[사이버 피싱①]해커의 흔적, "대응 방법"

일반적인 상용화된 신뢰받는 플랫폼 악용
개발자가 사용하는 자동화 툴 역시 악용으로 자유롭지 못하다.
브랜드 가치, 평판 또는 인기를 이용한 공격도 있다
추적하기 어려운 방법으로 암호화폐 빼돌린다

김문선 기자 승인 2021.07.10 10:56 | 최종 수정 2021.07.15 13:06 의견 0
X
사진 : pixabay

최근 인터넷 침해사고의 추세는 주로 금전적인 이익을 얻기 위하여 발생하고 있으며, 그 수법이 갈수록 지능적이고 복합적인 기법들을 사용하여 대응과 분석이 점점 어려워지고 있다. 최근의 침해사고들을 보면 국외의 해커들이 국내 홈페이지를 해킹한 후 악성코드를 은닉하고 이를 통해 국내 온라인게임 사용자들의 게임정보를 해외로 유출하고, 국내의 웹 서버들을 해킹한 후 금융사기를 위한 피싱(Phishing) 사이트로 악용하기도 한다.

◇ 일반적인 상용화된 신뢰받는 플랫폼 악용

2020년 보안 전문가들이 빈번하게 발견한 수법으로, 올해까지 계속 그 추세가 이어지는 중이다.코발트 스트라이크(Cobalt Strike), Ngrok(초기 설치방법 및 기본설정) 같은 침투 테스트 서비스 및 도구부터 깃허브와 같은 오픈소스 코드 생태계, Imgur, 페이스트빈(Pastebin)과 같은 이미지 및 텍스트 사이트에 이르기까지, 공격자들은 지난 몇 년 사이 신뢰받는 다양한 플랫폼을 공격에 이용해왔다.

일반적으로 Ngrok(초기 설치방법 및 기본설정)은 버그 사냥 연습이나 침투 테스트의 일부로 데이터 수집 또는 모의 터널을 만드는 데 관심이 있는 윤리적 해커들 사이에서 사용된다. 그러나 악의적 행위자들은 Ngrok을 악용해 봇넷을 설치하거나 정상적인 통신 서비스를 악성 서버에 연결한다. SANS 인스티튜트(SANS Institute)의 자비에 머텐스는 최근 파이썬으로 작성된 이러한 악성코드 샘플을 발견했다. 악성코드 샘플에는 Ngrok을 사용하는 감염된 시스템에 백도어를 심기 위한 base64로 인코딩된 코드가 포함돼 있었다.

Ngrok은 많은 사람들이 신뢰하므로 원격 공격자는 Ngrok 터널을 통해 감염된 시스템에 연결해 기업 방화벽 또는 NAT 보호를 높은 확률로 회피할 수 있다.

것허브 역시 옥토퍼스 스캐너(Octopus Scanner)부터 깃페이스트-12(Gitpaste-12)에 이르는 다양한 악성코드를 호스팅하는 데 악용됐다. 영악한 공격자들은 최근 오픈소스 파워셸 스크립트를 사용해서 깃허브와 Imgur을 조합해 깃허브에 무해한 Imgur 사진의 코발트 스트라이크 페이로드를 계산하는 간단한 스크립트를 호스팅 했다.

코발트 스트라이크는 인기 있는 침투 테스트 프레임워크로, 고도의 실제 사이버 공격을 시뮬레이션하는 데 사용되지만 모든 보안 소프트웨어 제품이 그렇듯이 공격자에 의해 오용될 소지도 있다.

◇ 개발자가 사용하는 자동화 툴 역시 악용으로 자유롭지 못하다.

공격자들은 지난 4월 깃허브 액션(GitHub thfActions)을 악용, 수백 개의 리포지토리를 대상으로 자동화된 공격을 감행했고 암호화폐 채굴에 깃허브의 서버와 리소스를 사용했다.

이러한 사례는 공격자들이 왜 굳이 많은 방화벽과 보안 모니터링 툴이 지키고 있을 가능성이 높은 합법적인 플랫폼을 노리는지, 그 이유를 보여준다.

◇ 브랜드 가치, 평판 또는 인기를 이용한 공격도 있다

최근 솔라윈즈(SolarWinds) 침해 이후 소프트웨어 공급망에 대한 보안 우려가 확산됐지만 이러한 공격이 부상한 것은 꽤 오래 전이다.

타이포스쿼팅(typosquatting), 브랜드재킹(brandjacking), 종속성 혼동(원래 개념 증명 연구로 시작했지만 이후 악의적 목적으로 오용됨) 등 다양한 형식을 취하는 “상향” 공격은 알려진 파트너 생태계 간의 신뢰를 악용하고 브랜드나 소프트웨어 구성 요소의 인기 또는 평판을 이용한다.

공격자는 브랜드와 관련된 신뢰받는 코드베이스로 악성 코드를 상향으로 밀어 넣는 것을 목표로 한다. 이 악성 코드는 이후 하향으로, 최종 목표, 즉 해당 브랜드의 파트너, 고객 또는 사용자에게 배포된다.

최근 솔라원즈 사고와의 유사성이 지목되기도 한 사례로, 소프트웨어 테스트 업체 코드코브(Codecov)는 자사의 배치 업로더(Bash Uploader) 스크립트를 대상으로 한 공격이 이루어졌다며 관련 정보를 공개했다. 이 공격은 2개월이 넘게 탐지되지 않았다.

코드코드의 고객 기업은 29,000개 이상으로, 이 중에는 유명 글로벌 브랜드도 포함된다. 공격에서 회사의 고객들이 사용하는 업로더가 시스템의 환경 변수(키, 인증 정보, 토큰)를 공격자의 IP 주소로 유출하도록 변조됐다.

공급망 공격을 방어하기 위해서는 여러 측면에서의 조치가 필요하다. 소프트웨어 제공업체는 개발 빌드를 안전하게 유지하기 위한 투자를 강화해야 한다. 의심스러운 소프트웨어 구성요소를 자동으로 탐지해 차단할 수 있는 AI와 ML 기반 데브옵스 솔루션은 타이포스쿼팅, 브랜드재킹, 종속성 혼동 공격을 차단하는 데 도움이 될 수 있다.

◇ 추적하기 어려운 방법으로 암호화폐 빼돌린다

다크넷 마켓플레이스 판매자와 랜섬웨어 운영자는 탈 중앙화되고 개인정보보호를 중시하는 특성을 가진 암호화폐를 사용해 거래하는 경우가 많다. 그러나 정부 중앙은행에서 발행하거나 통제하지 않는 암호화폐도 익명성 수준은 현금과 마찬가지로 제한적이다. 따라서 사이버 범죄자들은 여러 계좌 사이로 돈을 빼돌리기 위한 독창적인 방법을 찾고 있다.

사례로, 2016년 비트파이넥스(Bitfinex) 해킹과 관련된 7억 6,000만 달러 가치의 비트코인이 1BTC부터 1,200BTC 사이의 여러 건의 소규모 거래를 통해 새로운 계좌로 이동됐다.

암호화폐는 자금 추적을 완전히 피할 수는 없다. 2020년 미국 대통령 선거일 밤, 미국정부는 가장 악명높은 다크넷 마켓플레이스였다가 2013년에 폐쇄된 실크 로드와 연루된 자금이 들어 있던 10억 달러 상당의 비트코인 지갑을 비웠다.

모네로(XMR), Z캐시(ZEC)와 같은 일부 다른 암호화폐는 비트코인에 비해 거래를 익명화하기 위한 더 포괄적인 개인정보 보호 기능이 있다. 공격자들이 흔적을 숨길 더 나은 방법을 계속해서 찾고 있는 만큼 이 전선에서 범죄자와 수사 기관 사이의 줄다리기는 앞으로도 계속될 것이 분명하다.

저작권자 ⓒ 디지털비즈온, 무단 전재 및 재배포 금지