세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
페이스북·인스타그램 등 SNS 위력 활용해 사이버 공격
  |  입력 : 2017-09-01 16:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사이버 공격자, 인스타그램에선 유명인 크리덴셜 빼돌리고
페이스북 메신저로는 멀웨어 퍼뜨리고 악성 크롬 익스텐션 설치


[보안뉴스 오다인 기자] 보안 업체 카스퍼스키 랩은 최근 인스타그램에서 크리덴셜을 훔치고 페이스북 메신저를 통해 멀웨어를 퍼뜨리는 사이버 공격을 발견했다. 두 사건은 모두 공격자가 소셜 네트워크의 힘을 이용하려고 할 때 어떤 잠재적인 위험이 있는지 보여준다.

[이미지=iclickart]


두 공격은 소셜 네트워크를 사용한다는 점이 비슷하지만 본질적으로는 다르다. 인스타그램 사건에서 공격자는 유명 인사를 골라서 직접 공격했다. 페이스북 공격자는 불특정 다수의 사용자를 감염시키려고 자동화한 기술을 사용했다.

인스타그램 취약점은 2016년 출시된 모바일 버전 8.5.1에서 발견됐다. 공격자는 1) ‘비밀번호 재설정’을 선택하고 2) 웹 프록시에 있는 비밀번호 재설정 요청을 캡처한 뒤 3) 공격할 사람을 선택, 4)그 사람의 고유 식별자 또는 사용자명을 가지고 인스타그램 서버에 미리 캡처해둔 요청을 보낸다. 서버는 그 사람의 이메일과 전화번호 등 개인 정보가 담긴 JSON 응답을 공격자에게 돌려보내고, 공격자는 원하는 정보를 취득할 수 있게 된다.

카스퍼스키 랩은 “인스타그램 공격은 꽤나 노동 집약적”이라고 설명했다. 카스퍼스키 랩에 따르면 “인스타그램은 공격자가 요청을 자동화하지 못하도록 수학 계산식을 사용하기 때문에 인스타그램 공격자들은 개개인을 일일이 수동으로 공격해야 했다.”

하지만 공격의 난이도는 해커들에게 아무런 장애가 되지 않는다. 카스퍼스키는 암시장에 인스타그램 크리덴셜이 거래되는 사실을 발견했다. 그래서 8월 29일 인스타그램에 버그를 제보했다. 인스타그램은 8월 30일 사용자에게 취약점에 대해 공지하면서 패치를 발행했다. 인스타그램은 애플리케이션을 최신 버전으로 업데이트하고 비밀번호 복구와 관련해 인스타그램에 이메일로 알리라고 권고했다.

페이스북 메신저에는 어떤 일이 일어났을까? 카스퍼스키 랩의 수석 보안 연구원 데이비드 제이코비(David Jacoby)는 잘 모르는 사람으로부터 의심스런 메시지를 받은 뒤 페이스북 메신저가 멀웨어를 퍼뜨리고 있다는 사실을 발견했다. 또한 제이코비는 이 멀웨어가 추적을 막기 위해 여러 개의 도메인을 사용하는 다중 플랫폼 멀웨어라는 사실도 파악했다.

감염된 메시지에는 단축 링크가 포함돼 있었다. 이 링크를 따라가면 메시지 발송자의 프로필 사진과 함께 가짜 비디오 플레이어 이미지가 구글 독스(Google Doc)에 나타났다. 이 링크를 클릭한 구글 크롬 사용자는 가짜 유투브 페이지로 리디렉션 됐고, 그 페이지에서 가짜 크롬 확장 프로그램을 다운로드 받게 됐다. 설치가 끝나면 피해자의 온라인 친구들에게 악성 링크가 다시 퍼졌다.

보안 업체 디텍티파이(Detectify)의 보안 고문 프란스 로젠(Frans Rosen)은 제이코비와 함께 페이스북 멀웨어를 조사했고, 두 사람은 크롬 브라우저에 주목하게 됐다. 그리고 공격자가 공격을 확산하기 위해 의도적으로 크롬을 사용한다는 사실이 분명하다고 결론 내렸다. 다른 브라우저에선 광고가 화면에 곧바로 노출되고, 애드웨어가 다운로드 되는 데서 그쳤다.

제이코비와 로젠은 이번 공격에 사용된 크롬 확장 프로그램 몇 가지를 찾아냈다. 이들 프로그램은 모두 훔쳐낸 코드로 새롭게 제작한 것이었으며 정상적인 확장 프로그램과 비슷한 이름들을 갖고 있었다. 이러한 확장 프로그램들은 난독화된 백그라운드 스크립트를 갖고 있었다. 이 백그라운드 스크립트는 확장 프로그램이 크롬 웹스토어(Chrome Webstore)에서 곧바로 설치될 경우에만 발동돼 외부 URL을 불러오지만, 설치파일을 따로 다운로드받아 로컬에서 설치가 진행될 경우 아예 공격을 실행하지 않는다.

“또 이 백그라운드 스크립트 내에는 페이스북 페이지 하나가 하드코딩으로 숨겨져 있습니다. 스크립트가 실행될 때마다 이 페이스북 페이지의 좋아요 수가 올라가는데요, 아마도 공격자들이 감염 성공률을 실시간으로 파악하기 위해 심어놓은 기능 같습니다.” 두 사람이 관찰한 결과, ‘좋아요’ 수는 몇 시간 만에 8,900개에서 32,000개까지 빠르게 치솟았다.

구글 크롬의 보안 팀은 공격 확산을 저지하기 위해 악성 확장 프로그램 전량을 비활성화 했다. 그러나 공격자가 피해자 계정에서 접근 토큰 전량을 이미 빼돌린 뒤였다. 즉, 피해자가 비밀번호를 바꾸고, 로그아웃하고, 플랫폼 설정을 비활성화 해놓더라도 공격자가 피해자 프로파일에 여전히 접근할 수 있다는 뜻이다.

제이코비와 로젠은 “현재 페이스북 측과 이 문제를 논의하고 있다”고 밝히면서도 “지금으로선 공격자가 빼돌린 토큰을 어떻게 없앨지 알 수 없다”고 말했다.

페이스북 공격은 실질적인 사회 교류, 사용자가 실시간으로 올리는 콘텐츠, 합법적인 도메인을 이용해 멀웨어를 퍼뜨렸다. 카스퍼스키 랩은 크롬 확장 프로그램이 브라우저를 제어하도록 승인할 때 주의하라고 경고했으며 어떤 확장 프로그램을 브라우저에서 실행하고 있는지도 파악해야 한다고 조언했다.

참고로, 활성화된 확장 프로그램을 확인하려면 크롬 URL 영역에서 ‘chrome://extensions/’를 입력하면 된다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



정부에서 가상화폐의 거래 투명성을 확보하기 위한 가상화폐 거래소 규제 방안을 마련했습니다. 정부의 가상화폐 정책에 있어 가장 중요한 원칙은 무엇이라고 보시나요?
모든 가상화폐는 시장 원리에 따라 정부의 개입이나 규제는 최소화되어야 함.
모든 가상화폐는 통화로 인정할 수 없다는 것을 전제로 보다 적극적인 규제에 나서야 함.
가상화폐 중 암호화폐의 경우 정식 통화로 인정하고 이에 따른 대안을 마련해야 함.
가상화폐중 비트코인 등의 암호화폐와 그 외의 가상화폐를 분리 대응해야 함.
기타(댓글로)