2년전 피싱 메일 수법을 주로 사용하던 금융 범죄단

멀웨어 장착했으나 기술적인 면모 부족으로 정체 드러내

[보안뉴스 문가용] 2012년 주나이지리아 대사관과 KOTRA 나이지리아 무역관은 이른바 나이지리아 419 사기 수법에 대해 경고한 바 있다. 나이지리아 419 사기란 유명 금융기관을 사칭하여 사람들에게 피싱 메일을 발송해 돈을 송금하도록 유인하는 사이버 범죄의 한 형태로 나이지리아 형법 제419조가 금융 관련 사기죄를 규정하고 있는 것에서 그 이름이 유래됐다.

그 나이지리아 419가 진화하고 있다는 소식이다. 그저 먹음직한 미끼를 보내 사람들을 유인하는 것을 넘어 이젠 멀웨어까지 장착했다고 팔로알토 네트웍스(Palo Alto Networks)가 보고한 것이다. 팔로알토는 이번에 새롭게 진화한 공격을 실버 스패니얼(Silver Spaniel)이라고 명명했다. “하지만 다행히 이 범죄 단체는 소셜 네트워크를 다루는 것만큼 멀웨어를 잘 다루는 것 같지는 않습니다.”

공격자들은 기본적으로 넷와이어(NetWire)라는 원격 접근 툴과 데이터스크램블러(DataScrambler)라는 백신 소프트웨어 회피용 암호화 툴을 사용하는 것으로 드러났다. 넷와이어와 데이터스크램블러는 둘 다 저렴하고 손쉽게 구할 수 있는 툴들로서 이들의 공격 방식이 아직 고도화 단계에는 전혀 이르지 못하고 있다는 걸 반증한다. 또한 아직까지는 이메일의 첨부파일 형태로만 멀웨어를 배포하고 있는 데에 그치고 있는 것으로 밝혀졌다.

“실버 스패니얼 공격은 아직 그 어떤 취약점도 공략하지 못했습니다. 소셜 엔지니어링에만 온전히 의존한 채 사람들을 유혹하고 있는 실정이죠”라고 팔로 알토 측은 설명했다.

공격자들은 도메인 공급업체이면서 최근 마이크로소프트에 의해 일부 도메인 권한을 뺐긴 노아이피(NoIP)의 다이내믹 DNS 도메인을 C&C 서버로서 활용하고 있었다. 하지만 그 방면에 있어 비전문가인 그들은 C&C 서버로의 접근을 용이하게 해야만 했고, 그러다보니 추적자들에게 아주 쉽게 발각되는 웃지 못 할 사태가 벌어졌다.

“공격자 중 한두 사람이 시스템 설정을 통해 노아이피에서 제공하는 DUC(Dynamic Update Client : 동적 업데이트 클라이언트)를 활용하기 시작했습니다. 자기들 도메인으로 몰리는 트래픽을 자기들이 사용하는 PC로 자동 유도하기 위함이었죠. 하지만 이 과정에서 non-VPN IP 주소와 위치가 드러나게 되었습니다.”

IP 주소만 드러난 것으로도 모자랐는지 이 범죄자들은 자신들의 정체까지도 알아서 드러냈다. 팔로알토는 이번 실버 스패니얼 공격에 연루되어 있는 것으로 보이는 인물 중에 오지 빅터(Ojie Victor)라는 실명을 가진 사람이 있다고 밝히기까지 했다.

“이 빅터라는 인물은 소셜 네트워크와 포럼에 ‘멀웨어를 구한다’는 글을 상세하고 주기적으로 올렸습니다. ‘이번에 사이버게이트 악성코드를 만들려고 하는데 스푸퍼가 필요함. ojeyvictor19999@yahoo.com으로 도움이 될 만한 걸 보내주시면 감사’라는 식으로 트윗을 하기도 했고요.”

이번 실버 스패니얼 공격에 대한 보고서(영문)는 팔로알토 네트웍스의 홈페이지인 http://www.paloaltonetworks.com/에서 다운로드 받을 수 있다.

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>