Home > 전체기사
이스라엘과 중국을 이어준 중간자 공격, 1백만 달러 사라져
  |  입력 : 2019-12-09 15:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이스라엘 스타트업에 투자하려는 중국 회사…두 조직의 메일 쓰레드 발견한 공격자
중간에서 비슷한 도메인 만들고 메일 통신을 가로채…회담 일정을 알고 취소시키기까지


[보안뉴스 문가용 기자] 누구도 범접할 기술력을 선보이며 피해자들의 시스템과 네트워크를 농락하는 멀웨어나 해킹 단체들이 있는가 하면, 평범한 기술과 실력으로 비슷한 일을 해내는 것들도 있다. 최근 중국의 벤처 캐피탈 회사와 이스라엘의 스타트업이 겪은 사례가 후자에 해당한다. 최신이라고 할 것도 없는 사기 전략을 가진 한 공격자가 이들로부터 1백만 달러의 현금을 유유히 탈취한 사건이다.

[이미지 = iclickart]


이 사건을 조사하고 있는 보안 업체 체크포인트(Check Point Software)에 따르면 공격자들은 제일 먼저 이스라엘 스타트업의 이메일 서버를 침해하는 것부터 공격을 시작했다고 한다. 문제의 거래가 있기 수개월 전, 공격자들은 이메일 쓰레드를 하나 발견했다. 수백만 달러의 시딩 펀드가 중국 밴처 캐피탈 회사로부터 입금될 예정이라는 내용이었다.

이들은 이 메일 쓰레드를 계속해서 지켜보면서 자신들에게 전달되도록 할 수 있었지만 그렇게 하지 않았다. 다만 두 개의 도메인을 새롭게 등록했다. 하나는 이스라엘 회사의 도메인과 매우 비슷하게 생긴 것이었고, 나머지 하나는 중국의 회사와 닮은 것이었다. 둘 다 원래 도메인 이름에 s라는 글자 하나를 덧붙인 것이 전부였다.

그 다음 공격자들은 원래 이메일 쓰레드와 똑 같은 제목을 사용해 이메일을 만들어 보냈다. 양사에 각각 하나씩, 총 두 통이었다. 시드 펀딩에 대한 이야기를 내용에 적었다. 중국에 메일을 보낼 때는 이스라엘 스타트업의 CEO인 것처럼 주소를 꾸몄다. 위에 등록한 가짜 도메인이 이 때 사용됐다. 이스라엘 쪽에 메일을 보낼 때는 중국의 회계 담당자인 것처럼 꾸몄다.

체크포인트는 “공격자들은 궁극의 중간자 공격을 실시한 것”이라고 설명한다. “두 회사 사이를 오가는 메일은 사실 전부 공격자들에게 들어갔습니다. 공격자들은 제일 먼저 메일을 받아 검토한 후 상황에 따라 메일 내용이나 주소 등을 변경해가며 두 회사를 속였다.

이런 식으로 공격자들이 이스라엘 측에 보낸 메일은 총 14통이었고, 중국 회사 측에 보낸 건 18 통이었다. 32통의 메일을 주고받는 가운데 공격자들은 중국 회사 담당자를 속여 송금 계좌번호를 바꾸는 것까지 성공했다. 따라서 송금이 약속된 날짜만을 기다리면 되었고, 실제 중국 회사는 공격자들이 지정한 계좌로 투자금을 보냈다.

체크포인트에 의하면 공격자들은 “두 회사 수장들이 싱가포르에서 만남을 갖기로 했었는데, 이것마저 취소시키는 대담함을 보였다”고 설명한다. 두 회사로 회의에 참석하지 못할 사정을 따로따로 보낸 것이다. 공격자들이 바꿔버린 계좌번호가 확인될 가능성을 최대한 낮추기 위해 이처럼 일을 꾸민 것으로 예상된다.

“거래의 양쪽을 전부, 장기간 속이는 데 성공했다는 측면에서 굉장히 독특한 작전이었습니다. 게다가 물리적인 만남도 방해함으로써 공격 성공 가능성을 극한으로 끌어올리기도 했죠.” 체크포인트의 사건 대응 작전 팀장인 팀 오티스(Tim Otis)의 설명이다. “그래서 모든 기업들은 비슷한 도메인을 주기적으로 검색해보는 활동을 해야 합니다. 또한 이따금씩 실제 통화로 거래를 진행하는 것도 필수적입니다.”

유사 도메인의 사용은 현재 온라인 사기꾼들 사이에서 꽤나 인기가 높다. 공격자들은 주로 유명 브랜드의 도메인과 거의 똑같이 생긴 도메인을 등록한 후, 해당 브랜드에 대한 소비자들의 높은 신뢰도를 활용해 각종 사기술을 펼친다. 주로 비밀번호, 카드 정보, 민감 정보, 개인정보 등이 표적이 된다. 연말연시에 특히 기승을 부리는 전략이라고 볼 수 있다.

보안 업체 베나피(Venafi)는 최근 이러한 도메인들을 조사해 10만 개가 넘게 발견한 바 있다. 미국, 영국, 프랑스, 독일, 호주에서 유명한 온라인 상거래 사이트들을 흉내 낸 도메인들이었다.

3줄 요약
1. 대범한 사기꾼들, 궁극의 중간자 공격으로 백만 달러 가로챔.
2. 투자 회사와 투자 받는 회사 사이에서 이메일들을 조작함.
3. 심지어 싱가포르에서의 회의 일정까지 취소시키기까지 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)