한 정보를 탈취했다. 웹 프로토콜을 활용한 C&C 서버의 사용이 없었다는 점이 특이하다는 게 나바라지 씨의 말이다.


“숨어서 오랫동안 활동하기 위해서 그렇게 한 것 같습니다. 요즘 기관이나 업체들에서 워낙에 해킹 감지를 강하게 하니까요. 이번 공격은 여러 가지 다양한 멀웨어가 복합적으로 구성되었다는 것도 눈여겨봐야 합니다. 키로거 멀웨어만 해도 프레데터 페인(Predator Pain), 리미트레스(Limitless), 스파이렉스(Spyrex) 등이 사용되었습니다.”


설명이 이어졌다. “이 셋의 공통점은 정보를 빼돌리기 위해 SMTP를 사용한다는 것입니다. 소셜 네트워킹에 비해 이메일은 마치 손 편지 같은 수단입니다. 즉, 너무 오래되고 익숙해졌기 때문에 사람들이 무시하기 마련이죠. 그래서 오히려 더 감지가 어려운 해킹 통로가 되기도 합니다. 실제 ‘밤의 사냥꾼’이 그런 식으로 공격을 5년이나 해왔고요.”


사입호르트는 자기들에게 날아온 피싱 이메일 샘플을 조사하는 과정에서 이 공격을 발견할 수 있었다고 한다. 그 샘플은 실행됐을 때 사용자의 정보를 훔쳐 다른 이메일로 전송하는  .net binary의 일종이었다. 또한 사입호르트의 연구원들은 샘플을 분석하는 과정 중에 이와 비슷한 기능을 가진 샘플들이 인터넷 상에 돌아다니고 있는 것도 발견할 수 있었다.


“이 멀웨어는 대부분 피싱 이메일을 타고 번집니다. 그리고 이런 멀웨어를 포함한 이메일은 doc, zip, rar 등의 첨부파일을 가지고 있고요. 이 첨부파일을 여는 순간 감염될 확률이 높아집니다. 이런 이메일의 대부분은 금융권, 마케팅 부서, 인사과를 주로 노립니다. 때로는 중간상인 것처럼 위장해서 메일을 보낼 수도 있습니다. 최근엔 IDM이나 7zip 설치 파일처럼 위장한 멀웨어도 발견한 적이 있습니다.”


사입호르트의 공동 창업자인 펭민 공(Fengmin Gong) 씨는 “이런 공격을 감행하는 자들이 주로 사용하는 서버는 사설 서버이거나 접근방지 장치가 되어 있어 사입호르트가 업로드 계정을 자세히 조사할 수가 없었다”며 “실제 감염된 기기의 개수는 현재까지 드러난 1,800대보다 많을 것으로 추정된다”고 했다.


“이 공격은 아직도 계속 진행되고 있습니다. 저희도 계속해서 주시하고 있는 상태이고요. 공격자들은 정보를 굉장히 공격적으로 수집하고 있습니다. 공격자들의 이런 태도와 실제 임무를 수행하는 시스템을 관찰해봤을 때 아직 ‘정찰 단계’에 있다고 봅니다. 그래서 아직은 그들이 정확히 뭘 노리는지 판단하기가 불가능합니다.” 공 씨의 설명이다.


이번 공격으로 피싱이 여전히 효과적이라는 게 드러났다는 그는 “공격자들은 여러 가지 주제에 대한 혹하는 제목을 붙여 이메일을 보냈습니다. 또한 타깃들이 무심코 클릭해 열어볼 수 있는 ‘주문서’나 ‘질의서’와 같은 표현들을 사용해 감염시키는 데 성공했고요”라며 꼭 신기술만이 유효한 것은 아니라고 강조했다.


공격자들은 페이스북이나 드롭박스 뿐 아니라 스카이프, 아마존, 링트인, 구글, 야후, 핫메일, 레디프 및 여러 온라인 뱅킹 사이트들까지 노리고 있다고 나바라지 씨는 경고했다. “밤의 사냥꾼은 굉장히 독특한 공격방식을 가지고 있습니다. 복잡한 정보수집 모델을 가지고 있으며 공격범위가 굉장히 넓다는 점도 그렇지만 웹 메일과 같은 흔한 통로를 사용함으로써 조용하고 꾸준하게 자기 할 일을 했다는 점에서도 그렇습니다. 또한 이게 시작단계에 불과하니, 앞으로 이로 인해 어떤 일이 벌어질지 짐작하기도 어렵다는 것도 특이합니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>