[보안뉴스 문가용 기자] 새로운 피싱 도구가 사이버 범죄자들 사이에서 유행하기 시작했다. 이 도구는 깃허브(GitHub)에서 활동하는 개발자들을 집중적으로 노리는 피싱 메일 키트로, 이름은 고이슈(GoIssue)다. 깃허브 프로필에서 이메일 주소를 자동으로 추출하고, 이 주소들로 피싱 메일을 보내는 기능을 가지고 있다.
[이미지 = gettyimagesbank]
보안 업체 슬래시넥스트(SlashNext)에 의하면 고이슈의 등장은 꽤나 큰 의미를 갖는다고 한다. “단순히 새로운 피싱 키트가 하나 더 추가됐다고 볼 게 아닙니다. 개발자들을 표적으로 하고 있는 표적 공격 수행 도구인데, 대량 공격을 할 수 있다는 점에서 피싱 공격이 새로운 전환점을 맞이하고 있다는 걸 보여준다고 해석해야 합니다. 고이슈를 사용함으로써 공격자들은 한두 사람의 피해자를 만드는 게 아니라 기업 전체를 위협할 수 있게 되고, 더 나아가 공급망 전체까지 감염시킬 수 있습니다.”
그래서 슬래시넥스트는 “개발을 위한 플랫폼이나 생태계가 사실상 보안 전쟁터로 변한지 오래라는 걸 개발자 자신들은 물론 CISO와 회사 경영진들까지 시급히 받아들여야 한다”고 강조한다. “이미 요 몇 년 동안 공격자들은 깃허브 등 개발자 플랫폼을 집중적으로 노려왔습니다. 개발자의 환경을 오염시켰을 때 공격자가 가져갈 수 있는 게 무척 많다는 걸 깨닫게 된 것이죠. 그렇기 때문에 고이슈의 등장은 이미 수년 전부터 예고되어 온 것이기도 합니다.”
고이슈의 기능
고이슈는 깃허브를 대상으로 한 공격 도구가 얼마나 진화하고 있는지를 보여주는 본보기로서 손색이 없다고 슬래시넥스트는 설명한다. “대규모 피싱 캠페인인데 표적 공격 형태로 진행될 수 있고, 그 표적이나 수위를 공격자가 자유롭게 조율할 수 있다는 건 대단한 겁니다. 전혀 새로운 공격 도구가 등장했다고 해도 과언이 아닙니다.”
슬래시넥스트가 설명하는 고이슈의 핵심은 “공개된 깃허브 프로필에서 이메일을 자동으로 수집하고, 이를 공격자가 설정한 여러 가지 기준에 따라 자유롭게 정리하고 항목화 해 특정 개발자 커뮤니티를 겨냥해 맞춤형 공격을 실시할 수 있게 해 주는 것”이라고 한다. 물론 맞춤형 공격이라고 해서 랜섬웨어나 정보 탈취나 디도스 등을 자유롭게 선택할 수 있다는 의미는 아니다. 고이슈가 하는 공격은 대량 메일 발송이며, 이 때 스팸 필터를 우회한다는 것이 강점이다.
이런 고이슈는 해커들 사이에서 유료로 거래되고 있다. 슬래시넥스트가 조사한 바에 따르면 맞춤형 빌드에 따라 700달러, 전체 소스코드에 3천 달러의 비용이 요구된다. 대량 이메일 기능과 고급 데이터 수집 기능을 결합하여 운영자의 신분을 프록시 네트워크로 보호하기도 한다. “그러므로 공격자는 단순 이메이 수집을 넘어 깃허브 개발자 커뮤니티를 표적으로 정교한 캠페인을 할 수 있게 되는 겁니다.” 판매자는 사이버러피(Cyberluffy)라는 ID를 사용한다고 한다.
고이슈가 발송하는 메일에는 악성 링크가 포함되어 있는데, 이 링크를 따라 들어가면 다음과 같은 피싱 공격에 걸려든다.
1) 로그인 크리덴셜 탈취
2) 사용자 기기에 손상을 주기 위한 악성 코드 다운로드
3) 오오스(OAuth) 앱 승인 요청 데이터를 확보함으로써 피해자의 개인 리포지터리와 기밀에 접근할 수 있게 됨.
판매자와 깃로커
고이슈의 판매자인 사이버러피는 텔레그램 채널을 통해 주로 거래하는 것으로 분석됐다. 그의 텔레그램 프로필에는 ‘깃로거(GitLoker) 팀의 일원’이라는 문구가 적혀 있는데, 깃로커 역시 깃허브 생태계에 있는 개발자들을 줄곧 노려온 전적을 가진 해킹 단체이기 때문에 이번 캠페인이 깃로커와 관련이 있다는 게 이상한 일은 아니다. 사이버러피의 주장이 사실이라면 고이슈는 깃로커가 개발한 차기 사업 아이템이라는 의미로도 연결이 가능하다.
게다가 사이버러피는 고이슈를 광고하는 게시글 스레드를 통해 깃로커 공격의 효율성을 설명하는 보안 블로그 링크를 공유하고 있기도 하다. “고이슈가 깃로커 캠페인의 확장판이거나, 깃로커의 개량된 버전이 고이슈일 수 있습니다. 정황상 그런 쪽으로 보는 게 가장 합리적일 겁니다.”
슬래시넥스트는 “깃허브 사용자라면 고이슈의 등장에 대해 긴장감을 느껴야 한다”고 강조한다. “공격자들이 개발자를 집중적으로 노린다는 사실이 수년 동안 증명되어 왔음에도 개발자들은 크게 신경을 쓰지 않았습니다. 그런데 그런 개발자들을 손쉽게 대량으로 공격하게 해 주는 도구까지 나왔다면 어떨까요? 이제는 신경을 쓰지 않으면 안 되겠죠. 깃허브의 개발자들은 정말 대단한 위험에 노출되어 있다고 스스로 인정해야 합니다.”
3줄 요약
1. 깃허브 개발자들, 해커들의 끊임없는 표적.
2. 최근 그런 개발자들은 노리는 고급 피싱 도구가 새롭게 나타남.
3. 표적 공격을 대량으로 할 수 있게 해 주는 도구로, 피싱의 새로운 국면이 시작됨.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>