새로 등장한 피싱 키트 크립토카멜레온, 싱글사인온 사용자들 노려

새롭게 등장한 피싱 키트가 꽤나 주목을 받고 있다. 싱글사인온 서비스를 통해 거대한 암호화폐 플랫폼들을 겨냥하여 고도화 된 작전을 사용하기 때문이다. 싱글사인온을 노리고 있어, 피해는 암호화폐 플랫폼 너머에 있는 곳으로도 퍼질 확률이 높다.

[보안뉴스 = 네이선 에디 IT 칼럼니스트] 크립토카멜레온(CryptoChameleon)이라는 피싱 키트가 새롭게 발견됐다. 이름 그대로 암호화폐 플랫폼들을 노리는 것으로, 바이낸스(Binance)와 코인베이스(Coinbase)와 같은 거대 플랫폼의 직원들까지도 겨냥하고 있다. 보안 업체 룩아웃(Lookout)에서 발견한 것으로, 현재까지 피해자들은 주로 애플의 iOS와 구글의 안드로이드 장비를 통해 싱글사인온 솔루션을 활용하는 단체들이라고 한다.

[이미지 = gettyimagesbank]

크립토카멜레온을 사용하는 공격자들이 공격에 성공할 경우 사용자들의 로그인 ID와 비밀번호는 고스란히 공격자의 손에 넘어가게 된다. 그 외에도 비밀번호 재설정 URL과 사진 ID들도 같이 빼앗기게 되는데, 그렇기 때문에 피해가 훨씬 더 커진다. “암호화폐 플랫폼들과 싱글사인온 서비스들은 보다 강력한 인증 시스템을 고려하는 게 안전해 보입니다. 예를 들어 웹오슨(WebAuthn) 기반 패스키 등이 있습니다.” 보안 업체 섹티고(Sectigo)의 부회장 제이슨 소로코(Jason Soroko)의 조언이다.

고도화된 크립토카멜레온 피싱 전략
크립토카멜레온은 고도화 된 피싱 전략을 선보이는 도구다. 대단히 개인화 된 공격을 실시할 수 있게 해 준다. 소셜엔지니어링 도구에는 개인적으로 접근할 수 있게 해 주는 텍스트 메시지와 음성 콘텐츠를 포함하고 있다. 전부 유명한 기업들의 고객 지원 센터를 사칭하는 것들이다. “뿐만 아니라 정상적인 웹 페이지들을 간단하게 흉내 낼 수 있도록 해주는 도구들도 있습니다. 이걸로 만들어진 페이지들은 맨눈으로 분간하기가 여간 어렵지 않습니다.” 룩아웃 측의 설명이다.

크립토카멜레온은 에이치캡챠(hCaptcha)라는 도구도 활용한다. 이를 통해 자동 분석 도구들을 회피한다는 것이 룩아웃의 분석 내용이다. “이런 모든 기법과 전략들을 봤을 때 스캐터드스파이더(Scattered Spider)라는 사이버 공격 조직이 떠오릅니다. 고객 지원 담당자를 사칭한 음성 콘텐츠로 옥타(Okta)라는 인증 플랫폼 - 그러므로 싱글사인온 서비스의 - 사용자들을 노린 적이 있는 그룹이죠. 다만 크립토카멜레온이 스캐터드스파이더의 작품이라고 확정지어 말하기는 힘듭니다.”

오히려 룩아웃은 현재 이 크립토카멜레온이 다크웹에서 판매되는 상품일 가능성이 높다고 보고 있다. “누군가 스캐터드스파이더에게 영감을 받아 개발한 키트일 수도 있고, 스캐터드스파이더의 전략이 이미 다크웹에서는 ‘잘 팔리는 아이템’일 수도 있습니다. 이걸 개발한 게 단일 인물인지, 아니면 해킹 조직인지도 아직은 명확하지 않습니다.”

기술 지원 센터의 전화에 속지 않아야
소로코는 “소셜엔지니어링은 갈수록 교묘해지고 있고, 공격자들에게 있어 갈수록 중요해지고 있어, 끊임없는 교육을 통해 방어해야 한다”고 강조한다. “딥페이크로 만든 음성이 실제 범죄로 이어진 경우들이 나오기 시작했습니다. 이전에는 의심하지 않았던 우리의 소통 방법들에도 전부 점검이 필요하게 된 것이죠. 누가 나에게 문자를 했는지, 누가 전화를 걸었는지 하나하나 확인한 상태에서 다음 단계의 대화로 넘어가야 합니다. 기술적으로 이런 문제를 좀 더 편리하게 해 줄 여지가 없진 않습니다만 개개인의 교육이 뒷받침 되지 않으면 기술도 무용지물이 됩니다.”

보안 업체 키퍼시큐리티(Keeper Security)의 부회장인 패트릭 티켓(Patrick Tiquet)도 여기에 동의한다. “해킹 공격을 방어하는 데 있어 교육은 그리 빠른 효과를 나타내지 않습니다. 그래서 기피하죠. 받는 사람도 하는 사람도 보안 교육을 좋아하지 않습니다. 그러나 꾸준히 해서 변화가 일어나는 순간 가장 강력한 방어 도구가 됩니다. 단기적인 해결책도 중요하지만 교육과 같은 장기적인 보안 강화 대책도 놓쳐서는 안 됩니다.”

그러면서 그는 비밀번호 관리 프로그램을 예로 든다. “비밀번호 프로그램은 사용자의 볼트 안에 이미 저장되어 있던 URL 주소와, 현재 로그인을 시도하는 URL의 주소가 일치하지 않을 때, 이를 자동으로 간파합니다. 매우 편리하죠. 하지만 그 프로그램이 아무리 경고를 해도, 사용자가 교육을 받지 않아 그 경고의 의미를 모르거나 대수롭지 않게 생각하면 프로그램의 좋은 점도 희석됩니다.”

그래서 티켓은 보안을 여러 겹으로 강화시켜 놓는 게 중요하다고 강조한다. “비밀번호 프로그램도 전체 보안의 한 겹, 사용자 교육도 전체 보안의 한 겹입니다. 여기에 다중인증도 한 겹 더 설치하면 훨씬 강력해집니다. 그 모든 장치들 하나하나로서는 완벽하지 않습니다만, 그 완벽하지 않은 걸 모아두면 강력한 결과물이 나옵니다.”

글 : 네이선 에디(Nathan Eddy), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)