대범하고 실력 좋은 해킹 조직들, 상품권 발행 업체들을 직접 노려

2024-05-27 19:41
  • 카카오톡
  • 네이버 블로그
  • url
상품권을 가지고 사기치는 전형적인 공격을 살짝 꼰 자들이 나타났다. 이들은 상품권 발행 기업을 공격해 자기들 마음 대로 상품권을 찍어냈다. 사실상 현찰을 인쇄할 수 있을 정도의 공격을 한 것이다.

[보안뉴스 문가용 기자] 모로코의 해킹 그룹이 전형적인 수법의 ‘상품권 사기’ 공격을 한층 업그레이드 시켰다. 이들은 도소매 업체의 고객들을 노리는 게 아니라 상품권을 등록시키는 시스템들을 노렸다. 그렇게 함으로써 상품권을 마구 찍어낼 수 있게 됐다. 사실상 돈을 찍어내는 사이버 공격을 성공시켰던 것이다.


[이미지 = gettyimagesbank]

일반적으로 공격자들은 소셜엔지니어링 기법을 사용해 피해자들이 상품권을 구매하도록 유도한다. 이 오래된 전략은 여간해서는 바뀌지 않는다. 사람들은 여전히 쉽게 속고 있기 때문에 공격자들이 일부러 새로운 전략을 고안해야 할 필요가 전혀 없기 때문이다. 소셜엔지니어링은 여전히 강력하고, 공격자들에게 있어 생산적이기까지 하다.

하지만 모로코의 해킹 단체 스톰0539(Storm-0539)의 경우 조금 달랐다. 아틀라스라이언(Atlas Lion)이라고도 불리는 이들은 소비자들을 겨냥하지 않고 상품권 발급자들을 노렸다. 같은 상품권 사기 공격인데 피해자를 기존의 사기 사건들과는 살짝 다르게 가져간 것이다. 사실 개인을 노리는 건 비효율적이었다. 개개인이 낼 수 있는 돈은 한계가 분명해 들어간 노력에 비해 건당 이익이 얼마 되지 않는다. 다만 리스크가 적기 때문에, 그리고 공격 성공률이 높다는 장점이 있다. 업체를 겨냥하면서 이 장단점은 완전히 뒤바뀌게 된다.

발상의 전환?
스톰0539가 노린 것은 상품권을 발행하는 도소매 업체의 직원들이었다. 피싱 문자로 공격은 시작됐다. 직원들이 사용하는 업무용 계정들을 훔치는 게 첫 번째 목표였다. 그리고 누군가는 속았고, 공격자들은 원하는 계정들을 손에 넣을 수 있게 됐다. 직원들의 정상적인 계정들을 통해 사이버 공격자들은 기업의 네트워크에 접속할 수 있게 됐고, 더 나아가 횡적으로 움직였다. 다른 직원 계정들을 추가로 침해하기도 하고, 기업의 상황을 파악하기도 하고, 사업 구조를 이해하기도 했다. 그러면서 점점 상품권 발급과 직접 연계되어 있는 시스템에 접근하는 데 성공했다.

“스톰0539 공격자들은 피해자의 망에 접속하여 방대한 정보를 수집합니다. 그러면서 피해자 기업이 어떤 식으로 상품권을 만들고 발행하여 배포하는 지를 정확히 알게 됩니다.” 마이크로소프트(Microsoft)의 수석 위협 분석가인 에미엘 해게베어트(Emiel Haeghebaert)의 설명이다. “그런 후 상품권 한 장이 아니라 수백 장을 훔쳐내는 것이죠.”

하지만 이게 말처럼 간단한 일이 아니다. 최근 기업들은 셰어포인트(SharePoint)나 VPN 장비들을 동원해 상품권과 관련된 중요 정보들을 처리하고, 이런 클라우드 및 원격 접근 기술들을 통해 상품권 활용에 필요한 인프라를 구성합니다. 그렇기 때문에 스톰0539는 이러한 공격을 진행하는 과정 중에 반드시 기업의 VPN이나 클라우드 자원에도 접근했을 것이 분명하고, 그런 자원과 인프라를 이해하기 위해 상당한 조사를 진행했을 것으로 추정됩니다.”

그렇다는 건 스톰0539가 보유하고 있는 클라우드 및 VPN 이해도가 일반 범죄 단체의 그것과 비교하기에 어려울 정도로 수준이 높다는 뜻이 된다. 해게베어트는 “APT 조직의 그것과 비교할 수 있을 정도”로 높게 보고 있다. “그 정도로 높은 이해도를 가지고 있으니 상품권 사용자가 아니라 발행 기업을 노릴 생각을 한 것이기도 하겠죠. 인프라에 대한 기본적인 지식이 이들을 대범하게 만든 겁니다.”

스톰0593과 맞서기
스톰0593은 이전부터 잘 알려져 왔던 공격 단체다. 그 동안 이들이 보여왔던 특징 중 하나는 연휴 전후로 공격 수위를 높인다는 것이다. 이번에도 메모리얼데이(Memorial Day)를 노리고 상품권 인프라를 노린 것으로 추정된다. MS는 “이들의 상품권 사기 시도는 계속해서 이어질 것”이라며 “상품권을 발행하는 기업이라면 다중인증 기능을 활성화하고, 비밀번호 재설정을 전사적으로 실시하는 게 좋다”고 권고한다. “그 외 각종 사기 예방 수단들을 작동시키는 것도 권장합니다. 직원 교육은 물론이고요.”

3줄 요약
1. 악명 높은 해킹 단체 스톰0539, 새로운 상품권 사기 공격 진행.
2. 상품권을 사용하는 개인을 노리는 게 아니라 상품권을 발행하는 도소매 업체를 노림.
3. 클라우드와 VPN 인프라에 대한 이해도가 높은 자들이라 할 수 있는 공격.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 알티솔루션

    • 인콘

    • 엔텍디바이스코리아

    • 마이크로시스템

    • TVT코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 비전정보통신

    • 인텔리빅스

    • 경인씨엔에스

    • 세연테크

    • 성현시스템

    • 한결피아이에프

    • 유니뷰코리아

    • 디비시스

    • 프로브디지털

    • 스피어AX

    • 투윈스컴

    • 트루엔

    • 한국씨텍

    • 위트콘

    • 유에치디프로

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 제이슨

    • 라온시큐어

    • 시만텍

    • 유니닥스

    • 사이버아크

    • 한국IBM

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 네이즈

    • 케이제이테크

    • 셀링스시스템

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 유투에스알

    • 에이앤티코리아

    • 네티마시스템

    • 태정이엔지

    • 에이티앤넷

    • (주)일산정밀

    • 주식회사 에스카

    • 두레옵트로닉스

    • 넥스텝

    • 모스타

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 지와이네트웍스

    • 티에스아이솔루션

    • 구네보코리아주식회사

    • 동양유니텍

    • 엔에스티정보통신

    • 엔시드

    • 포커스에이치앤에스

    • 메트로게이트
      시큐리티 게이트

    • 엠스톤

    • 글로넥스

    • 유진시스템코리아

    • 카티스

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기