• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

세계 14개국 76개 대학 노리고 활동하는 이란 해커들 2018.08.28

이란 해커 코발트 디킨즈, 크리덴셜 뺏기 위해 스푸핑 페이지 개설
미국의 기소에도 개의치 않고 공격하고 있어...피해 대학 늘어날 듯

[보안뉴스 문가용 기자] 세계 곳곳의 대학들이 이란 정부와 관련된 사이버 공격 단체인 코발트 디킨즈(Cobalt Dickens)의 표적형 공격을 받았다. 코발트 디킨즈는 크리덴셜을 훔쳐내기 위해 세계 각지의 대학들을 노린 것으로 분석됐다.

[이미지 = iclickart]


보안 업체 시큐어웍스(Secureworks)는 한 대학의 로그인 페이지를 스푸핑하기 위해 만들어진 URL을 하나 발견했다. 호스팅 페이지의 IP 주소를 분석하니 비슷한 목적으로 사용되고 있는 도메인이 16개가 나왔다. 이 도메인들을 통해 약 300개의 스푸핑된 웹사이트들과 로그인 페이지들이 나왔다. 14개 국가 76개 대학의 것을 흉내 낸 것들이었다.

미국, 영국, 호주, 캐나다, 중국, 이스라엘, 일본, 터키 등 수많은 나라의 대학들이 이 공격에 당한 것으로 나타났는데, 그중 가장 많은 공격을 받은 건 미국이었다. 시큐어웍스는 아직 어떤 대학이 공격을 당했는지는 밝히지 않고 있다. 다만 해당 대학들에 따로 연락을 취하고 있는 중이긴 하다.

이 가짜 로그인 페이지에 크리덴셜 정보를 입력한 사람들은 대학의 정상 페이지로 우회됐다. 로그인이 된 채로 접속이 되는 경우도 있었고, 다시 한 번 로그인을 해야 하는 경우도 있었다. 몇몇 도메인은 대학의 온라인 라이브러리 시스템과 연결되어 있기도 했는데, 그래서 시큐어웍스는 공격자들이 학술 자료도 노렸다고 보고 있다.

이 공격에 사용된 도메인들은 대부분 같은 IP 주소와 DNS 네임 서버와 연결되어 있었다. 그 중 한 도메인은 2018년 5월에 등록된 것으로, 대학의 웹사이트를 스푸핑하기 위한 서브도메인을 갖추고 있었으며, 방문자들을 가짜 로그인 페이지로 우회시키고 있었다. 이 가짜 로그인 페이지는 공격자들이 통제하는 또 다른 도메인에 호스팅되어 있었다.

스푸핑이 된 도메인 대부분 올해 5월과 8월 사이에 등록됐다. 가장 최근 등록일자는 8월 19일이었다. 공격자들은 아직도 이번 공격을 실행하기 위한 인프라를 구성 중에 있는 것으로 보인다고 시큐어웍스는 블로그를 통해 설명했다. 또한 공격 인프라가 이전 코발트 디킨즈 공격자들이 사용했던 인프라와 겹치기도 했다. 코발트 디킨즈는 예전에도 학술 자료를 즐겨 노려왔다.

“코발트 디킨즈의 주요 공격 목표는 접근이 제한되어 있는 학술 자료를 탈취하는 것으로, 대학 교직원이나 교수들, 학생들의 메일함을 자주 노립니다.” 시큐어웍스의 전문가 레이프 필링((Rafe Pilling)의 설명이다. “아마 이러한 학술 자료를 통해 수익을 창출하는 것이 목적이겠죠. 아니면 그러한 자료로의 접근권을 또 다른 공격자들에게 팔 수도 있고요. 이러한 학술 기관들이 가진 신뢰를 가지고 추가적인 피싱 공격을 하는 것도 가능합니다. 그러나 아직 2차 피해가 공개된 적은 없습니다.”

비단 코발트 디킨즈만이 아니더라도 공격자들이 대학을 노리는 데에는 여러 가지 이유가 있다. 먼저 대학 네트워크는 금융기관이나 의료 기관의 그것보다 무르게 보호되어 있다. 기술적으로도 그렇고, 정책적으로도 그렇다. 대학 기관 및 학술 기관에 대한 규정은 그리 엄격하지 않은 것이 보통이다. 게다가 가지고 있는 정보도 가치가 높은 편이다. 뛰어나다고 하는 교수, 학생, 연구원들의 연구 결과가 집약되어 있는 곳이기 때문이다.

올해 초 미국 사법부는 코발트 디킨즈가 2013년과 2017년 사이에 벌인 해킹 행위와 관련하여 이란인과 이란 단체 9명(개)을 기소한 바 있다. 이렇게 정체가 온 세상에 드러나게 되더라도 해킹 단체들은 예전처럼 공격을 지속하는데, 코발트 디킨즈도 마찬가지라고 시큐어웍스는 설명한다.

“코발트 디킨즈의 이전 공격 수법과 현재의 그것은 상당히 유사합니다. 미국 사법부의 기소에도 불구하고 공격 전략이나 방식에 크게 변화를 주지 않은 것으로 보입니다. 당장 잡힐 것 같지 않다는 확신이 있으니 그런 거겠죠.”

그래서 필링은 앞으로도 더 많은 국가의 더 많은 대학들이 공격에 당할 것이라고 예상한다. “대학들은 기본적인 보안 수칙들을 실천하고 지켜내야 합니다. 특히 피싱 공격에 대한 인식제고가 필요해보입니다. 피싱 공격이 무엇이며, 어떻게 가려내야 하는지 교육하고, 피싱 메일을 걸러주는 장치를 도입하는 것이 도움이 될 것입니다.”

3줄 요약
1. 세계 14개 국가 76개 대학, 이란 해커의 공격 받음.
2. 크리덴셜을 탈취하기 위한 대대적인 공격으로, 학술 자료에 접근하는 게 목표로 보임.
3. 공격자들의 이름은 코발트 디킨즈로, 미국 사법부에 기소당하기도 했으나, 예전 그대로 공격 실행 중.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>