금융 기관 노리는 공격자들 압도적으로 많아...공격 패턴도 다양
[보안뉴스 문가용 기자] 어떤 해킹은 어이없는 기회에 우연히 발생하기도 하지만, 어떤 해킹은 수년에 걸친 기획과 연구를 통해 실현되기도 한다. 전자는 보통 아마추어 해커들에 의한 것으로, 사건이 대단히 시끄럽게 발생하는 게 보통이다. 후자는 프로들에 의한 것으로 소리 소문 없이 일어났다 사라진다. 그런데 보안 업체 인트사이츠(IntSights)는 최근, 후자와 같은 공격도 연구 단계에서 시끄러울 때가 있다는 보고서를 발표했다.
[이미지 = iclickart]
인트사이츠는 “금융 기관에서 발생하는 해킹 사고는 아마추어가 우연히 성공시키기 매우 힘들다”며 “프로들이 조심스럽고 꼼꼼하게 계획한 사건들이 대부분”이라고 말한다. “2017년 11월 NIC 아시아 뱅크에서 440만 달러가 도난당했고, 2017년 10월에는 파이스턴뱅크에서 6천만 달러가 사라졌죠. 2017년 2월에도 포스트소비에트뱅크에서 1억 달러가 도난당했습니다. 이 정도 규모의 사건이면 사전에 엄청난 계획이 있었을 것입니다. 그리고 그 연구 과정 자체는 탐지가 가능하고, 탐지가 정말로 되었다면 피해를 줄이는 게 가능하다는 가정을 세워서 조사를 시작했습니다.”
그러면서 인트사이츠는 공격 전 지표가 크게 증가했다는 사실을 파악했다. 같은 기간에 금융 서비스를 겨냥한 실제 공격 시도 역시 비슷하게 증가했다. 즉 인트사이츠의 말처럼 ‘사전 준비 과정을 미리 파악하면 피해 경감이 가능할 수도 있다’는 것이다. 인트사이츠는 이러한 ‘공격 전 지표’를 크게 두 개로 분류해 집중 수집 및 분석했다. 당연히 인터넷을 통해 구할 수 있는 지표들이었다.
“하나는 암시장에서 거래되고 있는 기업 정보나 고객 정보입니다. 그리고 다른 하나는 피싱 이메일 공격의 표적들입니다. 보통 목록화 되어 있는 정보입니다.” 이 두 가지 자료를 분석한 결과 인트사이츠는 가장 먼저 “금융권처럼 수많은 공격을 받는 산업은 없다”는 걸 확인할 수 있었다고 한다. “2017년 상반기 동안의 미국 은행 하나당 공격 지표는 207개였습니다. 2018년 상반기에는 어땠을가요? 520개로 껑충 뛰었습니다. 151%의 성장률이죠.”
그런데 이런 비슷한 성장률을 또 다른 지표에서 찾아낼 수 있었다. 다크웹의 암시장에서 팔리는 금융 관련 데이터가 비슷한 기간에 135% 늘어난 것이다. “그 외에 기업 이메일 주소가 거래되는 양은 91% 늘어났고, 기업의 크리덴셜 유출 사고는 40% 증가했습니다. 은행의 지불카드 정보가 도난당한 사례는 149%나 많아졌고요.” 타 분야에 비해 금융권에 대한 공격이 압도적으로 많고, 그런 흐름을 암시장 내 거래 현황을 통해서도 볼 수 있다는 것이다.
“최근 사법 기관들이 국제적인 공조를 통해 마약이나 불법 무기를 거래하던 유명 암시장들을 폐쇄시켰습니다. 관련자들도 체포했고요. 그래서 지금 암시장에는 조심하자는 분위기가 형성된 듯 합니다. 그래서 ‘데이터’가 가장 주요한 거래 품목이 되었죠. 그렇기 때문에 데이터를 통한 공격의 사전 연구 조사가 더 눈에 띄는 것이기도 합니다.”
눈에 띄는 현상은 하나 더 있었다. “같은 기간, 가짜 소셜 미디어 계정 생성이 49% 늘어났습니다. 이게 무슨 뜻이냐면, 한 은행을 겨냥하는 가짜 프로파일이 일주일에 두 개씩 생겨났다는 뜻입니다.” 가짜 소셜 미디어 프로파일은 주로 은행 고객이나 직원을 유혹하는 데 사용된다. 피싱 사이트로 연결시켜주거나 가짜 앱을 다운로드 받게 한다. “은행의 고객지원 채널인 것처럼 위장하기도 합니다. 그런 후에 은행과 고객만 아는 비밀정보를 요구하죠. 또한 가짜 정보를 퍼트려 시장에 비정상적인 흐름을 만들거나 주가를 조작하는 데에도 소셜 미디어 계정이 활용됩니다.”
인트사이츠에 의하면 금융 산업을 노리는 ‘메이저급’ 해킹 단체는 크게 세 개가 있다고 한다. 머니테이커(Money Taker), 카르바낙(Carbanak), 코발트(Cobalt)다. 모두 러시아에서 활동하고 있는 것으로 알려져 있다. 머니테이커는 미국, 영국, 러시아의 금융 단체를 상대로 20번 넘게 공격을 성공시켰고, 카르바낙은 은행만이 아니라 공공기관과 도소매 단체들을 상대로 전부 300번 넘게 사건을 일으켰다. 코발트는 러시아의 한 은행으로부터 970만 달러를 훔치고, 대만에서는 ATM 해킹으로 218만 달러를 훔치는 등 세계 각지에서 200번 넘게 헤드라인을 장식했다.
최근 금융 기관을 노리는 건 이러한 해킹 단체들만이 아니라고 인트사이츠는 강조했다. “최근 북한의 APT 그룹인 라자루스(Lazarus) 역시 금융 기관을 상대로 공격을 가하기 시작했습니다. 북한이 경제 제재로 국고가 바닥난 상태이기 때문이죠. 또한 라자루스는 2014년 소니 공격과 2015년의 방글라데시 중앙은행 공격, 2016년의 워너크라이(WannaCry) 사태를 일으킨 범인입니다. 그 외에도 에콰도르의 은행에서 1200만 달러, 베트남 은행에서 100만 달러, 대만 은행에서 6천만 달러를 훔치기도 했습니다.”
다크웹 암시장에 대한 연구가 진행된 18개월 동안 공격의 방식과 위협의 형태가 끊임없이 변했다는 것도 인트사이츠가 지적하는 부분이다. “범죄자들은 공급망 공격에 많은 노력을 기울이고 있습니다. 즉 A라는 큰 조직을 노리기 위해, 그보다 더 작은 파트너사인 B와 C를 노리기 시작했다는 것이죠. 또한 A가 사용하는 소프트웨어나 제품 혹은 서비스 중에 서드파티가 만든 요소들만을 노리기도 하고요. 최근 발생한 티켓마스터 침해 사고가 좋은 예입니다.”
또한 앞으로 협박이 또 다른 랜섬웨어로서 자리 잡을 것이라고 인트사이츠는 예상한다. “요즘 GDPR을 시작으로 해서, 정보보호 규정을 준수하지 않았을 때 엄청난 벌금을 부과하는 게 유행처럼 번지고 있습니다. 그 벌금이 얼마나 크냐면, 랜섬웨어를 통한 협박 금액이 장난처럼 보일 정도입니다. 공격자들은 이 점을 파고들 것입니다. 침해 사고를 일으키고 흥정을 하는 거죠. ‘벌금 낼래? 나한테 돈 줄래?’이러면서요. 아마 많은 조직들이 후자를 택할 겁니다.”
마지막으로 인트사이츠는 “암시장의 판매자들이 다크웹을 빠져나가 소셜 미디어로 옮겨가는 추세”라고 알려준다. “예를 들어 페이스북 등에서 비밀 방을 만드는 것이죠. 텔레그램 등 암호화 채팅 기능을 제공하는 소셜 미디어도 인기가 많습니다. 당분간은 범죄자들이 소셜 미디어를 통해 더 많이 활동할 것으로 보입니다. 지금 다크웹보다는 거기가 훨씬 더 안전한 것이 사실이기도 합니다. 프라이버시를 강화시켜주니 범죄자들이 제일 보호받는 아이러니한 상황입니다.”
인트사이츠의 위협 분석 책임자인 이타이 코주크(Itay Kozuch)는 “아직도 금융 기관들은 자신들에게 직접 들어오는 공격을 방어하는 것에만 집중하고 있다”고 안타까워 한다. “하지만 공격 패턴이 매번 ‘스트레이트’만 있는 건 아닙니다. 실제로 공격자들은 훅도 날리고 어퍼컷도 날리죠. 소셜 미디어, 서드파티, 모바일 앱 스토어, 피싱 등 공격 패턴은 다양화 되는데, 금융 기관은 하나만 보고 있습니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>