Home > 전체기사
다크웹 암시장에서 요즘 가장 핫한 아이템은 TLS 인증서
  |  입력 : 2019-03-07 12:31
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
처음에는 TLS 인증서 하나하나만 팔다가, 나중엔 패키지 상품으로
가짜로 신청 문서 만들어 실제 인증기관에서 인증서 발급받기도


[보안뉴스 문가용 기자] 다크웹에 TLS 인증서를 거래하는 시장이 확산되고 있다. 시장이 성장하면서 TLS 인증서만 하나하나 따로 팔던 방식이, 다른 멀웨어 및 지원 서비스가 패키지로 제공되는 형태로 변하고 있다. 즉, 더 위험한 물건들이 물밑에서 거래되고 있다는 것이다.

[이미지 = iclickart]


이런 현상에 대해 보안 업체 베나피(Venafi)와 서리대학교, 조지아주립대학의 연구원들이 공동으로 조사해 발표했다. 이들은 토르 네트워크에서 가장 무섭게 성장 중에 있으며 널리 알려진 드림 마켓(Dream Market), 월스트리트 마켓(Wall Street Market), 블록부스(BlockBooth), 나이트메어 마켓(Nightmare Market), 갤럭시3(Galaxy3)를 집중적으로 파헤쳤다. 그 결과 웹사이트 스푸핑이나 암호화된 트래픽 도청을 원하는 사람들에게 중간자 공격을 할 수 있게 해주는 툴이 키트 형식으로 거래되고 있다는 걸 알 수 있었다.

먼저 다른 툴들은 둘째 치고 정상적인 TLS 인증서들을 공격자들이 확보하게 된다면, 그것만으로도 사용자들이 속기 쉬운 피싱 및 악성 사이트를 만드는 게 쉬워진다. 사용자들만이 아니라 보안 검사에도 걸리지 않는다. 악성인데 안전한 곳처럼 보이는 장소를 사이버 공간에 세울 수 있다는 것이다.

그런데 이런 TLS가 다른 위험한 툴들과 패키지로 판매된다는 것이 이번 연구 결과이다. “구글로 검색이 되는 오래된 도메인들, AS 서비스, 웹 디자인 서비스 등도 TLS 인증서와 같이 제공하는 상품이 많았습니다. 심지어 스트라이프(Stripe), 페이팔(PayPal), 스퀘어(Square)와 같은 여러 지불 프로세서와의 통합을 해준다는 상품도 있었습니다. 월스트리트 마켓에 있던 한 판매자는 TLS 인증서를 구매하는 사람들에게 진짜와 똑같은 전자상거래 스토어 디자인도 제공한다고 홍보하고 있더군요.”

심지어 유명 인증기관에서 인증서를 직접 발급받아준다는 약속을 하는 사람도 있었다. “블록부스라는 곳에서 활동하던 자였는데, 신청서와 각종 공인 문서를 조작해 제출함으로써 정상 TLS 인증서를 발급받을 수 있다고 하더군요. 회사의 물리적 위치에 따라 생성되는 9자리 고유 식별 번호까지도요.” 이 상품은 건당 2000달러에 거래되고 있었다고 한다.

또 다른 판매자는 ‘완전 지원’을 약속하고 있기도 했다. 150달러에 회사 이름과 소유주 이름, 물리 주소를 제공하면 이 판매자가 가짜 법인을 세우고 법적 근거가 되는 문서들도 전부 제공하는 서비스다. 만약 적절한 주소가 없다면, 100달러를 추가로 내 판매자에게 의뢰할 수 있기도 하다.

보고서를 작성한 전문가들은 “TLS 인증서라는 상품이 암시장에서 여러 가지 변화를 거치며 다양한 상품으로 재생산되는 현상이 흥미로웠다”고 한다. “TLS만 파는 게 아니라, 그걸 활용할 수 있게 해주는 웹 디자인을 같이 판다든지, 도메인을 제시한다든지 하는 식으로 말이죠.” 이번 연구에 참여한 데이비드 마이몬(David Maimon) 교수는 “심지어 이런 서비스를 접하는 게 그리 어렵지 않았고 가격도 그리 높은 편이 아니었다는 게 놀라웠다”고 덧붙였다.

위 다섯 개 시장에서 SSL과 TLS 인증서 관련 상품들이 지속적으로 거래되고 있었는데, 가격은 260 달러에서 1600 달러 사이였다. 자주 검색이 되는 단어들을 조사했더니 SSL 및 TLS가 3018건, 랜섬웨어가 531건, 제로데이가 161건인 것으로 나타났다. 다섯 개 시장 중 드림 마켓은 TLS에 보다 특화되어 있다는 특징을 가지고 있었다. 랜섬웨어와 패키징 된 TLS 상품도 점점 많아지는 추세인 것도 주목할 만한 현상이었다.

베나피의 부사장인 케빈 보섹(Kevin Bocek)은 “TLS 인증서가 범죄자들 사이에서 인기가 높아지고 있다는 것을 뚜렷하게 증명하는 연구 결과”라고 정리한다. “TLS는 현재 인터넷 시스템 내에서 기기의 신분을 인증해주는 수단입니다. 그 자체로 하나의 ‘신뢰’ 요소이기 때문에, 범죄자들이 가져가게 되면 큰 이익을 볼 수 있는 것이죠. 아직 인증서를 활용한 공격에 대해 연구되어야 할 것이 많이 남아있지만, 현재로서는 우리가 신뢰하는 인증서가 점점 더 많이 악용되고 있다는 것을 기억해야 할 것입니다.”

3줄 요약
1. 인터넷이란 구조에서 ‘신뢰’를 담당하는 TLS, 범죄자들에게도 인기 만점.
2. 다크웹 암시장에서 거래되는 횟수 늘어나고 방식도 다양해짐.
3. “양질의 서비스가 저렴하게 제공되고 있는 것”이 현재 암시장의 상태.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)