피싱 공격자들도 사이트 방문자 늘리면서 추적하고 싶어 해
분석 도구 사용할 경우, 공격 효율 높아져...하지만 탐지 위험 역시 높아지기도
[보안뉴스 문가용 기자] 사이버 범죄자들이 웹 트래픽 분석 도구를 범죄에 활용하고 있다는 소식이다. 여기에는 가장 인기 높은 도구인 구글 애널리틱스(Google Analytics)도 포함되어 있다. 이런 유명 분석 도구들을 활용할 때 보다 정교한 피싱 공격이 가능해진다고 한다. 대신 공격자들에게도 리스크가 있다. 이런 분석 도구를 활용했을 때, 그렇지 않았을 때보다 탐지에 보다 크게 노출된다는 것이다.
[이미지 = iclickart]
현재 모든 웹사이트의 56.1%가 분석 도구를 사용해 사용자 행동 패턴과 페이지 뷰 등을 추적하고 분석한다. 사이버 범죄자들 역시 이 유용한 기능들을 활용한다고 보안 업체 아카마이 테크놀로지스(Akamai Technologies)는 말한다. 물론 궁극의 목적은 다르지만 말이다. “피싱 공격을 하는 사이버 공격자들도, 일반 웹 운영자들과 같은 것을 궁금해 합니다. ‘어떻게 해야 더 많은 사람들을 우리 사이트로 불러들일까?’, ‘어떻게 해야 더 많은 사람들이 링크를 클릭하도록 할까?’ 등이죠.”
아카마이에서 이번 연구를 진행한 토머 시오모(Tomer Shiomo)는 “지난 몇 년 동안 피싱은 계속해서 변화해왔다”며, “그 동안 공격자들은 브라우저 식별, 위치정보, OS 식별 등과 같은 ‘기술적 표시’들을 활용하는 법을 익혀왔다”고 말한다. “기술적 표시들을 제대로 활용하기 위해 구글, 빙, 얀덱스 등에서 만든 분석 툴들을 공격에 활용하는 것도 공격자들이 이뤄온 발전상입니다.”
아카마이에 의하면 “분석 툴들은 ‘고유 식별자(UID)’라는 것을 활용해 각 방문자 혹은 고객들을 식별한다”고 설명을 시작한다. “사람 하나하나에 붙은 이름표 같은 건데요, 두 부분으로 구성되어 있습니다. 고유 분석 네트워크 계정 ID와 페이지 뷰 혹은 특성과 관련된 숫자입니다.” 아카마이가 피싱 공격에 사용되는 URL 62,627개를 스캔한 결과, 54,261개가 콘텐츠를 포함하고 있었고(즉 빈 페이지가 아니었고), 이 54,261개 URL은 28,906개의 고유 도메인에 묶여 있었다. 이 중 874개에는 UID들이 있었고, 이 중 396개는 구글 애널리틱스 계정들이었다. 75개의 UID는 한 개 이상의 웹사이트 분석에 사용되고 있었다.
이러한 웹사이트들의 소스코드를 분석했을 때 아카마이의 연구원들은 이 UID들이 피싱 공격에 활용되고 있다는 걸 알 수 있었다고 한다. 그러면서 “왜 피싱 사이트에 굳이 UID를 적용해서 사용하는 것일까?”하는 의문이 풀렸다고 시오모는 말한다. “정상 웹사이트를 똑같이 복제해서 만든 피싱 사이트를 운영하는 경우, 공격자들은 HT트랙(HTTrack)이나 wget과 같은 복제 전문 툴을 사용해 소스코드를 다운로드 받습니다. 그리고 이를 다시 사용해 가짜 사이트를 만들죠. 첫 번째 가설은, 이런 과정 속에서 UID가 같이 딸려오는 것입니다.”
그러나 일부러 UID를 심는 경우도 있을 수 있다고 시오모는 설명을 잇는다. “공격자가 자신의 피싱 사이트로 들어온 피해자의 움직임을 관찰하기 위해 심어두었을 수도 있습니다. 피해자가 또 다른 피싱 사이트들로 옮겨갈 수 있도록 효과적으로 유도하기 위해서 말이죠. 그렇다는 건, UID가 심겨진 피싱 사이트들이 사실은 궁극적 표적으로 가기 위한 ‘싱크홀’일 수 있다고 해석할 수도 있습니다.”
아카마이는 좋은 소식과 나쁜 소식을 모두 전하고 있다. “피해자를 분석하기 시작하니까 피싱 공격이 좀 더 정교해지고, 따라서 공격 효과가 높이질 수 있습니다. 특정 부류의 사용자나 특정 장비 사용자들을 노린다든지 하는 식으로 말이죠. 예를 들면 아이폰 사용자만을 목표로 하면서 안드로이드는 완전히 무시할 수도 있게 됩니다. 하지만 이는 역으로 사이버 범죄자들의 행동 패턴을 노출시키는 결과를 낳을 수도 있습니다. 그렇게 된다면 방어자들에게 큰 도움이 될 수 있죠.”
왜? 공격자들이 공격의 효율을 높이기 위해 분석 툴과 UID를 사용하기 시작하면 무슨 일이 발생하기에? “공격에 사용하는 모든 도구들에 식별자가 덧붙게 됩니다. 피싱 캠페인 하나가 아니라 그들이 운영하는 모든 피싱 캠페인을 한 번에 알 수 있게 되죠. 그러면서 보다 큰 그림이 보이게 되고, 적절한 방어 대책을 세울 수 있게 되는 겁니다.”
시오모는 “공격자가 공격 표적의 실제 UID를 사용한다면, 그것만으로 ‘나 여기 있다’는 뜻의 신호가 될 것입니다. 물론 그런 경우가 흔치는 않을 겁니다. 공격자들이 직접 만들고 사용하는, 공격자들의 UID를 찾아내는 게 중요합니다”라고 강조한다. “분석 도구를 사용하고, 공격자들의 UID를 추적하기 시작하면 피싱 캠페인 전체에 대한 가시성을 얻을 수 있습니다. 이를 보안 전략에 응용해보면 큰 도움이 될 것이라고 봅니다.”
3줄 요약
1. 사이트 방문자를 늘리고 원하는 곳으로 유도하는 것, 모든 사이트 운영자들의 관심사.
2. 그래서 사용되는 것이 구글 애널리틱스와 같은 분석 툴.
3. 공격자들도 똑같은 목적으로 구글 툴 사용. 때문에 공격 효율 높아지지만 탐지 가능성 역시 높아짐.
[국제부 문가용 기자(globoan@boannews.com)]
분석 도구 사용할 경우, 공격 효율 높아져...하지만 탐지 위험 역시 높아지기도
[보안뉴스 문가용 기자] 사이버 범죄자들이 웹 트래픽 분석 도구를 범죄에 활용하고 있다는 소식이다. 여기에는 가장 인기 높은 도구인 구글 애널리틱스(Google Analytics)도 포함되어 있다. 이런 유명 분석 도구들을 활용할 때 보다 정교한 피싱 공격이 가능해진다고 한다. 대신 공격자들에게도 리스크가 있다. 이런 분석 도구를 활용했을 때, 그렇지 않았을 때보다 탐지에 보다 크게 노출된다는 것이다.
[이미지 = iclickart]
현재 모든 웹사이트의 56.1%가 분석 도구를 사용해 사용자 행동 패턴과 페이지 뷰 등을 추적하고 분석한다. 사이버 범죄자들 역시 이 유용한 기능들을 활용한다고 보안 업체 아카마이 테크놀로지스(Akamai Technologies)는 말한다. 물론 궁극의 목적은 다르지만 말이다. “피싱 공격을 하는 사이버 공격자들도, 일반 웹 운영자들과 같은 것을 궁금해 합니다. ‘어떻게 해야 더 많은 사람들을 우리 사이트로 불러들일까?’, ‘어떻게 해야 더 많은 사람들이 링크를 클릭하도록 할까?’ 등이죠.”
아카마이에서 이번 연구를 진행한 토머 시오모(Tomer Shiomo)는 “지난 몇 년 동안 피싱은 계속해서 변화해왔다”며, “그 동안 공격자들은 브라우저 식별, 위치정보, OS 식별 등과 같은 ‘기술적 표시’들을 활용하는 법을 익혀왔다”고 말한다. “기술적 표시들을 제대로 활용하기 위해 구글, 빙, 얀덱스 등에서 만든 분석 툴들을 공격에 활용하는 것도 공격자들이 이뤄온 발전상입니다.”
아카마이에 의하면 “분석 툴들은 ‘고유 식별자(UID)’라는 것을 활용해 각 방문자 혹은 고객들을 식별한다”고 설명을 시작한다. “사람 하나하나에 붙은 이름표 같은 건데요, 두 부분으로 구성되어 있습니다. 고유 분석 네트워크 계정 ID와 페이지 뷰 혹은 특성과 관련된 숫자입니다.” 아카마이가 피싱 공격에 사용되는 URL 62,627개를 스캔한 결과, 54,261개가 콘텐츠를 포함하고 있었고(즉 빈 페이지가 아니었고), 이 54,261개 URL은 28,906개의 고유 도메인에 묶여 있었다. 이 중 874개에는 UID들이 있었고, 이 중 396개는 구글 애널리틱스 계정들이었다. 75개의 UID는 한 개 이상의 웹사이트 분석에 사용되고 있었다.
이러한 웹사이트들의 소스코드를 분석했을 때 아카마이의 연구원들은 이 UID들이 피싱 공격에 활용되고 있다는 걸 알 수 있었다고 한다. 그러면서 “왜 피싱 사이트에 굳이 UID를 적용해서 사용하는 것일까?”하는 의문이 풀렸다고 시오모는 말한다. “정상 웹사이트를 똑같이 복제해서 만든 피싱 사이트를 운영하는 경우, 공격자들은 HT트랙(HTTrack)이나 wget과 같은 복제 전문 툴을 사용해 소스코드를 다운로드 받습니다. 그리고 이를 다시 사용해 가짜 사이트를 만들죠. 첫 번째 가설은, 이런 과정 속에서 UID가 같이 딸려오는 것입니다.”
그러나 일부러 UID를 심는 경우도 있을 수 있다고 시오모는 설명을 잇는다. “공격자가 자신의 피싱 사이트로 들어온 피해자의 움직임을 관찰하기 위해 심어두었을 수도 있습니다. 피해자가 또 다른 피싱 사이트들로 옮겨갈 수 있도록 효과적으로 유도하기 위해서 말이죠. 그렇다는 건, UID가 심겨진 피싱 사이트들이 사실은 궁극적 표적으로 가기 위한 ‘싱크홀’일 수 있다고 해석할 수도 있습니다.”
아카마이는 좋은 소식과 나쁜 소식을 모두 전하고 있다. “피해자를 분석하기 시작하니까 피싱 공격이 좀 더 정교해지고, 따라서 공격 효과가 높이질 수 있습니다. 특정 부류의 사용자나 특정 장비 사용자들을 노린다든지 하는 식으로 말이죠. 예를 들면 아이폰 사용자만을 목표로 하면서 안드로이드는 완전히 무시할 수도 있게 됩니다. 하지만 이는 역으로 사이버 범죄자들의 행동 패턴을 노출시키는 결과를 낳을 수도 있습니다. 그렇게 된다면 방어자들에게 큰 도움이 될 수 있죠.”
왜? 공격자들이 공격의 효율을 높이기 위해 분석 툴과 UID를 사용하기 시작하면 무슨 일이 발생하기에? “공격에 사용하는 모든 도구들에 식별자가 덧붙게 됩니다. 피싱 캠페인 하나가 아니라 그들이 운영하는 모든 피싱 캠페인을 한 번에 알 수 있게 되죠. 그러면서 보다 큰 그림이 보이게 되고, 적절한 방어 대책을 세울 수 있게 되는 겁니다.”
시오모는 “공격자가 공격 표적의 실제 UID를 사용한다면, 그것만으로 ‘나 여기 있다’는 뜻의 신호가 될 것입니다. 물론 그런 경우가 흔치는 않을 겁니다. 공격자들이 직접 만들고 사용하는, 공격자들의 UID를 찾아내는 게 중요합니다”라고 강조한다. “분석 도구를 사용하고, 공격자들의 UID를 추적하기 시작하면 피싱 캠페인 전체에 대한 가시성을 얻을 수 있습니다. 이를 보안 전략에 응용해보면 큰 도움이 될 것이라고 봅니다.”
3줄 요약
1. 사이트 방문자를 늘리고 원하는 곳으로 유도하는 것, 모든 사이트 운영자들의 관심사.
2. 그래서 사용되는 것이 구글 애널리틱스와 같은 분석 툴.
3. 공격자들도 똑같은 목적으로 구글 툴 사용. 때문에 공격 효율 높아지지만 탐지 가능성 역시 높아짐.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
