사이버 범죄 그룹 핀7이 사용하고 있던 공격 인프라가 새롭게 발견됐다. 정상적인 호스팅 업체에서 서비스를 구매하고 있었다. 다행히 호스팅 업체가 이를 숨기지 않아 빠르게 무력화시킬 수 있었다. 어느 정도는.
[보안뉴스 문정후 기자] 악명 높은 사이버 범죄 그룹인 핀7(FIN7)의 새로운 공격 인프라가 발견됐다. 보안 업체 팀사이므루(Team Cymru)와 호스팅 업체인 스타크(Stark)의 보안 팀이 합세하여 이뤄낸 발견이라고 한다. 보고서는 팀사이므루의 블로그를 통해 발표됐다.
[이미지 = gettyimagesbank]
블로그를 통해 설명된 바 핀7은 지난 10년 동안 활동해 온 해킹 그룹이며, 여러 산업과 기업들을 지역 불문하고 공격해 왔다고 한다. 이미 사이버 보안 업계에 어느 정도 몸을 담가온 사람이라면 누구나 알 만한 조직이기도 하다. 여러 사법적 대응이 없었던 것이 아니지만 일망타진에 이르지는 못했고, 여전히 어디선가 둥지를 튼 채 활동을 이어가고 있다.
그런데 최근 이 핀7이 새로운 공격 인프라를 활용하는 것으로 의심되는 정황이 드러났다. 이 인프라는 4000개 이상의 도메인으로 구성되어 있었다. 그 중 상당 수는 스타크의 것이기도 했다. 스타크는 이러한 제보를 받고 범죄자들에 대한 추적과 분석에 적극 협력했으며, 자사 네트워크에서부터 시작되는 온갖 악성 행위들을 근절시키기에 많은 노력을 투자했다고 한다.
“공격자들은 스타크의 리셀러 중 하나로부터 인프라를 구매한 것으로 보입니다. 스타크가 다양한 리셀러들과 다양한 유형의 파트너십을 맺고 있기 때문에 가능한 일이기도 합니다. 실제 합법적인 호스팅 서비스를 공격자들이 구매하여 공격에 활용하는 것도 흔히 볼 수 있는 일입니다. 대형 가상 사설 서버 업체들이 이런 서비스를 곧잘 제공하기도 하고요. 즉 스타크만의 고유한 문제는 아니라는 겁니다.” 팀사이므루의 설명이다. “오히려 이런 상황에서 공격자들을 추적하는 데 기여한 것이 흔치 않은 일이죠.”
공격 인프라(클러스터)
현재 발견된 핀7의 새 공격 인프라(혹은 클러스터)는 크게 두 개인 것으로 분석되고 있다. 첫 번째 클러스터는 러시아 남부 지역에서 운영되는 광대역 제공 업체인 포스트(Post)에 할당된 네 개의 IP 주소를 포함하고 있었다. 이 IP 주소들 중 최소 15개가 스타크에 할당된 호스트와 통신하고 있었다. 주로 원격 TCP/22를 통해 통신이 이뤄졌으며, 이러한 트래픽의 메타데이터를 검토한 결과 연결이 성공적으로 이뤄졌음을 알 수 있었다고 한다.
“스타크와 통신하고 있었던 15개의 호스트 모두가 TCP/22를 기반으로 해 오픈SSH(OpenSSH)로 연결되어 있었습니다. 즉 포스트 IP를 사용하는 누군가가 SSH를 통해 스타크 쪽 호스트를 관리하고 있었다는 뜻이 됩니다.” 팀사이므루의 설명이다.
두 번째 클러스터는 에스토니아에 기반을 둔 클라우드 호스팅 제공업체 스마트에입(SmartApe)에 할당된 세 개의 IP 주소를 포함하고 있었다. 여기 IP 주소들 중 16개가 스타크 쪽 호스트와 통신하고 있었다. 심지어 포스트의 클러스터에서 식별된 12개의 호스트가 스마트에입 클러스터에서 동일하게 관찰되기도 했다. 즉 두 클러스터 간에 겹치는 구간이 있었던 것이다. “스마트에입과 스타크 간 통신은 TCP/443을 통해 발생했습니다. 메타데이터를 분석했더니 역시 연결이 성공적으로 이뤄졌음을 알 수 있었습니다.”
어떤 콘텐츠가 오갔는가
수상한 클러스트들끼리 서로 겹치는 구간까지 있음을 확인한 후에는 어떤 콘텐츠가 오갔는지를 확인했다. “스타크 쪽 IP 주소에 호스팅된 콘텐츠들은 대부분 피싱 웹사이트를 구성하기 위한 것들이었습니다. 핀7이 이 공격 클러스터들을 활용해 많은 피해자들로부터 정보를 수집하려 했던 것으로 보입니다. 그 외에 스마트에입 IP 주소로 구성된 클러스터를 실험 목적으로 활용한 것으로 보이기도 합니다. 피해자에게 의도한 콘텐츠가 전달되는지를 확인하려 했던 것으로 추정됩니다.”
이러한 상황을 제보 받은 스타크는 관련 있는 호스트들을 전부 적발하여 서비스를 중단시켰다. 이 과정에서 제보 받은 IP 주소들 외에 제보되지 않았지만 비슷한 활동에 관여되어 있던 6개의 호스트들도 발견할 수 있었다고 한다. 역시나 이 6개의 호스트들에도 정지 조치가 내려졌다.
보고서의 목적
이러한 스타크의 조치만으로 핀7의 공격 인프라가 완전히 무력화된 건 아니다. 심지어 클러스터의 전체 규모가 제대로 식별된 것 또한 아닌 것으로 보인다고 팀사이므루도 스스로 인정하고 있다. “이러한 상황을 공개하는 이유는 핀7의 인프라를 우리가 모두 알아냈다는 걸 자랑하려는 것이 아닙니다. 멀쩡한 호스팅 제공 업체(이 경우 스타크, 포스트, 스마트에입)의 인프라의 일부가 악성 행위에 은밀히 활용될 수 있다는 것을 다시 한 번 상기시키기 위함입니다.”
그러면서 팀사이므루는 블로그 게시글을 통해 “무엇보다 그러한 상황에서 호스팅 업체와 보안 전문 팀의 협업이 얼마나 효과적일 수 있는지를 드러내는 것도 이 보고서의 목적”이라고 강조했다. “물론 핀7을 일망타진 한 것은 아닙니다. 하지만 호스팅 업체의 투명한 협조로 인해 비교적 짧은 시간 안에 공격자가 보유하고 운영하는 인프라의 큰 그림을 그려낼 수 있었지요. ‘우리 회사가 공격자들을 돕는 꼴이 됐다’는 걸 숨기지 않고 오히려 적극 공격자의 정체를 드러내는 활동에 호스팅 업체가 참여했다는 것 자체를 드러내고 싶었습니다.”
그러면서 팀사이므루는 “앞으로도 스타크와 긴밀히 협력하여 핀7의 활동을 추적하고 적발할 계획”이라고 말했다. “호스팅 업체와 협력할 경우 큰 그림을 정확히 파악하는 것도 쉬워질 뿐 아니라, 이번 경우처럼 일부라도 인프라를 무력화시킬 수도 있게 되지요. 이런 식의 파트너십이 더 많아지면 공격자들이 인프라를 운영하기에 부담스러워질 겁니다. 결국 공격 조직 하나하나를 무력화시키는 것보다 이들의 인프라를 공략하는 게 더 효과적인 방어법인 시대이기도 합니다.”
3줄 요약
1. 악명 높은 공격 단체 핀7의 새로운 공격 인프라 발견됨.
2. 정상적인 호스팅 업체들의 IP 주소가 여럿 관여되어 있었음.
3. 호스팅 업체가 적극 협조하여 인프라 파악과 무력화가 가능했음.
[국제부 문정후 기자(globoan@boannews.com)]
[보안뉴스 문정후 기자] 악명 높은 사이버 범죄 그룹인 핀7(FIN7)의 새로운 공격 인프라가 발견됐다. 보안 업체 팀사이므루(Team Cymru)와 호스팅 업체인 스타크(Stark)의 보안 팀이 합세하여 이뤄낸 발견이라고 한다. 보고서는 팀사이므루의 블로그를 통해 발표됐다.
[이미지 = gettyimagesbank]
블로그를 통해 설명된 바 핀7은 지난 10년 동안 활동해 온 해킹 그룹이며, 여러 산업과 기업들을 지역 불문하고 공격해 왔다고 한다. 이미 사이버 보안 업계에 어느 정도 몸을 담가온 사람이라면 누구나 알 만한 조직이기도 하다. 여러 사법적 대응이 없었던 것이 아니지만 일망타진에 이르지는 못했고, 여전히 어디선가 둥지를 튼 채 활동을 이어가고 있다.
그런데 최근 이 핀7이 새로운 공격 인프라를 활용하는 것으로 의심되는 정황이 드러났다. 이 인프라는 4000개 이상의 도메인으로 구성되어 있었다. 그 중 상당 수는 스타크의 것이기도 했다. 스타크는 이러한 제보를 받고 범죄자들에 대한 추적과 분석에 적극 협력했으며, 자사 네트워크에서부터 시작되는 온갖 악성 행위들을 근절시키기에 많은 노력을 투자했다고 한다.
“공격자들은 스타크의 리셀러 중 하나로부터 인프라를 구매한 것으로 보입니다. 스타크가 다양한 리셀러들과 다양한 유형의 파트너십을 맺고 있기 때문에 가능한 일이기도 합니다. 실제 합법적인 호스팅 서비스를 공격자들이 구매하여 공격에 활용하는 것도 흔히 볼 수 있는 일입니다. 대형 가상 사설 서버 업체들이 이런 서비스를 곧잘 제공하기도 하고요. 즉 스타크만의 고유한 문제는 아니라는 겁니다.” 팀사이므루의 설명이다. “오히려 이런 상황에서 공격자들을 추적하는 데 기여한 것이 흔치 않은 일이죠.”
공격 인프라(클러스터)
현재 발견된 핀7의 새 공격 인프라(혹은 클러스터)는 크게 두 개인 것으로 분석되고 있다. 첫 번째 클러스터는 러시아 남부 지역에서 운영되는 광대역 제공 업체인 포스트(Post)에 할당된 네 개의 IP 주소를 포함하고 있었다. 이 IP 주소들 중 최소 15개가 스타크에 할당된 호스트와 통신하고 있었다. 주로 원격 TCP/22를 통해 통신이 이뤄졌으며, 이러한 트래픽의 메타데이터를 검토한 결과 연결이 성공적으로 이뤄졌음을 알 수 있었다고 한다.
“스타크와 통신하고 있었던 15개의 호스트 모두가 TCP/22를 기반으로 해 오픈SSH(OpenSSH)로 연결되어 있었습니다. 즉 포스트 IP를 사용하는 누군가가 SSH를 통해 스타크 쪽 호스트를 관리하고 있었다는 뜻이 됩니다.” 팀사이므루의 설명이다.
두 번째 클러스터는 에스토니아에 기반을 둔 클라우드 호스팅 제공업체 스마트에입(SmartApe)에 할당된 세 개의 IP 주소를 포함하고 있었다. 여기 IP 주소들 중 16개가 스타크 쪽 호스트와 통신하고 있었다. 심지어 포스트의 클러스터에서 식별된 12개의 호스트가 스마트에입 클러스터에서 동일하게 관찰되기도 했다. 즉 두 클러스터 간에 겹치는 구간이 있었던 것이다. “스마트에입과 스타크 간 통신은 TCP/443을 통해 발생했습니다. 메타데이터를 분석했더니 역시 연결이 성공적으로 이뤄졌음을 알 수 있었습니다.”
어떤 콘텐츠가 오갔는가
수상한 클러스트들끼리 서로 겹치는 구간까지 있음을 확인한 후에는 어떤 콘텐츠가 오갔는지를 확인했다. “스타크 쪽 IP 주소에 호스팅된 콘텐츠들은 대부분 피싱 웹사이트를 구성하기 위한 것들이었습니다. 핀7이 이 공격 클러스터들을 활용해 많은 피해자들로부터 정보를 수집하려 했던 것으로 보입니다. 그 외에 스마트에입 IP 주소로 구성된 클러스터를 실험 목적으로 활용한 것으로 보이기도 합니다. 피해자에게 의도한 콘텐츠가 전달되는지를 확인하려 했던 것으로 추정됩니다.”
이러한 상황을 제보 받은 스타크는 관련 있는 호스트들을 전부 적발하여 서비스를 중단시켰다. 이 과정에서 제보 받은 IP 주소들 외에 제보되지 않았지만 비슷한 활동에 관여되어 있던 6개의 호스트들도 발견할 수 있었다고 한다. 역시나 이 6개의 호스트들에도 정지 조치가 내려졌다.
보고서의 목적
이러한 스타크의 조치만으로 핀7의 공격 인프라가 완전히 무력화된 건 아니다. 심지어 클러스터의 전체 규모가 제대로 식별된 것 또한 아닌 것으로 보인다고 팀사이므루도 스스로 인정하고 있다. “이러한 상황을 공개하는 이유는 핀7의 인프라를 우리가 모두 알아냈다는 걸 자랑하려는 것이 아닙니다. 멀쩡한 호스팅 제공 업체(이 경우 스타크, 포스트, 스마트에입)의 인프라의 일부가 악성 행위에 은밀히 활용될 수 있다는 것을 다시 한 번 상기시키기 위함입니다.”
그러면서 팀사이므루는 블로그 게시글을 통해 “무엇보다 그러한 상황에서 호스팅 업체와 보안 전문 팀의 협업이 얼마나 효과적일 수 있는지를 드러내는 것도 이 보고서의 목적”이라고 강조했다. “물론 핀7을 일망타진 한 것은 아닙니다. 하지만 호스팅 업체의 투명한 협조로 인해 비교적 짧은 시간 안에 공격자가 보유하고 운영하는 인프라의 큰 그림을 그려낼 수 있었지요. ‘우리 회사가 공격자들을 돕는 꼴이 됐다’는 걸 숨기지 않고 오히려 적극 공격자의 정체를 드러내는 활동에 호스팅 업체가 참여했다는 것 자체를 드러내고 싶었습니다.”
그러면서 팀사이므루는 “앞으로도 스타크와 긴밀히 협력하여 핀7의 활동을 추적하고 적발할 계획”이라고 말했다. “호스팅 업체와 협력할 경우 큰 그림을 정확히 파악하는 것도 쉬워질 뿐 아니라, 이번 경우처럼 일부라도 인프라를 무력화시킬 수도 있게 되지요. 이런 식의 파트너십이 더 많아지면 공격자들이 인프라를 운영하기에 부담스러워질 겁니다. 결국 공격 조직 하나하나를 무력화시키는 것보다 이들의 인프라를 공략하는 게 더 효과적인 방어법인 시대이기도 합니다.”
3줄 요약
1. 악명 높은 공격 단체 핀7의 새로운 공격 인프라 발견됨.
2. 정상적인 호스팅 업체들의 IP 주소가 여럿 관여되어 있었음.
3. 호스팅 업체가 적극 협조하여 인프라 파악과 무력화가 가능했음.
[국제부 문정후 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
