세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
나이지리아의 골드 갈레온 해킹 팀, 선박 회사만 노려
  |  입력 : 2018-04-25 09:58
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이메일 침해해 여러 정보 조합하고...스팸 메일 뿌려 멀웨어 심고
기본적인 사기 기술로 여러 기업에 수백만 달러 피해 입혀


[보안뉴스 문가용 기자] 현대의 사이버 보안에 있어 다단계 공격이란 지극히 당연한 일이 되었다. 즉 여러 기법이 한 캠페인에 뒤섞여든다는 것이다. 최근 선박 산업을 겨냥한 캠페인만 보더라도 사업 이메일 침해(BEC) 기법, 사업 이메일 스푸핑(BES) 사기, 온라인 송금 우회 공격, 스피어피싱, 물리적인 탈취가 고루 사용되는 것을 볼 수 있다.

[이미지 = iclickart]


보안 업체 시큐어웍스(Secureworks)의 대위협팀(Counter Threat Unit, CTU)은 최근 한 사이버 범죄 단체를 추적하고 있다. 이름을 골드 갈레온(Gold Galleon)이라고 붙였다. 골드 갈레온은 선박 산업 하나만 찍어 3백 9십만 달러의 탈취를 시도했다. 해커들 사이에서 딱 한 개의 산업만 겨냥한다는 건 매우 드문 일이다. 넓게 그물을 펼쳐야 성공 가능성이 높아지기 때문이다.

사실 시큐어웍스 대위협팀은 나이지리아의 해킹 그룹인 골드 스카이라인(Gold Skyline)을 뒤쫓고 있었다. 그러다가 맞닥트린 것이 골드 갈레온이다. 골드 스카이라인은 골드 갈레온에 비해 보다 전통적인 형태의 사이버 공격 단체로 나이지리아를 근거지로 삼고 있으며 BES 및 BEC 공격을 특기로 한다.

대위협팀의 분석가이면서 골드 갈레온 추적을 지휘한 제임스 벳케(James Bettke)에 의하면 “골드 갈레온은 추적이 매우 쉬운 팀”이라고 한다. 왜냐하면 “자기들이 사용하는 멀웨어에 거의 항상 스스로 감염되기 때문”이다. 이 때문에 이들의 행동 패턴 파악이 용이했다고 한다.

시큐어웍스 대위협팀이 이들을 골드 갈레온이라고 부르기 시작한 건, 이 일당이 일정하게 보여주는 행위들 때문이었다. “이들은 모든 비밀번호를 해양과 관련된 것들로 붙이고, 스스로들을 꾸준하게 해적 단체 혹은 해적 형제회 정도 되는 이름으로 지칭했어요. 이런 식의 단체 결성은 수년 전 나이지리아에서 시작된 바 있죠.” 사실 그래서 대위협팀 내부에서는 이들을 ‘해적들’이라고 부른다고 한다.

선박 산업은 BEC 및 BES 공격에 특히나 취약하다. 산업 특성상 사무실이 세계 곳곳에 퍼져 있고, 따라서 고객 관리나 관계 유지 활동이 반쯤은 지역별로 독자적으로 이뤄질 수밖에 없기 때문이다. 중앙 혹은 본사와의 관계가 조금은 느슨하다. 그렇기에 본사 높은 사람을 사칭해 돈을 송금하라는 사기성 연락에 당하는 것이다.

골드 갈레온의 공격 전략과 기술은 굉장히 새롭거나 고급적이지 않다. 다만 공격 표적을 잘 선정하고 노릴 뿐이다. 그들은 실제 공격 전에 회사 내 시스템에 침투해 연락처 관련 정보를 빼낸다. 그렇게 한 후 표적이 된 회사의 웹사이트를 면밀히 공부해 여러 가지 정보를 캔다. 이를 연락처 정보와 합쳐 사기에 사용한다.

즉 이메일로 매우 믿을만한 스피어피싱 공격을 시작하는 것이다. 이 때 프레데이터 페인(Predator Pain)이나 포니스틸러(PonyStealer), 에이전트 테슬라(Agent Tesla), 호크아이(Hawkeye) 등과 같은 멀웨어를 페이로드로서 함께 전송한다.

“골드 갈레온은 볼륨이 그리 높지 않은 스팸 공격을 하면서 멀웨어 로더를 뿌립니다. 그렇게 한 후 데이터에 접근 성공하면, 그 데이터를 검토해 선적 현황 및 운송 스케줄을 확인합니다. 특히 영수증 및 청구서 관련 날짜를 잘 봐두고, 실제 양식의 PDF 파일을 가로챕니다. 그 다음 받는 사람 주소를 살짝 바꿔서 다시 보내죠. 사실 간단한 사기입니다.”

선박 및 선적의 스케줄을 전부 알고 있기 때문에 이들이 보내는 가짜 청구서는 어지간해서 속을 수밖에 없다고 벳케는 설명한다. 게다가 진짜 양식을 훔쳐서 정보의 일부만 조작하는 것이기 때문에 굉장히 그럴 듯 하다.

“이들은 인박스들을 돌아다니며 기회가 될 때마다 보내는 사람과 받는 사람을 스푸핑 합니다. 이러한 능력과 정교함은 시간에 따라 진화하고 있고요. 심지어 자신들이 가로챈 레터헤드까지 사용해 완전히 가짜 - 그러나 진짜처럼 보이는 - 청구서를 만들어 보내기도 합니다. 그 외 서류 양식도 요즘은 만들어내기 시작했고요. 전부 송금을 비정상적으로 하도록 만들기 위해서죠. 이는 사이버 공격으로 보이기도 하지만 사람을 속이는 오래된 사기 수법이라고 볼 수도 있습니다.”

현재까지 골드 갈레온의 표적이 된 곳은 남아시아 부근을 중심으로 활동하는 선박 회사들이다. 이를 확실히 막을 방법은 직원 교육, 강력한 비밀번호 설정, 암호화, 이중인증 도입이라고 벳케는 권장한다. “그 외에 더 특별한 방법은 없습니다.”

골드 갈레온은 현재도 활발하게 활동 중에 있다. 또한 현재까지 수백만 달러에 이르는 피해를 선박 산업에 안겼다. “선박 산업 환경 자체가 변하지 않는 이상 이 공격은 앞으로도 더 활발히 발생할 겁니다. 선박 산업에 기본적인 보안 강화가 필요한 시점입니다. 그리고 이 ‘강화’란 위에서 말한 기본기 지키기 외에는 없습니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
내년 초 5G 상용화를 앞두고 통신사들의 경쟁이 더욱 치열해지고 있습니다. 다가오는 5G 시대, 무엇보다 보안성이 중요한데요. 5G 보안 강화를 위해 가장 잘 준비하고 있는 통신사는 어디라고 보시는지요?
SK텔레콤
KT
LG유플러스
잘 모르겠다
기타(댓글로)