Home > 전체기사
러시아의 해커들, BEC 공격의 격을 높이는 중
  |  입력 : 2020-07-08 16:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
멀웨어 동반한 고급 해킹 공격 하던 자들, 갑자기 BEC 공격 시작해
BEC 공격은 원래 수익성 좋은 사이버 공격 유형...누가 해도 이상하지 않아


[보안뉴스 문가용 기자] 러시아의 사이버 범죄 단체인 코스믹 링스(Cosmic Lynx)가 BEC 공격을 진행하고 있다는 소식이다. 2019년 7월부터 46개국의 개인들을 겨냥해 200건이 넘는 가짜 메일을 전송했다. 원래 BEC 공격자들은 속기 쉬운 자들을 골라 공격하는 편인데, 코스믹 링스는 대형 다국적 기업들만을 노린다. 포춘 500대 기업들 중 상당 수가 피해를 입었다고 한다.

[이미지 = utoimage]


보안이 철저한 다국적 기업들을 주로 노린다는 건, 코스믹 링스가 실행하는 BEC 공격이 대단히 정교하다는 것이다. 실제 많은 보안 전문가들이 BEC 공격 감별법으로 ‘이메일의 문법과 철자 오류를 찾으라’고 권장한다. 하지만 코스믹 링스의 메일에는 그러한 오류가 거의 없다고 한다. 특히 영어로 쓴 이메일의 경우는 어휘와 철자, 문법이 완벽할 정도이며, 다만 불어로 쓴 이메일에만 작은 오류들이 발견된다.

이들의 공격을 분석한 보안 업체 애거리(Agari)의 전문가들에 의하면 단순히 오류 없는 영어만을 구사하는 것도 아니다. 글 자체가 대단히 전문적으로, 깔끔하게 쓰여 있다고 한다. 영어 번역을 전문으로 하는 사람을 고용했을 가능성이 높다고 애거리는 보고 있다. 수석 연구 책임자인 크레인 해솔드(Crane Hassold)는 “코스믹 링스의 BEC 공격은 일반 BEC 공격과는 그 수준과 차원이 다르다”고 말하며 “이렇게까지 고급스러운 공격은 보지 못했다”고 말한다.

코스믹 링스가 주로 사용하는 방법은 ‘2중 사칭 작전(dual impersonation scheme)’이라고 애거리는 설명한다. 공격의 한 사례를 보면 다음과 같다.
1) 한 회사를 표적으로 정한다. 이 회사는 확장을 위해 한 아시아 회사를 인수하고 있는 상태며, 계약이 거의 마무리 단계에 와 있다.
2) 공격자들은 이 회사의 CEO인 것처럼 위장해 직원 한 명에게 함께 일 할 외부 법률 고문을 소개한다. 이 고문은 계약금 지불에 관한 모든 문제를 담당한다. 물론 이 고문도 가짜다.
3) M&A란 게 워낙 민감한 사안이므로 이 가짜 CEO는 자세한 얘기를 다른 데 가서 하지 말라고 당부한다.
4) 직원은 계속해서 이 ‘외부 고문’과 비밀리에 일을 진행한다.

여기서 주요 표적이 되는 ‘직원’이란, 굉장히 높은 직위를 가진 사람들이 많았다. 28%는 상무이사, 24%는 부회장, 23%는 총지배인이었다. 공격자들은 전 세계적인 대기업을 주로 노리기 때문에 같은 사람이 두 번 공격에 당하는 일은 거의 없었다고 한다. “다만 코스믹 링스는 같은 직위를 가진 사람들을 동시에 공격하기도 했습니다. 대기업이다 보니 해외에 지사가 많고, 따라서 지사마다 부회장들이 있을 경우 한 회사의 여러 부회장들이 공격을 받는 식이었죠.”

위의 4)번까지 일이 진행된 상태라면 이제 가짜 외부 법률 고문으로 위장해 본격적인 작업을 시작해야 한다. 공격자들은 진짜 존재하는 변호사들과 로펌을 사칭한다. 심지어 해당 로펌과 거의 비슷한 웹사이트도 따로 만들어 속인다. 도메인 이름도 진짜와 유사하고, 따라서 연락을 주고 받는 메일 주소도 비슷하다. 이메일 서명란에 사진과 경력도 상세하게 적어 더 그럴듯해 보인다.

일반적으로 BEC 공격자들은 무료 이메일 도메인을 공격에 활용한다. 하지만 코스믹 링스는 디마키(DMARC) 제어 장치를 익스플로잇 해서 실제 CEO와 변호사들의 이메일 주소를 스푸핑한다. 피해자가 이 이메일로 답장을 보낼 경우 실제 CEO나 변호사에게 메일이 가지 않도록 메일 옵션과 정책도 바꾼다. “결국 이 말은 표적이 되는 기업의 내부를 철저하게 조사해 IT 인프라를 꼼꼼하게 파악했다는 뜻입니다.”

이렇게 철저하게 조사하고, 정교하도록 고급스러운 가짜 이메일을 생성하는 대신, 이 공격자들이 가져가는 돈도 일반 BEC 공격과는 비교가 되지 않을 정도로 많다고 애거리는 설명한다. “주로 M&A 단계에서 흔히 나타나는 돈을 요구합니다. 수천만에서 수억 달러죠. 일반 BEC 공격에서 피해자들이 요구하는 돈은 평균 5만 5천 달러입니다.” 돈은 홍콩에 있는 계좌로 보내라고 이 가짜 변호사는 요구한다. 애거리는 “최근 국제적인 사이버 범죄단들이 홍콩의 계좌들을 자주 사용하고 있다”고 말한다.

러시아의 사이버 범죄자들은 주로 ‘해킹 기술’이라는 측면에서 고급스러움을 선보인다. 대부분 유행을 선도하는 멀웨어를 사용하거나, 그 멀웨어를 배포하기 위한 창의적인 전략들을 가지고 등장한다. 이런 러시아의 해커들이 사기 공격이나 다름이 없는 BEC에 본격적으로 뛰어든 건 흔히 볼 수 있는 일이 아니다.

애거리는 “아직 러시아 해커들이 왜 갑자기 BEC를 시작했는지 정확히 알 수 없다”고 말한다. “그러나 BEC 공격의 수익성이 워낙 좋은 것으로 알려져 있어서, 언젠가 다른 지역의 해커들도 시작할 거라고는 예상하고 있었습니다. 멀웨어를 개발하고, 피해자를 해킹하고, 해킹에 필요한 도구를 만들고, 그 외 자료들을 다크웹에서 거래하는 데 들어가는 비용이 공격자들 입장에서 만만치 않은데, BEC 공격은 그렇지 않거든요. 게다가 돈도 만만치 않게 들어오고요.”

그러면서 애거리는 “고급 해킹 기술력을 가진 자들이 마음먹고 BEC 공격을 할 때 얼마나 무서울 수 있는지가 이번 사건을 통해 드러났다”고 경고했다. “고기도 먹어 본 놈이 많이 먹는다고 하죠. 고급 해킹으로 연마된 이들이 소셜 엔지니어링과 BEC와 같은, 비교적 덜 기술적인 공격을 하기 시작하니까 격이 달라집니다. 이는 세계 여러 기업들에게 상당히 좋지 않은 소식입니다.”

3줄 요약
1. 러시아의 코스믹 링스, 돌연 고급 해킹 기술에서 고급 BEC 공격으로 전환.
2. 보통 BEC 공격들이 저지르는 문법과 철자 오류 전혀 없는 고급 이메일 사용.
3. 요구하는 돈도 일반 BEC 공격자들과 비교할 수 없을 정도로 많음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)