프리미엄 성인 사이트 흉내 낸 피싱 페이지 급증...크리덴셜 탈취로 이어져
‘폰 크리덴셜’ 인기 이유 정확히 모르지만, 암시장에서의 거래량 늘어나고 있어

[보안뉴스 문가용 기자] 최근 사이버 범죄자들이 크리덴셜을 훔치려는 시도를 맹렬하게 이어가고 있다. 보안 업체 카스퍼스키 랩(Kaspersky Lab)이 새롭게 발표한 보고서에 의하면 성인물 사이트에서 사용되고 있는 크리덴셜이 특히 집중적으로 노려지고 있다고 한다.


카스퍼스키의 새 보고서에 의하면 “최근 11만 명의 프리미엄 성인 사이트 사용자들이 크리덴셜 탈취 멀웨어의 공격에 당했다”고 하는데, “이는 2017년에 비해 2배로 올라간 수치”라고 한다.

카스퍼스키의 연구에 의하면 “사이버 범죄자들은 인기 높은 포르노그래피 관련 태그를 활발하게 사용함으로써 검색 결과에 자신들의 멀웨어가 나타나도록 하고 있다.” 현재 가장 활발하게 사용되고 있는 멀웨어의 80%가 포르노그래피 관련 태그를 가지고 있을 정도다. “2018년 한 해 동안 포르노그래피 태그가 붙어있는 멀웨어를 87,227명이 다운로드 했습니다. 그 중 8%는 기업용 네트워크를 사용하기도 했습니다.”

작년 크리덴셜 탈취형 멀웨어 공격은 대부분 봇넷을 통해 배포됐었다. 뱅킹 트로이목마를 재정비한 형태였었다. 공격자들은 봇넷을 활용해 피해자의 내부 트래픽을 가로채고, 이를 가짜 성인용 웹 페이지로 우회시켰다. 가장 많이 활용된 것은 폰허브(Pornhub)였다. 즉, 가짜 폰허브 사이트를 보고 진짜인 줄 알고 로그인을 시도한 사람들이 많았던 것이다.

전문가들에 따르면 가짜 폰허브의 방문 횟수가 총 37,144번으로, 공격자들이 피싱을 위해 가짜로 만든 유폰(YouPorn), 엑스햄스터(xHamster), 엑스비디오(XVideos)의 총 방문 횟수인 1,161보다 훨씬 높은 숫자다. “공격자들은 정말 진짜와 똑같이 가짜를 만들었습니다. 그래서 방문자들은 아무런 의심 없이 자신들의 크리덴셜을 입력했습니다.”

그러나 실제 폰허브 방문자에 비하면 37,144번이 그리 많은 건 아니라고 폰허브 측은 지적한다. “피싱 숫자가 많아 보일 수 있습니다. 하지만 폰허브는 2018년 한 해 동안 335억 번의 방문 횟수를 기록한 사이트입니다. 그 중 37,144번은 0.0001%도 되지 않는 비율입니다. 이는 폰허브 측이 가짜 피싱 사이트를 주기적으로 모니터링하고 신고하기 때문입니다. 또한 이중인증을 사용하고 있기도 하고요.”

하지만 성인 사이트 크리덴셜을 노리는 공격이 증가하고 있다는 사실은 변하지 않는다. “2017년에는 성인 사이트 크리덴셜을 노리는 멀웨어 공격이 307,868번 있었습니다. 그것이 2018년에 850,000 이상으로 늘어났습니다. 세 배 가까이 증가한 것이죠. 이런 현상은 다크웹에 그대로 반영되고 있습니다. ‘폰 크리덴셜(porn credential)’ 거래가 암시장에서 활발해지고 있는 겁니다.”

카스퍼스키의 보안 분석가인 올렉 쿠프리브(Oleg Kupreev)는 “해커들이 뭔가를 훔치려고 한다고 했을 때, 프리미엄 포르노그래피 웹사이트의 계정을 쉽게 떠올리지는 않는다”고 말한다. “그런데도 다크웹에서 폰 크리덴셜의 거래량이 늘어나고 있다는 건, 뭔가 이유가 있는 거겠죠.”

그러면서 쿠프리브는 “폰 크리덴셜의 인기가 올라가는 정확한 이유는 모르겠지만, 다크웹에서의 이런 트렌드 때문에라도 많은 공격자들이 포르노그래피 관련 테마로 공격을 할 것”이라고 경고했다. “일단 판매처가 생기면 사이버 범죄자들은 물건을 구하려고 애씁니다. 당분간 성인 사이트 피싱 공격이 늘어나고, 성인 사이트 로그인 정보를 노리는 시도가 빈번해질 것으로 예상합니다.”

3줄 요약
1. 2017년부터 2018년 사이, 성인 사이트 크리덴셜 탈취 공격 세 배 늘어남.
2. 멀웨어 배포 시 성인 사이트 키워드를 태그로 붙이는 공격도 증가하고 있음.
3. 암시장에서도 ‘폰 크리덴셜’ 거래량이 서서히 올라가고 있음. 따라서 공격도 증가할 것으로 예상됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>