실제 문서 파일 납치해 가짜 로그인 과정 삽입

언어 및 경제 지식 뛰어나고, 월가 내부 사정 훤해

[보안뉴스 문가용] 올해 터졌던 각종 사고들처럼 유명 온라인 쇼핑몰 등이 뚫렸다는 소식은 여전히 헤드라인 감이다. 그러나 몇몇 해커들은 기본적인 신용카드 번호나 개인정보를 훔쳐내는 행위를 ‘유치하다’며 새로운 방법으로 눈을 돌렸다. 훨씬 규모가 큰, 과즙이 뚝뚝 떨어지는 이곳에서 거래되는 물품은 굉장히 큰 것들 뿐이다. 바로 기업의 합병 및 인수, 즉 M&A 현장이다. 앞선 해커들은 다양한 방법으로 기업 전산망 등에 침투해 M&A 관련 정보들을 모으고 있다.

M&A 정보를 활용하려면 당연히 해커들 쪽에서도 엄청난 사전조사와 공부가 필요하다. 어떤 기업에서 이런 기업을 물색하고 있다던가, 계약이 어느 정도까지 진행되고 예상 가격이 얼마라는 등의 정보를 당사자도 아닌 해커들이 왜 노리는 걸까? 파이어아이(FireEye)는 이번에 이렇게 M&A 관련 정보를 전문적으로 노리는 그룹인 FIN4에 대한 보고서를 발행해 이들의 수법과 정보 탈취 목적을 공개했다.

일단 수법 면에서 보자면, 결과부터 말해, 별로 특별할 것이 없었다. 시스템의 취약점을 공략하거나 멀웨어 페이로드를 목표 시스템에 업로드시키는 노력조차 없었다. 다만 오피스 문서 파일을 하나 훔쳐 VBA 매크로를 삽입해서 가짜 인증 절차를 만들었다. 사용자가 문서를 열기 위해 로그인 정보를 입력하도록 꾄 것이다.

하지만 이들의 노력은 다른 부분에서 빛을 발했다. 먼저는 어떤 기업 간에 거래가 이루어질 전망인지 정보를 입수했다. 그런 후 공격 목표를 정해 아주 정교하게 가짜 이메일을 제작해 관계자가 로그인을 하도록 했다. 기존 피싱과 다른 점이 없다고 느낄 수도 있다. 하지만 M&A 정보를 사전에 입수한다는 것부터 그 정보를 가지고 공격 대상을 결정한다는 것 자체가 대단히 특별한 점이다. 경제나 투자 시장에 대한 이해도가 뛰어나지 않으면 성공하기 힘든 수법이기 때문이다.

“스피어 피싱 메일을 보면요, 영어가 모국어일 뿐만 아니라 기본적으로 글을 잘 쓰고 경제 및 투자 용어도 자유자재로 구사하고 있다는 걸 알 수 있습니다. 게다가 공개 기업 내에서 어떤 일들이 벌어지고 있는지도 아주 잘 이해하고 있는 것처럼 보였습니다. 피싱 메일의 내용은 대부분 투자자들의 우려 사항이나 외부 공개에 대한 주의사항들로 이뤄져 있어 속기가 굉장히 쉬웠습니다.”

아이사이트 파트너즈(iSIGHT Partners)의 사이버 스파이 감시 팀장인 존 헐트퀴스트(John Hultquist)는 자신의 팀도 이 해커 그룹을 쫓고 있었다며 추가 정보를 공개할 의향을 밝혔다. 일단 해커들의 ‘영어 작문’ 실력이 대단하다는 것에는 전혀 이견이 없었다. 그러면서 기술적인 측면에서는 약점이 없지 않은 것으로 보이나, 이를 큰 틀에서의 전략적 운영으로 다 메우고 있다는 분석도 함께 남겼다.

“당신도 모르게 당신 시스템에 침투하여 마음대로 휘저을 수 있는 실력자들은 수도 없이 많습니다. 그런데 이번에 발견된 FIN4는 그런 부류와는 전혀 다른 해커들입니다. 오히려 그런 면에서는 기존 해커들보다 훨씬 뒤처진다고도 볼 수 있습니다. 그런데 소셜 엔지니어링 작업만큼은 정말 영리하고 뛰어나게 해냅니다. 이 부분에서 보여주는 강점이 너무나 커서 기술적인 약점이 다 보완되고도 남습니다.”

헐트퀴스트는 이 소셜 엔지니어링에 대한 자신의 수사 결과를 기꺼이 공개했다. “제가 찾은 바로는 이 영리한 해커들은 M&A 과정에는 당사 외에 굉장히 많은 회사들 개입된다는 지점을 처음부터 노린 듯 합니다. 특히 법무 회사 등 서드파티 업체들이 이 과정에 참여할 수밖에 없게 되는데, 대부분은 보안에 취약합니다. 한 번은 해커들이 법무 감사인으로부터 엑셀 파일을 훔쳐내 개조한 후에 ‘2014년 2사분기 시간대별 파일’이라는 이름을 붙여 목표 기업에 보낸 것도 봤습니다.”

진짜 감사자가 보낸 파일 그 자체를 활용하니 안 속으려야 안 속을 수가 없다는 것이 그의 말이다. 레드실(Red Seal)의 수석전도사인 스티브 헐트퀴스트(Steve Hultquist)는 “기업 정보를 가지고 사업을 벌이는 모든 종류의 기업들은 긴장을 해야 할 겁니다. 이제 범죄인들이 무식하게 ‘뻑치기’하는 시대가 아니거든요. 고급스럽게 돌아서 옵니다.” 보안의 성을 세울 때 그 범위를 넓게 설정해야 한다는 것이다. “사용자 이름과 암호만을 가지고 방대한 정보에 접근하게 하는 시스템 자체에 대한 고민을 시작해야 합니다. 애플리케이션 설계 단계에서부터 데이터 접근 전략을 짜야 할 것입니다.”

인빈시아(Invincea)의 CEO인 아넙 고시(Anup Ghosh)는 파이어아이의 이번 보고서 내용 중에서 피해 기업의 시스템에는 아무런 감염이나 해킹이 일어나지 않았다는 점을 지적했다. “이제 기업 환경에서는 다중 인증 시스템이 필수인 것처럼 보입니다. 이번에 드러난 해킹 그룹의 경우를 보세요. 직접 해킹을 하지도 않았습니다. 진짜처럼 보이는 로그인 절차를 하나 삽입했을 뿐이죠. 다중 인증 시스템을 사용하고 있었다면 막을 수 있었던 방법입니다. 이 해커들로 인해 사용자 이름 및 암호 시스템의 취약점이 드러났으니, 다중 인증으로의 움직임이 더 빨라질 것 같습니다. 그래야 합니다.”

한편 이들의 목적은 M&A 정보를 활용해 주식 시장의 변동을 예측하기 위한 것으로 보인다. 이 역시 월 스트리트의 분위기와 투자 시장에 대한 전문가 수준의 이해도가 있어야 가능한 것이다. 해커들이 눈에 띄게 똑똑해지고 있다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>