페이스북 플랫폼에서 벌어진 트리폴리 작전, 멀웨어 퍼트려

리비아의 하프타 장군이 개설한 것처럼 위장된 페이지, 팔로워가 1만 명 넘어
페이지에 안내된 링크...클릭하면 각종 정찰 도구 다운로드 돼
이제 소셜 미디어도 이메일과 같아...주요한 피싱 공격의 통로로서 인식해야

[보안뉴스 문가용 기자] 소셜 미디어 플랫폼들이 멀웨어 배포처로 활용되는 사례가 많아지고 있다. 사이버 범죄자들은 점점 더 대담하게 소셜 네트워크 사용자들 사이에 형성된 신뢰 관계를 악용하고 있기 때문이다. 가장 최근에는 ‘트리폴리 작전(Operation Tripoli)’이라는 것이 페이스북 환경에서 실행되기도 했다. 리비아의 페이스북 사용자들을 노린 캠페인이었지만, 여러 나라에서 피해자가 속출했다고 한다.

[이미지 = iclickart]

트리폴리 작전에 대해 처음 공개한 것은 보안 업체 체크포인트(Check Point)이다. 페이스북에 리비아 군의 장군인 칼리파 하프타(Khalifa Haftar)가 운영하는 것으로 보이는 가짜 페이지가 등장했고, 이를 수사하면서 공격의 정황을 알게 되었다고 한다. 이 페북 페이지는 지난 4월에 개설되었고, 공중 폭격, 테러리스트 근황 등 리비아의 시민들이 궁금해 할 만한 게시글로 가득했다.

해당 페이지를 팔로우하는 사람은 1만 1천명이 넘었다. 문제는 특정 파일들을 다운로드 받게 해주는 URL 링크가 이 페이지에 있다는 것이다. 카타르나 터키와 같은 근처 국가들이 리비아를 공격하려는 음모를 가지고 있다는 증거 자료라거나, 포로가 된 파일럿의 처형 사진이라는 식으로 사람들이 링크를 누르도록 유도하는 설명글이 달려 있다. 심지어 군에 지원하고 싶은 사람은 누르라는 링크도 있었다.

페이스북을 통해 해당 페이지에 접속한 사람들이 이 링크들을 누르게 되면 각종 원격 관리 툴들이 다운로드 된다. PC든 모바일이든 마찬가지다. 이 관리 툴들의 기능은 정찰하고 훔치는 것이라고 체크포인트는 설명한다. “가짜 하프타 장군 페이지를 개설하고 운영하는 인물은, 이전에도 다른 페이스북 페이지들을 만들어 악성 파일을 퍼트린 전적을 가지고 있습니다. 2014년부터 이러한 활동을 시작해 30회 이상 적발됐습니다. 한 페이지의 경우 14만명 이상이 팔로우 하기도 했습니다.”

이 30개의 페이지들 전부 리비아와 관련이 있다고 체크포인트는 설명한다. 전부 다 공격자가 스스로 개설한 건 아니다. 일부 진짜로 운영되던 페이지가 시간이 지나면서 운영자에게 잊히고 버려진 것을 공격자가 가로챈 것도 있다고 한다. 이 페이지들과 연결된 멀웨어들의 경우 대체로 드롭박스, 구글 드라이브, 박스 등 유명 파일 공유 서비스들에 호스팅 되어 있었다. 이번에 발각된 트리폴리 작전의 경우, 일부 멀웨어가 유명 업체의 웹사이트에 호스팅 되어 있기도 했다. 리비아, 러시아, 이스라엘의 유명 기업들이 이 수법에 악용되고 있었다고 한다.

체크포인트에 의하면 이번 트리폴리 작전은 페이스북 환경에서 발견된 멀웨어 배포 캠페인 중 가장 규모가 크다고 해도 과언이 아닐 정도라고 한다. “약 5만 명의 페이스북 사용자들이 이 페이지에 있는 링크들을 누른 것 같습니다. 그러나 실제 감염자 수를 파악하는 건 지금 시점에서 불가능합니다. 페이스북 측은 트리폴리 작전이 알려지고 나서 페이지를 삭제했고, 이 페이지와 관련된 모든 흔적들 역시 지웠습니다.”

체크포인트의 제품 책임자인 로템 핀켈스타인(Lotem Fineklstein)은 “공격자의 가장 큰 목적은 민감한 정보와 개인정보를 훔치는 것으로 보인다”고 말한다. “그러나 단순 정보 탈취만이 목적인 것은 아닐 겁니다. 왜냐하면 정치적 사안들을 지속적으로, 강력하게 사용해오고 있거든요. 분명히 정치적인 목적성을 가지고 있다고 보입니다. 리비아와 관련한 정치적 동기가 분명한 자의 소행입니다. 애초에 정치인이나 관련 조직들을 노린 공격이라고 해석할 여지도 있고요.”

그러면서 핀켈스타인은 “결국 이번 사건을 통해 알 수 있는 건, 피싱과 멀웨어 공격이 이메일로부터 시작하는 것만은 아니라는 것”이라고 지적한다. “소셜 미디어도 멀웨어가 퍼지는 플랫폼이 될 수 있습니다. 피싱 시도는 이미 만연한 상태이고요. 피싱 이메일 조심하라는 교육을 해왔듯, 소셜 미디어를 사용할 때도 피싱을 조심하라는 교육을 해야 합니다.”

올해 보안 업체 브로미움(Bromium)에서 발표한 보고서에 의하면 소셜 네트워크가 기업 환경에도 큰 위협이 되고 있다고 한다. 조직들의 약 20%가 소셜 미디어로부터 멀웨어를 전달 받아 고생한 적이 있다고 하며, 12%는 이런 멀웨어 공격 때문에 침해 사고를 겪기도 했다고 증언했었다. 심지어 소셜 미디어 플랫폼을 통해 암호화폐 채굴 코드가 퍼지는 사례도 많아지고 있다고 브로미움은 경고했었다.

소셜 미디어 보안 전문 업체인 세이프가드 사이버(SafeGuard Cyber)의 CEO 짐 주폴레티(Jim Zuffoletti)는 “소셜 미디어는 기업들에 있어 이미 실질적인 위협”이라고 주장한다. “소셜 미디어로부터 들어오는 악성 콘텐츠를 탐지하는 건 꽤나 어려운 일입니다. 결국 보안 담당자는 기업의 일반 네트워크는 물론, 사용자 각자가 사용하는 소셜 네트워크까지도 살펴야 하는데, 이는 결코 쉽지 않습니다. 그렇기 때문에 공격자들이 요즘 더 소셜 미디어를 공격에 활용하는 것이고요.”

3줄 요약
1. 페이스북 플랫폼 내에서 벌어진 ‘트리폴리 작전’, 리비아 사용자 노리며 멀웨어 퍼트림.
2. 페이스북이 부랴부랴 페이지를 삭제하긴 했으나, 이미 수많은 사람들에게 공격 들어간 상태.
3. 이메일로부터 들어오는 피싱 공격 조심해야 하듯, 이제는 소셜 미디어도 경계해야 할 때.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)