[보안뉴스 문가용 기자] 모로코의 해킹 그룹이 전형적인 수법의 ‘상품권 사기’ 공격을 한층 업그레이드 시켰다. 이들은 도소매 업체의 고객들을 노리는 게 아니라 상품권을 등록시키는 시스템들을 노렸다. 그렇게 함으로써 상품권을 마구 찍어낼 수 있게 됐다. 사실상 돈을 찍어내는 사이버 공격을 성공시켰던 것이다.
[이미지 = gettyimagesbank]
일반적으로 공격자들은 소셜엔지니어링 기법을 사용해 피해자들이 상품권을 구매하도록 유도한다. 이 오래된 전략은 여간해서는 바뀌지 않는다. 사람들은 여전히 쉽게 속고 있기 때문에 공격자들이 일부러 새로운 전략을 고안해야 할 필요가 전혀 없기 때문이다. 소셜엔지니어링은 여전히 강력하고, 공격자들에게 있어 생산적이기까지 하다.
하지만 모로코의 해킹 단체 스톰0539(Storm-0539)의 경우 조금 달랐다. 아틀라스라이언(Atlas Lion)이라고도 불리는 이들은 소비자들을 겨냥하지 않고 상품권 발급자들을 노렸다. 같은 상품권 사기 공격인데 피해자를 기존의 사기 사건들과는 살짝 다르게 가져간 것이다. 사실 개인을 노리는 건 비효율적이었다. 개개인이 낼 수 있는 돈은 한계가 분명해 들어간 노력에 비해 건당 이익이 얼마 되지 않는다. 다만 리스크가 적기 때문에, 그리고 공격 성공률이 높다는 장점이 있다. 업체를 겨냥하면서 이 장단점은 완전히 뒤바뀌게 된다.
발상의 전환?
스톰0539가 노린 것은 상품권을 발행하는 도소매 업체의 직원들이었다. 피싱 문자로 공격은 시작됐다. 직원들이 사용하는 업무용 계정들을 훔치는 게 첫 번째 목표였다. 그리고 누군가는 속았고, 공격자들은 원하는 계정들을 손에 넣을 수 있게 됐다. 직원들의 정상적인 계정들을 통해 사이버 공격자들은 기업의 네트워크에 접속할 수 있게 됐고, 더 나아가 횡적으로 움직였다. 다른 직원 계정들을 추가로 침해하기도 하고, 기업의 상황을 파악하기도 하고, 사업 구조를 이해하기도 했다. 그러면서 점점 상품권 발급과 직접 연계되어 있는 시스템에 접근하는 데 성공했다.
“스톰0539 공격자들은 피해자의 망에 접속하여 방대한 정보를 수집합니다. 그러면서 피해자 기업이 어떤 식으로 상품권을 만들고 발행하여 배포하는 지를 정확히 알게 됩니다.” 마이크로소프트(Microsoft)의 수석 위협 분석가인 에미엘 해게베어트(Emiel Haeghebaert)의 설명이다. “그런 후 상품권 한 장이 아니라 수백 장을 훔쳐내는 것이죠.”
하지만 이게 말처럼 간단한 일이 아니다. 최근 기업들은 셰어포인트(SharePoint)나 VPN 장비들을 동원해 상품권과 관련된 중요 정보들을 처리하고, 이런 클라우드 및 원격 접근 기술들을 통해 상품권 활용에 필요한 인프라를 구성합니다. 그렇기 때문에 스톰0539는 이러한 공격을 진행하는 과정 중에 반드시 기업의 VPN이나 클라우드 자원에도 접근했을 것이 분명하고, 그런 자원과 인프라를 이해하기 위해 상당한 조사를 진행했을 것으로 추정됩니다.”
그렇다는 건 스톰0539가 보유하고 있는 클라우드 및 VPN 이해도가 일반 범죄 단체의 그것과 비교하기에 어려울 정도로 수준이 높다는 뜻이 된다. 해게베어트는 “APT 조직의 그것과 비교할 수 있을 정도”로 높게 보고 있다. “그 정도로 높은 이해도를 가지고 있으니 상품권 사용자가 아니라 발행 기업을 노릴 생각을 한 것이기도 하겠죠. 인프라에 대한 기본적인 지식이 이들을 대범하게 만든 겁니다.”
스톰0593과 맞서기
스톰0593은 이전부터 잘 알려져 왔던 공격 단체다. 그 동안 이들이 보여왔던 특징 중 하나는 연휴 전후로 공격 수위를 높인다는 것이다. 이번에도 메모리얼데이(Memorial Day)를 노리고 상품권 인프라를 노린 것으로 추정된다. MS는 “이들의 상품권 사기 시도는 계속해서 이어질 것”이라며 “상품권을 발행하는 기업이라면 다중인증 기능을 활성화하고, 비밀번호 재설정을 전사적으로 실시하는 게 좋다”고 권고한다. “그 외 각종 사기 예방 수단들을 작동시키는 것도 권장합니다. 직원 교육은 물론이고요.”
3줄 요약
1. 악명 높은 해킹 단체 스톰0539, 새로운 상품권 사기 공격 진행.
2. 상품권을 사용하는 개인을 노리는 게 아니라 상품권을 발행하는 도소매 업체를 노림.
3. 클라우드와 VPN 인프라에 대한 이해도가 높은 자들이라 할 수 있는 공격.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>