[보안뉴스 문가용 기자] 사이버 공격자들이 클라우드플레어(Cloudflare)의 디도스 봇 확인 기능을 흉내 내 오히려 원격 접근 트로이목마(RAT)를 유포하고 있다. 이 캠페인에 특히 취약한 건 이전에 공격자들에 의해 침해된 적이 있는 워드프레스 웹사이트들이라고 한다.
[이미지 = utoimage]
보안 업체 수쿠리(Sucuri)의 연구원들은 최근 워드프레스 사이트들을 겨냥한 자바스크립트 주입 공격이 크게 증가하고 있다는 사실을 발견하고 조사에 나섰다. 그러다가 사이트 방문자들이 진짜 사람인지 디도스 공격 봇인지 확인하기 위한 장치라는 내용의 가짜 알림창을 통해 자바스크립트가 주입되는 것을 알아낼 수 있었다.
사실 ‘당신이 진짜 사람인지 봇인지 확인해야 한다’는 메시지와 검사 절차를 겪어보지 못한 사람은 거의 없을 것이다. 웹 애플리케이션 방화벽과 콘텐츠 배포 네트워크 서비스들은 이런 경보를 종종 사용자들에게 내보내곤 한다. 디도스 공격에 대한 방어 수단으로서 활용되고 있기 때문이다. 수쿠리가 발견한 것도 이런 류의 메시지이긴 했는데 사실은 가짜였다. 특별히 클라우드플레어의 디도스 방어 팝업을 사칭하고 있었다.
여기에 속아 클릭을 허락한 피해자들의 시스템에는 악성 .iso 파일이 다운로드 된다. 이 파일이 다운로드 된 후에는 다시 한 번 팝업 메시지가 뜬다. 해당 파일을 열어야 인증 코드를 받을 수 있다는 내용이다. 이 역시 웹 서핑을 하다 보면 심심치 않게 발견할 수 있는 종류의 경고 메시지이기도 하다. “사람인지 봇인지 확인하겠다는 팝업 창과 인증 코드를 받으라는 팝업 창은 꽤나 흔한 것이기 때문에 피해자들은 잘 의심하지 못합니다. 하지만 이 .iso 파일의 정체는 원격 접근 트로이목마입니다. 현재 13개의 보안 솔루션 업체들이 비정상으로 분류하고 있습니다.”
위험한 원격 접근 도구
수쿠리는 문제의 멀웨어에 넷서포트랫(NetSupport RAT)이라는 이름을 붙였다. 넷서포트랫은 이번에 처음 발견된 멀웨어는 아니다. 이미 이전부터 랜섬웨어 공격자들이 사용한 전적이 있다. 라쿤스틸러(Racoon Stealer)라는 유명 정보 탈취 멀웨어가 넷서포트랫을 통해 유포된 적도 있었다. 라쿤스틸러는 2019년에 처음 등장해 2021년 최악의 정보 탈취형 멀웨어에 등극하기도 했었다.
“공격자들은 진짜 같아 보이는 거라면 뭐든지 도구로 활용합니다. 디도스 공격 확인 장치나 사람 확인 장치 모두 진짜로 존재하는 것들이고, 사람들이 여러 번 경험해 본 것들이죠. 공격자들이 활용하지 않는 게 오히려 이상할 정도입니다.” 보안 업체 넷엔리치(Netenrich)의 위협 분석가 존 밤베넥(John Bambenek)의 설명이다.
사람과 봇을 구분할 때 가장 많이 사용되는 도구 중 하나는 캡챠(Captcha)다. 밤베넥은 “캡챠야 말로 인터넷 사용자들이 잘 아는 사이트 관리 도구 중 하나”라며 “이걸 공격에 활용하는 전략이 등장하는 건 자연스러운 수순”이라고 설명한다. “사람인지 확인하겠다며 캡챠를 들이밀면서 크리덴셜을 훔칠 수도 있고, 멀웨어를 심을 수도 있습니다.”
그렇다고 사람과 봇을 구분하는 장치를 사용하지 않는 것도 답이 될 수는 없다. 웹사이트를 운영하는 입장에서는 사람이 입장하느냐 봇이 입장하느냐를 구분하는 게 대단히 중요한 문제이기 때문이다. 게다가 봇이 사람 흉내를 점점 더 잘 내기 때문에 사람과 봇을 구분하는 장치도 계속해서 새롭게 나와야 될 수밖에 없다. 공격자들의 재료가 자연스럽게 늘어난다는 말과도 같다.
보안 업체 엔비지움(nVisium)의 사이버 보안 연구원인 찰스 콘리(Charles Conley) 역시 “디도스 방어 도구를 피싱 공격에 활용한다는 것 자체는 그리 놀랍지 않다”고 말한다. “사이버 범죄자들은 정상 앱과 사이트, 각종 도구들을 계속해서 흉내 내서 자신들의 악의적인 목적을 달성해 왔습니다. 세계적으로 손꼽히는 기업들 역시 이런 공격들을 다 막지는 못하고 있죠. 내로라 하는 대기업들 모두 이런 공격에 자신들의 제품과 서비스가 악용되는 것을 많이 겪어 왔고, 지금도 그러고 있습니다.”
3줄 요약
1. 사람과 봇을 구분하는 웹사이트 관리 도구를 흉내 낸 피싱 캠페인 발견됨.
2. 사람이라면 클릭하라고 하고, 클릭하면 인증 코드를 받아야 하니 파일을 다운로드 받으라고 함.
3. 인터넷 사용해 본 사람이라면 누구나 한 번쯤 겪는 인증 절차라 의심하기 어려움.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>