그룹아이비, 이메일 사기 조직 ‘웰’ 관련 사이버 범죄 조사 보고서 발표

[보안뉴스 한세희 기자] 최근 국제 공조 수사에 의해 분쇄된 글로벌 사이버 범죄 조직 ‘웰’(W3LL)이 고성능 피싱 키트와 지속적 운영 방식 변경 등으로 단속을 피해 이메일 피싱 사업을 벌여온 것으로 드러났다.

그룹아이비(Group-IB)가 최근 발간한 웰 조직 분석 보고서에 따르면, 이 조직은 2017년부터 ‘서비스로서의 피싱’(PhaaS) 플랫폼을 개발하고 운영했다.


▲웰 조직 주요 특징 [출처: 그룹아이비]

이를 통해 500명 이상의 사이버 범죄자들이 금융, 의료, 제조, IT, 법률 등 다양한 산업 분야 기업을 겨냥해 이메일 사기(BEC) 공격을 할 수 있게 지원했다. 금전적 손실은 세계적으로 2000만달러에 달했다. 최근 몇년 간 적발된 피싱 생태계 중 가장 정교한 곳 중 하나라는 평가다.

이 생태계의 중심엔 다단계 인증(MFA)을 우회하고 기업 마이크로소프트365 계정을 탈취하도록 설계된 고급 중간자 공격(AiTM) 피싱 키트 ‘웰 패널’(W3LL Pane)’이 있었다고 그룹아이비는 밝혔다. 이 도구는 피싱 키트, 해킹된 인프라, 표적 공격용 리소스를 제공하는 비공개 암시장 ‘웰스토어’(W3LL Store)를 통해 유통됐다.

웰은 탐지를 피하기 위해 지속적으로 운영 방식을 조정해 온 것으로 나타났다. 마켓플레이스 운영을 대체 채널로 전환하는 등 인프라와 전달 방식을 수정했다.

이들은 최근 미국 연방수사국(FBI)과 인도네시아 등 국제 수사 기관 공조로 조직이 와해됐다.

김기태 그룹아이비 지사장은 웰의 주요 공격 대상인 제조 및 엔지니어링(17.5%)과 기술(10.6%) 산업은 한국 경제의 핵심 분야”라며 “대다수 국내 기업이 표준 협업 도구로 사용하는 마이크로소프트365 환경을 정교하게 노리고, 기존 보안의 표준인 다단계 인증(MFA)까지 무력화한다는 점에서 국내 제조·IT 기업들의 각별한 주의가 요구된다”고 말했다.


▲웰 조직 주요 피해 대상 [출처: 그룹아이비]

[한세희 기자(hahn@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>