인포스틸러를 활용하는 사이버 공격자들이 크게 늘어나고 있다. 인포스틸러로 로그인 크리덴셜을 훔치고, 그 크리덴셜로 각종 기업들에 침투한다. 그런 식으로 어지간한 기업들이 남기는 것보다 더 큰 이득을 가져간다. 랜섬웨어와 맞먹는 위협이 될 것이라는 전망이 나오고 있다.
[보안뉴스 문가용 기자] 정보 탈취형 멀웨어인 ‘인포스틸러’를 활용하는 공격자들이 점점 늘어나는 중이다. 공격자들은 탈취된 크리덴셜과 소셜 엔지니어링 기법을 조합해 고난이도 침해 공격도 성공시키고 있다. 여기에 더해 ‘다중인증에 대한 피로도를 높이는 공격’ 기법도 최근 사용하고 있어 피해가 계속해서 늘어날 것이라고 보인다. 이러한 사실에 대해 보안 업체 액센추어(Accenture)가 보고서 형태로 발표했다.
[이미지 = utoimage]
액센추어가 조사한 바에 의하면 다크웹에서 인포스틸러를 광고하는 매장들이 크게 늘어났다고 한다. 또한 훔친 크리덴셜을 거래하는 시장 역시 꾸준히 증가세를 보이는 중이라고 한다. 액센추어는 주로 러시아 쪽의 다크웹 시장들을 조사했는데, 그 이유는 여기서 유명 인포스틸러인 레드라인(RedLine), 라쿤스틸러(Raccoon Stealer), 바이다(Vidar), 토러스(Taurus), 아조럴트(AZORult)와 같은 인포스틸러들이 주로 거래되기 때문이다.
액센추어의 사이버 위협 분석가인 폴 맨스필드(Paul Mansfield)는 “인포스틸러가 득세하고 있다는 건 기업 네트워크가 위험해지고 있다는 뜻”이라고 강조한다. “요즘 인포스틸러는 크리덴셜을 훔치는 데 주로 활용됩니다. 크리덴셜이란 기업의 네트워크에 접속하는 열쇠이자 대문이죠. 공격자들이 인포스틸러를 통해 많은 기업의 문을 열고 마음대로 드나들고 있다는 뜻입니다.”
맨스필드는 이러한 흐름이 특히 좋지 않은 건 공격자가 대단히 적은 비용만으로 어마어마하게 큰 피해를 끼칠 수 있기 때문이라고 설명한다. “다크웹에서 경쟁이 치열하다보니 이제 인포스틸러 하나 구하는 데 한 달 200달러 정도만 지불하면 됩니다. 멀웨어를 대여한 공격자들은 한 달 내내 전 세계 곳곳에서부터 크리덴셜을 다량으로 훔쳐냅니다. 그리고 이걸 가지고 온갖 이득을 이끌어내죠. 별 일을 따로 하지 않고 훔친 것을 다시 다크웹에 내다 팔기만 해도 200달러 이상의 수익을 거둘 수 있습니다.”
또 다른 보안 업체 루무(Lumu)의 CEO 리카르도 빌라디에고(Ricardo Villadiego)는 “최근 RaaS가 급증하면서 자연스럽게 인포스틸러의 전성기가 도래했다”는 의견이다. “랜섬웨어 공격을 하고자 하는 사람들은 최근 정보를 훔쳐내는 것에도 큰 관심을 갖기 시작했습니다. 파일을 암호화 하고, 그것을 빌미로 돈만 요구하는 것으로 끝나는 것이 일반적인 랜섬웨어였는데, 요즘에는 정보를 훔쳐낸 후 협박의 수위를 높이는 전략을 사용하고 있기 때문입니다. 정보에 대한 관심이 그런 식으로 높아졌고, 이제는 정보 훔치는 것만 전문적으로 하려는 움직임들이 많아지고 있습니다.”
다중인증의 분명한 한계
액센추어의 이번 보고서에서 특히 눈에 띄는 건 ‘다중인증에 대한 피로도를 높이는 공격’이다. 이는 다중인증이 활성화 된 계정을 공략하는 방법 중 하나로, 사용자가 여러 번 반복해서 로그인하도록 유도해 나중에는 로그인 메시지를 제대로 확인도 하지 않고 조건반사적으로 로그인을 하도록 만드는 것을 말한다. 다중인증과 관련된 푸시 요청을 연쇄적으로 보내는 방법이 주로 활용된다.
맨스필드는 “코로나로 인한 재택근무가 유행하면서 다중인증을 도입하는 조직이 빠르게 증가했다”며 “공격자들이 상당히 곤란해할 만한 상황이 전개되어야 맞다”고 말한다. “하지만 이들은 다시 한 번 변화에 적응했고, 공략법을 발견해냈습니다. 단순히 다중인증을 여러 번 강제하면 사용자들의 경계심이 흐트러지고, 그 다음에 이어지는 요청을 기계적으로 받아들이게 된다는 걸 알아낸 겁니다.”
빌라디에고는 “피로도를 높이는 공격법은 매우 간단하다”며 “난이도가 낮고 투자해야 할 비용이 얼마 되지 않으니 공격자들 사이에서 유행할 수밖에 없다”고 말한다. “연말 연시 기간 동안 사람들이 잠깐 흐트러지는 기간에 이러한 공격이 특히 많아질 것으로 예상합니다.”
빌라디에고는 “어떤 장애물을 가져다 놓아도 공격자들은 반드시 넘어가는 법을 찾고 만다”는 걸 강조한다. “공격자가 마음을 먹으면 어디에라도 침투할 수 있습니다. 어떤 사용자라도 침해할 수 있습니다. 아무리 최첨단 방어 장치를 도입해도 시간이 지나면서 공격자들의 적응력이 높아지고, 언젠가는 뚫릴 수밖에 없다는 겁니다. 그러니 항상 보안 통제 상황을 확인해 최신화 하고, 첩보를 부지런히 수집하고 분석해 다가오는 위협들을 예측하는 게 중요합니다.”
맨스필드는 “2022년 라쿤스틸러나 레드라인, 바이다가 꽤나 성공적이었기 때문에 다른 그룹들도 이를 따라 인포스틸러를 활용한 공격에 박차를 가할 것”이라고 예상한다. 빌라디에고는 “인포스틸러를 성공적으로 활용한 그룹은 세계적인 기업들 수준의 수익을 거둔다”며 “수많은 아마추어들이 그러한 높은 수익을 기대하며 이 시장에 뛰어들 것”이라며 동의한다. “내년 말쯤 인포스틸러는 랜섬웨어와 견줄 수 있는 위협으로 자리를 잡을 수도 있을 겁니다.”
3줄 요약
1. 요즘 다크웹에서 크게 유행하기 시작한 멀웨어, 인포스틸러.
2. 인포스틸러로 크리덴셜 훔치고, 그 크리덴셜로 기업 네트워크에 침투하는 방식.
3. 크리덴셜, 내년 이맘 때에는 랜섬웨어와 맞먹는 위협으로 자리잡을지도 .
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 정보 탈취형 멀웨어인 ‘인포스틸러’를 활용하는 공격자들이 점점 늘어나는 중이다. 공격자들은 탈취된 크리덴셜과 소셜 엔지니어링 기법을 조합해 고난이도 침해 공격도 성공시키고 있다. 여기에 더해 ‘다중인증에 대한 피로도를 높이는 공격’ 기법도 최근 사용하고 있어 피해가 계속해서 늘어날 것이라고 보인다. 이러한 사실에 대해 보안 업체 액센추어(Accenture)가 보고서 형태로 발표했다.
[이미지 = utoimage]
액센추어가 조사한 바에 의하면 다크웹에서 인포스틸러를 광고하는 매장들이 크게 늘어났다고 한다. 또한 훔친 크리덴셜을 거래하는 시장 역시 꾸준히 증가세를 보이는 중이라고 한다. 액센추어는 주로 러시아 쪽의 다크웹 시장들을 조사했는데, 그 이유는 여기서 유명 인포스틸러인 레드라인(RedLine), 라쿤스틸러(Raccoon Stealer), 바이다(Vidar), 토러스(Taurus), 아조럴트(AZORult)와 같은 인포스틸러들이 주로 거래되기 때문이다.
액센추어의 사이버 위협 분석가인 폴 맨스필드(Paul Mansfield)는 “인포스틸러가 득세하고 있다는 건 기업 네트워크가 위험해지고 있다는 뜻”이라고 강조한다. “요즘 인포스틸러는 크리덴셜을 훔치는 데 주로 활용됩니다. 크리덴셜이란 기업의 네트워크에 접속하는 열쇠이자 대문이죠. 공격자들이 인포스틸러를 통해 많은 기업의 문을 열고 마음대로 드나들고 있다는 뜻입니다.”
맨스필드는 이러한 흐름이 특히 좋지 않은 건 공격자가 대단히 적은 비용만으로 어마어마하게 큰 피해를 끼칠 수 있기 때문이라고 설명한다. “다크웹에서 경쟁이 치열하다보니 이제 인포스틸러 하나 구하는 데 한 달 200달러 정도만 지불하면 됩니다. 멀웨어를 대여한 공격자들은 한 달 내내 전 세계 곳곳에서부터 크리덴셜을 다량으로 훔쳐냅니다. 그리고 이걸 가지고 온갖 이득을 이끌어내죠. 별 일을 따로 하지 않고 훔친 것을 다시 다크웹에 내다 팔기만 해도 200달러 이상의 수익을 거둘 수 있습니다.”
또 다른 보안 업체 루무(Lumu)의 CEO 리카르도 빌라디에고(Ricardo Villadiego)는 “최근 RaaS가 급증하면서 자연스럽게 인포스틸러의 전성기가 도래했다”는 의견이다. “랜섬웨어 공격을 하고자 하는 사람들은 최근 정보를 훔쳐내는 것에도 큰 관심을 갖기 시작했습니다. 파일을 암호화 하고, 그것을 빌미로 돈만 요구하는 것으로 끝나는 것이 일반적인 랜섬웨어였는데, 요즘에는 정보를 훔쳐낸 후 협박의 수위를 높이는 전략을 사용하고 있기 때문입니다. 정보에 대한 관심이 그런 식으로 높아졌고, 이제는 정보 훔치는 것만 전문적으로 하려는 움직임들이 많아지고 있습니다.”
다중인증의 분명한 한계
액센추어의 이번 보고서에서 특히 눈에 띄는 건 ‘다중인증에 대한 피로도를 높이는 공격’이다. 이는 다중인증이 활성화 된 계정을 공략하는 방법 중 하나로, 사용자가 여러 번 반복해서 로그인하도록 유도해 나중에는 로그인 메시지를 제대로 확인도 하지 않고 조건반사적으로 로그인을 하도록 만드는 것을 말한다. 다중인증과 관련된 푸시 요청을 연쇄적으로 보내는 방법이 주로 활용된다.
맨스필드는 “코로나로 인한 재택근무가 유행하면서 다중인증을 도입하는 조직이 빠르게 증가했다”며 “공격자들이 상당히 곤란해할 만한 상황이 전개되어야 맞다”고 말한다. “하지만 이들은 다시 한 번 변화에 적응했고, 공략법을 발견해냈습니다. 단순히 다중인증을 여러 번 강제하면 사용자들의 경계심이 흐트러지고, 그 다음에 이어지는 요청을 기계적으로 받아들이게 된다는 걸 알아낸 겁니다.”
빌라디에고는 “피로도를 높이는 공격법은 매우 간단하다”며 “난이도가 낮고 투자해야 할 비용이 얼마 되지 않으니 공격자들 사이에서 유행할 수밖에 없다”고 말한다. “연말 연시 기간 동안 사람들이 잠깐 흐트러지는 기간에 이러한 공격이 특히 많아질 것으로 예상합니다.”
빌라디에고는 “어떤 장애물을 가져다 놓아도 공격자들은 반드시 넘어가는 법을 찾고 만다”는 걸 강조한다. “공격자가 마음을 먹으면 어디에라도 침투할 수 있습니다. 어떤 사용자라도 침해할 수 있습니다. 아무리 최첨단 방어 장치를 도입해도 시간이 지나면서 공격자들의 적응력이 높아지고, 언젠가는 뚫릴 수밖에 없다는 겁니다. 그러니 항상 보안 통제 상황을 확인해 최신화 하고, 첩보를 부지런히 수집하고 분석해 다가오는 위협들을 예측하는 게 중요합니다.”
맨스필드는 “2022년 라쿤스틸러나 레드라인, 바이다가 꽤나 성공적이었기 때문에 다른 그룹들도 이를 따라 인포스틸러를 활용한 공격에 박차를 가할 것”이라고 예상한다. 빌라디에고는 “인포스틸러를 성공적으로 활용한 그룹은 세계적인 기업들 수준의 수익을 거둔다”며 “수많은 아마추어들이 그러한 높은 수익을 기대하며 이 시장에 뛰어들 것”이라며 동의한다. “내년 말쯤 인포스틸러는 랜섬웨어와 견줄 수 있는 위협으로 자리를 잡을 수도 있을 겁니다.”
3줄 요약
1. 요즘 다크웹에서 크게 유행하기 시작한 멀웨어, 인포스틸러.
2. 인포스틸러로 크리덴셜 훔치고, 그 크리덴셜로 기업 네트워크에 침투하는 방식.
3. 크리덴셜, 내년 이맘 때에는 랜섬웨어와 맞먹는 위협으로 자리잡을지도 .
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
