Home > 전체기사
다크웹 안에서 새롭게 커지는 시장, ‘최초 접근 브로커’
  |  입력 : 2020-09-10 15:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
서비스형 랜섬웨어 늘어나면서 생긴 현상...최초 접근을 보다 용이하게 해줘
해킹 기술 부족한 사이버 범죄자들 많아지고 있는 듯...각종 로그인 시도 모니터링 해야


[보안뉴스 문가용 기자] 최근 다크웹에는 ‘최초 접근 브로커(initial access broker)’라는 부류들이 나타나기 시작했다. 이들이 판매하는 건 자신들이 침해하는 데 성공했던 기업들의 목록에 간략한 설명을 덧붙인 것이다. 랜섬웨어라는 도구를 손에 들고는 있는데, 그 다음부터 어떻게 해야 하는지 모르는 공격자들이 주요 고객이다.

[이미지 = utoimage]


이 최초 접근 브로커는 일종의 중개인으로, 공격자와 피해자를 이어주는 역할을 담당한다. ‘서비스형 랜섬웨어(RaaS)’가 다크웹에서 늘어나면서 랜섬웨어 공격 도구 자체가 보편화 되었고, 이에 따라 실제 공격의 시작을 하는 데에 어려움을 느끼는 자들이 나타나기 시작했다. 그러면서 이 중개 서비스의 인기가 자연스럽게 올라갔다. 보안 업체 디지털 셰도우즈(Digital Shadows)에 의하면 지난 6개월 동안 이 서비스의 인기가 급증했다고 한다.

이들의 역할은 중요하지만 간단하다. “RaaS를 구독하거나 구매한 고객들이 최초 감염을 성공적으로 할 수 있도록 ‘안내자’ 역할을 하는 것이죠.” 디지털 셰도우즈의 알렉 알바라도(Alec Alvarado)의 설명이다. “RaaS를 구독했다는 건, 랜섬웨어 개발자들과 일종의 계약을 맺었다는 뜻입니다. 즉 어느 정도 공격을 성공시켜서 수수료를 내야 한다는 것이죠. 이게 초보 범죄자들에게 상당한 압박이 됩니다. 그래서 공격 성공으로 안내해 줄 누군가를 찾게 되는 거고, 그 틈새에서 중개인들이 등장하게 된 겁니다.”

중개인들은 간단한 쇼단 및 매스스캔 검색을 통해 취약한 포트들을 찾아내고, 이 포트들과 연결된 조직들을 목록화시킨다. 취약점 스캔을 곁들이는 경우도 있다. “결국 중개인들이 찾아내는 ‘취약한 조직들’ 대부분 원격 데스크톱 프로토콜(RDP)을 공공 인터넷에 노출시킨 곳들이 됩니다. 시트릭스(Citrix) 게이트웨이들에 대한 접근 권한과 도메인 제어기 접근 권한도 인기가 꽤 높습니다.” 알바라도의 설명이다.

중개인들은 이런 식의 무차별적인 접근에 성공하고 나서는 네트워크를 조심스럽게 염탐한다. 그러고는 횡적으로 움직이거나 권한을 상승시키는 시도도 이뤄낸다. 목적은 하나, 데이터에 얼마나 접근할 수 있는가,를 판별하기 위함이다. 여기까지 작업이 이뤄지면, 해당 건에 대한 자료를 취합해 목록에 기입한다. 그래서 RaaS 고객들이 알아보기 쉽게 만든다. 그리고 침투 성공한 조직과 데이터의 가치 등을 바탕으로 가격을 정한다.

최근 다크웹에 개설된 포럼들에서 이러한 ‘목록 상품’을 찾는 건 일도 아니라고 한다. “심지어 이런 중개자들만을 위한 전용 항목이 개설된 곳들도 많습니다. 현재 시세가 딱히 정해져 있는 건 아니고, 대략 500~1만 달러 선에서 거래가 이뤄집니다. 침투한 조직이 어떤 곳이며, 얼마나 깊게 침투할 수 있도록 사전 작업이 되어 있느냐 등으로 가격이 결정됩니다. 중요 조직일수록, 깊이 침투할 수 있을수록 가격은 높아지죠.”

또한 접근 방법이 상세하게 안내되어 있고, 요구되는 기술의 수준이 낮을수록 가격이 높아지기도 한다. “결국 공격을 편하게 해주면 해줄수록 이 중개인들의 상품 가치가 높아지는 겁니다. 그만큼 공격자들도 편안한 것에 길들여져 있고, 특별한 IT 기술이 없어도 사이버 범죄에 참여할 수 있다는 뜻이 됩니다.”

더 큰 문제는 이 ‘중개인’들이 랜섬웨어 외에 다른 종류의 사이버 공격에도 활용될 수 있다는 것이다. “누군가는 이들을 통해 경쟁사의 네트워크에 몰래 침투할 수도 있을 것이고, 누군가는 중요 정보를 몰래 빼돌릴 수도 있을 것입니다. 중개인들의 활용 가능성은 무궁무진합니다. 그래서 RaaS로 시작했다고는 하지만 중개인의 존재가 신경 쓰일 수밖에 없는 것입니다.”

중개인으로서 가장 중요한 건 자신들이 작성한 목록의 가치를 확실하게 노출시키는 것이다. 접근할 수 있는 조직의 수를 엄청나게 늘릴 수도 있고, 조직 하나하나의 가치나 접근의 용이성을 하나하나 강조할 수도 있다. 이 정도 가격에 아깝지 않은 거래라고 RaaS 이용자들을 설득해야 한다는 것이다. 아직 이 부분에서는 중개인들마다 서로 다른 모습을 보이고 있고, ‘장사의 수준’도 천차만별이다.

알바도르는 “특히 RDP 서버들을 겨냥한 브루트포스 공격, 과도한 로그인 시도, 권한 상승 시도, 횡적 움직임 시도 등이 있다면 중개인을 의심하라”고 권고한다. “아무런 피해가 없을 수 있습니다. 하지만 곧 랜섬웨어가 들이닥칠 수 있다는 뜻이 되므로 반드시 방어책을 수립하고 도입해야 할 것입니다.”

3줄 요약
1. RaaS 시장이 다크웹에서 커지면서 초보 공격자들이 늘어남.
2. 도구를 손에 든 초보자들이지만, 실제 공격을 실시하는 것에 어려움 느낌.
3. 그런 자들을 위해 접근 권한을 판매하는 일종의 중개인들 시장이 커지고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상