피싱 키트 사용하면 공격이 쉬워지고...재사용하면 공격 비용 낮아지고
피싱 키트 내에서 백도어도 발견돼...구매자와 판매자 간 불신 드러나

[보안뉴스 문가용 기자] 공격자들이 피싱 키트를 재사용한다는 연구 결과가 나왔다. 보안 업체 듀오 시큐리티(Duo Security)가 6만 6천여 개의 URL과 7천 8백개의 피싱 키트를 조사한 후 발표한 내용이다. 듀오 시큐리티는 “두 개의 피싱 키트는 30번도 넘게 반복해서 사용되고 있었다”고 발표했다.


피싱 키트란 말 그대로 피싱 공격을 가능하게 해주는 툴들을 모아놓은 패키지를 말한다. 정상적인 사이트를 그대로 본 딴 내용물, 가짜로 만든 로그인 페이지, 크리덴셜을 훔치는 스크립트 등이 들어있는 것이 보통이다. 웹사이트를 흉내 내는 데 필요한 각종 이미지 파일, 로고 파일 등의 자잘한 요소들은 압축파일로 만들어져 있다. 이런 키트 하나만 있으면 누구라도 1) 가짜 웹사이트를 만들고 2) 피싱 메일을 대량으로 살포하는 등 실제 공격을 실시할 수 있게 된다.

하지만 해당 웹사이트가 적발되었거나 블랙리스트 처리 되었다면 공격자는 또 다른 사이트를 복제하고 둥지를 틀어야 한다. 일반적인 시장의 상황이라면 이 경우 공격자들은 새로운 키트를 구매해야 맞다. 공격자 입장에서 대가를 치루고 자원을 소모하는 것이다. “하지만 같은 피싱 키트를 재사용하는 사례가 많았습니다. 즉, 공격의 효율이 대단히 높다는 겁니다. 피싱 공격이 얼마나 성행하고 있는지를 본다면 이렇게 키트를 재사용하는 게 그리 어렵지만은 않은 것이 분명합니다.”

공격자들은 어떻게 피싱 키트를 재사용하는 것일까? “피싱 키트를 사용한 피싱 공격은 ‘정교함’보다 ‘대량 살포’를 위한 것입니다. 즉 스피어피싱에 동원되는 페이지만큼 진짜처럼 보이지 않죠. 어떤 키트는 ‘도대체 누가 여기에 속을까?’라는 생각이 들 정도의 수준입니다. 애초에 키트라는 상품 자체가 흉내도 못 낼 정도로 대단한 품질을 가지고 있지 않다는 겁니다.”

또 피싱 공격자들이 원하는 ‘가짜 웹사이트’가 그리 많지 않다는 것도 중요한 부분이다. 듀오 시큐리티는 “아무도 모르는 소규모 웹사이트를 굳이 키트까지 구매해가며 흉내 내지 않는다”며 “이왕이면 사용자가 많아 ‘대박’을 꿈꿀 수 있게 해주는 구글을 선호한다”고 말한다. “애초에 ‘팔리는 피싱 키트’가 그리 많지도 않은 게 공격자들의 시장 상황입니다.”

피싱 키트를 활용하는 사람들은 대부분 ‘해킹 초심자’다. 그렇기에 이들에게 중요한 건 공격 자체가 성립된다는 것이지, 공격의 품질은 두 번째 문제다. “그러므로 피싱 키트의 재활용 비율이 높다는 건 피싱 공격의 질이 그리 높지만은 않다는 현상과도 연결됩니다. 대신 공격의 양은 급증할 수 있겠죠.”

또 하나 중요한 건 피싱 키트 판매자와 구매자 사이에 큰 신뢰가 형성되어 있지 않다는 점이다. “사이버 범죄자들은 자기들끼리도 일상적으로 훔치고 속입니다. 저희가 분석한 피싱 키트 중에는 백도어가 심겨진 것도 있었어요. 즉 구매자가 키트를 활용해 공격을 실시하면 판매자 역시도 공격의 통로를 확보하는 겁니다. 어떻게 보면 구매자가 돈까지 지불하고 이용당하는 겁니다.”

실제로 듀오 시큐리티는 특정 공격 캠페인과 키트의 연관성을 캐기 위해 추적을 하다가 같은 이메일 주소가 여러 번 등장하는 걸 목격했다고 한다. “wirez@googledocs.org라는 이메일 주소는 115개의 피싱 키트에서 발견됐습니다. 많은 키트 사용자들이 이 이메일 주인에게 이용당하고 있었던 것입니다.”

듀오 시큐리티는 “이런 모든 현상을 종합했을 때 사이버 범죄자들이 가장 공격하고 싶어 하는 건 엔드포인트라는 결론이 나온다”고 정리한다. “기업이나 조직의 네트워크를 통해 들어가는 공격보다 직접 최종 사용자를 겨냥한 공격이 사이버 범죄자들 사이에서 다시 한 번 유행하고 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>