보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

대범하고 실력 좋은 해킹 조직들, 상품권 발행 업체들을 직접 노려

입력 : 2024-05-27 19:41
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
상품권을 가지고 사기치는 전형적인 공격을 살짝 꼰 자들이 나타났다. 이들은 상품권 발행 기업을 공격해 자기들 마음 대로 상품권을 찍어냈다. 사실상 현찰을 인쇄할 수 있을 정도의 공격을 한 것이다.

[보안뉴스 문가용 기자] 모로코의 해킹 그룹이 전형적인 수법의 ‘상품권 사기’ 공격을 한층 업그레이드 시켰다. 이들은 도소매 업체의 고객들을 노리는 게 아니라 상품권을 등록시키는 시스템들을 노렸다. 그렇게 함으로써 상품권을 마구 찍어낼 수 있게 됐다. 사실상 돈을 찍어내는 사이버 공격을 성공시켰던 것이다.

[이미지 = gettyimagesbank]


일반적으로 공격자들은 소셜엔지니어링 기법을 사용해 피해자들이 상품권을 구매하도록 유도한다. 이 오래된 전략은 여간해서는 바뀌지 않는다. 사람들은 여전히 쉽게 속고 있기 때문에 공격자들이 일부러 새로운 전략을 고안해야 할 필요가 전혀 없기 때문이다. 소셜엔지니어링은 여전히 강력하고, 공격자들에게 있어 생산적이기까지 하다.

하지만 모로코의 해킹 단체 스톰0539(Storm-0539)의 경우 조금 달랐다. 아틀라스라이언(Atlas Lion)이라고도 불리는 이들은 소비자들을 겨냥하지 않고 상품권 발급자들을 노렸다. 같은 상품권 사기 공격인데 피해자를 기존의 사기 사건들과는 살짝 다르게 가져간 것이다. 사실 개인을 노리는 건 비효율적이었다. 개개인이 낼 수 있는 돈은 한계가 분명해 들어간 노력에 비해 건당 이익이 얼마 되지 않는다. 다만 리스크가 적기 때문에, 그리고 공격 성공률이 높다는 장점이 있다. 업체를 겨냥하면서 이 장단점은 완전히 뒤바뀌게 된다.

발상의 전환?
스톰0539가 노린 것은 상품권을 발행하는 도소매 업체의 직원들이었다. 피싱 문자로 공격은 시작됐다. 직원들이 사용하는 업무용 계정들을 훔치는 게 첫 번째 목표였다. 그리고 누군가는 속았고, 공격자들은 원하는 계정들을 손에 넣을 수 있게 됐다. 직원들의 정상적인 계정들을 통해 사이버 공격자들은 기업의 네트워크에 접속할 수 있게 됐고, 더 나아가 횡적으로 움직였다. 다른 직원 계정들을 추가로 침해하기도 하고, 기업의 상황을 파악하기도 하고, 사업 구조를 이해하기도 했다. 그러면서 점점 상품권 발급과 직접 연계되어 있는 시스템에 접근하는 데 성공했다.

“스톰0539 공격자들은 피해자의 망에 접속하여 방대한 정보를 수집합니다. 그러면서 피해자 기업이 어떤 식으로 상품권을 만들고 발행하여 배포하는 지를 정확히 알게 됩니다.” 마이크로소프트(Microsoft)의 수석 위협 분석가인 에미엘 해게베어트(Emiel Haeghebaert)의 설명이다. “그런 후 상품권 한 장이 아니라 수백 장을 훔쳐내는 것이죠.”

하지만 이게 말처럼 간단한 일이 아니다. 최근 기업들은 셰어포인트(SharePoint)나 VPN 장비들을 동원해 상품권과 관련된 중요 정보들을 처리하고, 이런 클라우드 및 원격 접근 기술들을 통해 상품권 활용에 필요한 인프라를 구성합니다. 그렇기 때문에 스톰0539는 이러한 공격을 진행하는 과정 중에 반드시 기업의 VPN이나 클라우드 자원에도 접근했을 것이 분명하고, 그런 자원과 인프라를 이해하기 위해 상당한 조사를 진행했을 것으로 추정됩니다.”

그렇다는 건 스톰0539가 보유하고 있는 클라우드 및 VPN 이해도가 일반 범죄 단체의 그것과 비교하기에 어려울 정도로 수준이 높다는 뜻이 된다. 해게베어트는 “APT 조직의 그것과 비교할 수 있을 정도”로 높게 보고 있다. “그 정도로 높은 이해도를 가지고 있으니 상품권 사용자가 아니라 발행 기업을 노릴 생각을 한 것이기도 하겠죠. 인프라에 대한 기본적인 지식이 이들을 대범하게 만든 겁니다.”

스톰0593과 맞서기
스톰0593은 이전부터 잘 알려져 왔던 공격 단체다. 그 동안 이들이 보여왔던 특징 중 하나는 연휴 전후로 공격 수위를 높인다는 것이다. 이번에도 메모리얼데이(Memorial Day)를 노리고 상품권 인프라를 노린 것으로 추정된다. MS는 “이들의 상품권 사기 시도는 계속해서 이어질 것”이라며 “상품권을 발행하는 기업이라면 다중인증 기능을 활성화하고, 비밀번호 재설정을 전사적으로 실시하는 게 좋다”고 권고한다. “그 외 각종 사기 예방 수단들을 작동시키는 것도 권장합니다. 직원 교육은 물론이고요.”

3줄 요약
1. 악명 높은 해킹 단체 스톰0539, 새로운 상품권 사기 공격 진행.
2. 상품권을 사용하는 개인을 노리는 게 아니라 상품권을 발행하는 도소매 업체를 노림.
3. 클라우드와 VPN 인프라에 대한 이해도가 높은 자들이라 할 수 있는 공격.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)