• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

영국 중소기업, 피터팬 소동으로 때 아닌 혼란 2014.09.12

상대적으로 ‘꿀’이 적어보이는 중소기업이라도 매력 충분

중소기업의 위험은 결국 언젠가 대기업으로 귀결되기 마련


[보안뉴스 문가용] 영국의 중소기업이 피싱을 당해 난리다. 특히 온라인 뱅킹 관련 정보들이 빠져나간 것으로 파악되고 있다. 규모가 큰 기업만 해커들의 목표가 아니라는 걸 시사하고 있다.

 


이메일을 활용한 이번 피싱 캠페인은 피터팬이라고 불리며 클래식 연극 무대 초대장처럼 보이는 것이 첨부되어 있다. 이 첨부파일은 당연히 진짜 표가 아니며 온라인 뱅킹 사이트 등 특정 사이트의 로그인 정보와 소셜 미디어 계정 정보를 수집하는 뱅킹 트로이목마다. 이 멀웨어는 네트워크를 통해 다른 기기로도 전염된다. 수집된 정보는 서버로 전송이 되는데, 이 서버는 동유럽에 있는 것으로 보인다.


“처음부터 중소기업을 노린 것으로 보입니다.” 이번 공격과 멀웨어를 분석하고 있는 아이셰리프(iSheriff)의 CEO인 폴 립먼(Paul Lipman)의 설명이다. “중소기업들은 오랫동안 ‘우리는 작으니까 안전하다’고 생각해왔습니다. 하지만 오히려 그런 해이한 마인드를 해커들이 공략한 것이죠.”


해커들은 실제 극장 및 실제 공연 일정과 실제 웹 사이트를 활용해 자신들의 메일에 엄청난 설득력을 더했다. 누가 봐도 진짜 같았다. 이 멀웨어는 윈도우 실행파일을 사용하는 등 기존의 뱅킹 트로이목마와 비슷한 행동패턴을 보였다. “제우스 뱅킹 트로이목마와 상당히 흡사합니다. 즉, 전혀 새로운 종류의 멀웨어가 탄생한 것은 아니라는 소리죠.”


또 다른 보안 전문회사인 코모도(Comodo)는 이 멀웨어를 분석한 결과 드리덱스(Dridex)라고 주장했다. 드리덱스는 크리덱스(Cridex), 피오도(Feodo), 부가트(Bugat)라는 이름으로도 불린다. 이 드리덱스는 몇 달 전 독일의 중소기업들을 혼란에 빠트린 바 있는 장본인이다.

피터팬이라 불리는 이 공격은 일단 뱅킹과 관련된 URL들을 검색한다. 이번 경우 목표가 된 영국 은행 사이트는 스코틀랜드은행, 바클레이스, HSBC, 요크셔은행이었다.


“이 은행들의 공통점이 무엇인가요? 바로 대중들을 상대하지 않는다는 겁니다. 이 역시 이제 대중들에게 널리 알려진 국제적 기업이나 조직만이 해킹의 대상이 되지 않는다는 걸 뜻합니다. 이제 중소기업 혹은 대중에게 덜 알려진 기업이라도 결코 안심할 수 없는 때입니다.”


그러나 피터팬이 특별히 중소기업을 노렸다는 의견에 반대하는 목소리도 있다. 소포스(Sophos)는 흔히 일어나는 피싱 스팸 켐패인의 일부일 뿐이며, 우연히 중소기업들이 피해자가 되어버린 것이라고 주장한다.


“중소기업을 특별히 노린 공격이라니, 찬성할 수가 없습니다.” 소포스의 수석 보안 컨설턴트인 체스터 위스니브스키(Chester Wisniewski)의 설명이다. “이 문제로 너무들 호들갑을 떠는 것도 같은데, 사실 이런 종류의 멀웨어는 오래전부터 있어왔습니다. 이번 사건이 별로 특별히 취급을 받아야 할 이유를 모르겠습니다.”

그렇다면 왜 해커들은 중소기업을 노리는 것일까? 먼저는 ‘쉽기’ 때문이다. 보안 툴을 제대로 설치하고 보안 규칙을 잘 실천하는 중소기업은 거의 없다고 봐도 무방하다. 깔아놓느니 고작 백신 프로그램이 전부다. “작다고 안전할 수는 없습니다. 게다가 해커라고 전부 국제적인 기업체의 철저한 보안망을 뚫어낼 정도로 실력이 탄탄하지도 않고요.”


위스니브스키에 의하면 사이버 범죄인들은 자기들끼리 주기적으로 해킹한 시스템을 카테고리별로 나누거나 거래한다고 한다. “주로 개인 소비자의 시스템은 그런 식으로 거래하거나 나누지만 사업체의 경우에는 자신들이 계속해서 공격하려고 따로 간직해둡니다. 그리고 기다리죠. 자신들이 해킹한 업체의 시스템에서 필요한 정보가 나올 때까지 끈질기게 기다립니다. 그리고 그 업체의 계좌에서 어마어마한 돈을 인출하거나 빼냅니다.”


즉 중소기업을 해킹한다고 해서 대기업을 노리는 것보다 엄청나게 쉽고 간단한 작업은 아니라는 뜻이다. 여기에도 분명 그들만의 전문 기술과 인내가 소요된다. 그래서 중소기업을 몇 번 뚫어본 해커들은 조금씩 스케일을 넓혀 자연스럽게 더 큰 업체들을 찾아 나선다. “중소기업이 이렇게 뚫린다는 건 결국 얼마 안 있어 대기업들에게서 안 좋은 소식들이 들려올 것이라는 전조에 해당합니다. 지금 당장은 ‘중소기업 은행 정보 탈취당했다’는 게 헤드라인에 달렸다가 내려가면서 사람들의 기억 속에 잊힐지 모르지만 범죄자들은 살금살금 더 큰 기업쪽으로 방향을 틀어 전진해가고 있을 겁니다.”

ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>