범죄 대행 서비스 시스템 악용한 사기 – 공격 신청자가 공격받아
클라우드 서비스 이용해 신분 감추고 SNS 계정 수집... 추가 피해 예상
[보안뉴스 문가용] 해킹공격을 대행해주는 암시장의 서비스 중 하나가 사이버 범죄를 마음먹었던 자들을 오히려 피해자로 만들고 있다는 소식이다. 문제가 된 서비스는 페이스북 계정을 겨냥한 스캐밍 및 피싱 툴을 구글 드라이브(Google Drive)에 호스팅하는 방식으로 신청자(즉, 잠재적 범죄자)에게 제공된다. 그런데 이 툴은 서비스를 신청한 사람이 공격하고자 하는 사람이 아니라 서비스를 신청한 당사자들을 공격한다고 한다.
▲ 아, 궁금해... 보고 싶어...
이 툴을 구글 드라이브에서 발견한 건 보안 전문업체인 블루코트(Blue Coat)의 엘라스티카 클라우드 위협연구소(Elastica Cloud Threat Labs, BCECTL)로, 현재는 시만텍(Symantec)에 소속되어 있다. BCECTL은 “해당 툴은 다양한 계층의 사람들이 가지고 있는 계정 정보를 훔치는 데에 흔히 사용되는 피싱 툴”이라고 설명했다.
“원래 이런 툴들은 해킹 기술을 가진 범죄자가 해킹 기술은 없고 의도만 있는 범죄자들을 지원하고 돕는 데에 그 목적을 가지고 있거든요. 마음만 먹으면 누구나 얼마든지 해킹을 할 수 있는 거예요. 멀웨어를 배포하거나 데이터를 훔치거나 특정 대상을 해코지하고 싶다거나 소셜 엔지니어링 공격을 하고자 할 때 보통 이런 서비스들을 이용하죠. 하지만 이번 툴의 경우 공격 대상이 이전과는 전혀 달랐어요.”
이 툴은 이런 식으로 작동한다.
1) 해킹을 하고 싶은 사람(A)이 개발자(B)에게 서비스를 신청한다.
2) B가 A에게 구글 드라이브 링크를 전달한다.
3) 링크를 클릭하면 ‘페북 친구 계정 해킹 툴(Facebook Friend’s Account Hacker)’ 페이지가 뜬다.
4) 이 페이지에 특정 정보를 넣으면 원하는 계정을 해킹할 수 있는 것처럼 나와 있다. 기입해야 하는 정보에는 A의 계정정보도 포함되어 있다.
5) 하지만 계정 해킹이 실제로 일어나지는 않는다.
6) 기입된 정보는 B가 조정하는 도메인으로 옮겨간다. 즉, A의 정보를 B가 훔친 꼴이 된다.
해커들이 로그인 정보를 훔쳤을 때, 그걸 가지고 가장 쉽게 돈을 벌 수 있는 방법은 해당 로그인 정보를 암시장에 파는 것이다. 이번 페이스북 툴의 개발자가 이런 의도로 ‘해킹이 하고 싶다’는 사람들을 유혹했을 가능성도 높다. “게다가 다른 페이스북 사용자 계정을 한 번쯤 들여다보고 싶다는 생각이 들 때가 있잖아요? 이번에 발견한 툴은 친구 계정을 간편하게 해킹할 수 있는 것처럼 보이는데, 바로 이런 심리를 자극하고 있습니다. 그래서 이 툴이 꽤나 빠르게 퍼지고 있는 상태입니다.”
최초 개발자가 단순히 크리덴셜을 시장에 가져다 팔 생각이라면 차라리 낫다. 기업이 운영하는 소셜 네트워크 로그인 정보가 이런 식으로 탈취당하면 최초 개발자는 여러 가지 다른 공격을 하는 것도 가능하다. 2차, 3차 피해가 발생할 수 있다는 것이다. 최근 기업들 중 SNS를 운영하지 않는 곳은 찾기가 힘들다. 심지어 일반 사용자들 중에서도 SNS를 하나도 사용하지 않는 사람 역시 드물다. “소셜 네트워크는 현대 사람들 대부분의 필수 요소죠. 그걸 사이버 범죄자들도 잘 알고 있습니다. SNS 로그인 정보가 이런 식으로 누군가에게 수집되고 있다는 건 매우 위험한 일이고, 시한폭탄이 설치되는 것과 마찬가지입니다.”
기업 입장에서는 이런 공격을 막기 위해 사원들을 교육시킬 필요가 있다. ‘클릭 한 번으로 친구의 페이스북 계정을 들여다보게 해준다’는 식으로 돌아다니는 문서나 페이지를 이용한 공격이 요즘 유행하고 있으니 절대 속지 말라고 알려줘야 한다는 것이다. “애초에 출처가 불분명한 툴을 무분별하게 다운로드 받아서 사용하는 것 자체가 매우 위험한 행동이라는 것도 이번 기회에 알려줘야 합니다.”
이미 이런 저런 공격을 통해 SNS 계정이 장악 당했다면 먼저 감염된 계정 및 시스템을 격리시키는 일부터 해야 한다. 그리고 해당 계정, 시스템 등에 당분간 접속하지 않도록 관계자 모두에게 경고해야 한다. 또한 클라우드로의 접속 역시 모니터링하고 관리할 수 있는 체계를 갖추는 것도 중요하다. “구글 드라이브로부터 공격이 시작되는 걸 간과해서는 안 됩니다. 공격자가 공공 클라우드 계정 혹은 무료 클라우드 계정을 통해 굳이 공격을 하는 건 당연히 신분을 감추기 위함이죠. 이런 공격이 유행하고 있을 때는 승인되지 않은 클라우드 접속도 당분간 자제시켜야 합니다.”
아마 원본 사기 툴은 외국어로 되어 있기 때문에 한국 페북 사용자들 사이에서 크게 유행할 가능성은 낮아 보인다. 그러나 기능 자체가 ‘익스플로잇’이나 심도 있는 공격을 수반한 것이 아니고 거의 사기 문구만 있는 수준이라 번역 및 응용이 용이해 누군가 이를 한글판으로 공격할 가능성 또한 배재할 수 없다. 세계적으로 유행 조짐이 있는 사이버 범죄와 한글의 미묘한 상호작용에 대한 설문이 본지에서 진행되고 있으니(화면 오른쪽 하단) 많은 참여 바란다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
클라우드 서비스 이용해 신분 감추고 SNS 계정 수집... 추가 피해 예상
[보안뉴스 문가용] 해킹공격을 대행해주는 암시장의 서비스 중 하나가 사이버 범죄를 마음먹었던 자들을 오히려 피해자로 만들고 있다는 소식이다. 문제가 된 서비스는 페이스북 계정을 겨냥한 스캐밍 및 피싱 툴을 구글 드라이브(Google Drive)에 호스팅하는 방식으로 신청자(즉, 잠재적 범죄자)에게 제공된다. 그런데 이 툴은 서비스를 신청한 사람이 공격하고자 하는 사람이 아니라 서비스를 신청한 당사자들을 공격한다고 한다.
▲ 아, 궁금해... 보고 싶어...
이 툴을 구글 드라이브에서 발견한 건 보안 전문업체인 블루코트(Blue Coat)의 엘라스티카 클라우드 위협연구소(Elastica Cloud Threat Labs, BCECTL)로, 현재는 시만텍(Symantec)에 소속되어 있다. BCECTL은 “해당 툴은 다양한 계층의 사람들이 가지고 있는 계정 정보를 훔치는 데에 흔히 사용되는 피싱 툴”이라고 설명했다.
“원래 이런 툴들은 해킹 기술을 가진 범죄자가 해킹 기술은 없고 의도만 있는 범죄자들을 지원하고 돕는 데에 그 목적을 가지고 있거든요. 마음만 먹으면 누구나 얼마든지 해킹을 할 수 있는 거예요. 멀웨어를 배포하거나 데이터를 훔치거나 특정 대상을 해코지하고 싶다거나 소셜 엔지니어링 공격을 하고자 할 때 보통 이런 서비스들을 이용하죠. 하지만 이번 툴의 경우 공격 대상이 이전과는 전혀 달랐어요.”
이 툴은 이런 식으로 작동한다.
1) 해킹을 하고 싶은 사람(A)이 개발자(B)에게 서비스를 신청한다.
2) B가 A에게 구글 드라이브 링크를 전달한다.
3) 링크를 클릭하면 ‘페북 친구 계정 해킹 툴(Facebook Friend’s Account Hacker)’ 페이지가 뜬다.
4) 이 페이지에 특정 정보를 넣으면 원하는 계정을 해킹할 수 있는 것처럼 나와 있다. 기입해야 하는 정보에는 A의 계정정보도 포함되어 있다.
5) 하지만 계정 해킹이 실제로 일어나지는 않는다.
6) 기입된 정보는 B가 조정하는 도메인으로 옮겨간다. 즉, A의 정보를 B가 훔친 꼴이 된다.
해커들이 로그인 정보를 훔쳤을 때, 그걸 가지고 가장 쉽게 돈을 벌 수 있는 방법은 해당 로그인 정보를 암시장에 파는 것이다. 이번 페이스북 툴의 개발자가 이런 의도로 ‘해킹이 하고 싶다’는 사람들을 유혹했을 가능성도 높다. “게다가 다른 페이스북 사용자 계정을 한 번쯤 들여다보고 싶다는 생각이 들 때가 있잖아요? 이번에 발견한 툴은 친구 계정을 간편하게 해킹할 수 있는 것처럼 보이는데, 바로 이런 심리를 자극하고 있습니다. 그래서 이 툴이 꽤나 빠르게 퍼지고 있는 상태입니다.”
최초 개발자가 단순히 크리덴셜을 시장에 가져다 팔 생각이라면 차라리 낫다. 기업이 운영하는 소셜 네트워크 로그인 정보가 이런 식으로 탈취당하면 최초 개발자는 여러 가지 다른 공격을 하는 것도 가능하다. 2차, 3차 피해가 발생할 수 있다는 것이다. 최근 기업들 중 SNS를 운영하지 않는 곳은 찾기가 힘들다. 심지어 일반 사용자들 중에서도 SNS를 하나도 사용하지 않는 사람 역시 드물다. “소셜 네트워크는 현대 사람들 대부분의 필수 요소죠. 그걸 사이버 범죄자들도 잘 알고 있습니다. SNS 로그인 정보가 이런 식으로 누군가에게 수집되고 있다는 건 매우 위험한 일이고, 시한폭탄이 설치되는 것과 마찬가지입니다.”
기업 입장에서는 이런 공격을 막기 위해 사원들을 교육시킬 필요가 있다. ‘클릭 한 번으로 친구의 페이스북 계정을 들여다보게 해준다’는 식으로 돌아다니는 문서나 페이지를 이용한 공격이 요즘 유행하고 있으니 절대 속지 말라고 알려줘야 한다는 것이다. “애초에 출처가 불분명한 툴을 무분별하게 다운로드 받아서 사용하는 것 자체가 매우 위험한 행동이라는 것도 이번 기회에 알려줘야 합니다.”
이미 이런 저런 공격을 통해 SNS 계정이 장악 당했다면 먼저 감염된 계정 및 시스템을 격리시키는 일부터 해야 한다. 그리고 해당 계정, 시스템 등에 당분간 접속하지 않도록 관계자 모두에게 경고해야 한다. 또한 클라우드로의 접속 역시 모니터링하고 관리할 수 있는 체계를 갖추는 것도 중요하다. “구글 드라이브로부터 공격이 시작되는 걸 간과해서는 안 됩니다. 공격자가 공공 클라우드 계정 혹은 무료 클라우드 계정을 통해 굳이 공격을 하는 건 당연히 신분을 감추기 위함이죠. 이런 공격이 유행하고 있을 때는 승인되지 않은 클라우드 접속도 당분간 자제시켜야 합니다.”
아마 원본 사기 툴은 외국어로 되어 있기 때문에 한국 페북 사용자들 사이에서 크게 유행할 가능성은 낮아 보인다. 그러나 기능 자체가 ‘익스플로잇’이나 심도 있는 공격을 수반한 것이 아니고 거의 사기 문구만 있는 수준이라 번역 및 응용이 용이해 누군가 이를 한글판으로 공격할 가능성 또한 배재할 수 없다. 세계적으로 유행 조짐이 있는 사이버 범죄와 한글의 미묘한 상호작용에 대한 설문이 본지에서 진행되고 있으니(화면 오른쪽 하단) 많은 참여 바란다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
