다크웹 안에서 새롭게 커지는 시장, ‘최초 접근 브로커’

서비스형 랜섬웨어 늘어나면서 생긴 현상...최초 접근을 보다 용이하게 해줘
해킹 기술 부족한 사이버 범죄자들 많아지고 있는 듯...각종 로그인 시도 모니터링 해야

[보안뉴스 문가용 기자] 최근 다크웹에는 ‘최초 접근 브로커(initial access broker)’라는 부류들이 나타나기 시작했다. 이들이 판매하는 건 자신들이 침해하는 데 성공했던 기업들의 목록에 간략한 설명을 덧붙인 것이다. 랜섬웨어라는 도구를 손에 들고는 있는데, 그 다음부터 어떻게 해야 하는지 모르는 공격자들이 주요 고객이다.

[이미지 = utoimage]

이 최초 접근 브로커는 일종의 중개인으로, 공격자와 피해자를 이어주는 역할을 담당한다. ‘서비스형 랜섬웨어(RaaS)’가 다크웹에서 늘어나면서 랜섬웨어 공격 도구 자체가 보편화 되었고, 이에 따라 실제 공격의 시작을 하는 데에 어려움을 느끼는 자들이 나타나기 시작했다. 그러면서 이 중개 서비스의 인기가 자연스럽게 올라갔다. 보안 업체 디지털 셰도우즈(Digital Shadows)에 의하면 지난 6개월 동안 이 서비스의 인기가 급증했다고 한다.

이들의 역할은 중요하지만 간단하다. “RaaS를 구독하거나 구매한 고객들이 최초 감염을 성공적으로 할 수 있도록 ‘안내자’ 역할을 하는 것이죠.” 디지털 셰도우즈의 알렉 알바라도(Alec Alvarado)의 설명이다. “RaaS를 구독했다는 건, 랜섬웨어 개발자들과 일종의 계약을 맺었다는 뜻입니다. 즉 어느 정도 공격을 성공시켜서 수수료를 내야 한다는 것이죠. 이게 초보 범죄자들에게 상당한 압박이 됩니다. 그래서 공격 성공으로 안내해 줄 누군가를 찾게 되는 거고, 그 틈새에서 중개인들이 등장하게 된 겁니다.”

중개인들은 간단한 쇼단 및 매스스캔 검색을 통해 취약한 포트들을 찾아내고, 이 포트들과 연결된 조직들을 목록화시킨다. 취약점 스캔을 곁들이는 경우도 있다. “결국 중개인들이 찾아내는 ‘취약한 조직들’ 대부분 원격 데스크톱 프로토콜(RDP)을 공공 인터넷에 노출시킨 곳들이 됩니다. 시트릭스(Citrix) 게이트웨이들에 대한 접근 권한과 도메인 제어기 접근 권한도 인기가 꽤 높습니다.” 알바라도의 설명이다.

중개인들은 이런 식의 무차별적인 접근에 성공하고 나서는 네트워크를 조심스럽게 염탐한다. 그러고는 횡적으로 움직이거나 권한을 상승시키는 시도도 이뤄낸다. 목적은 하나, 데이터에 얼마나 접근할 수 있는가,를 판별하기 위함이다. 여기까지 작업이 이뤄지면, 해당 건에 대한 자료를 취합해 목록에 기입한다. 그래서 RaaS 고객들이 알아보기 쉽게 만든다. 그리고 침투 성공한 조직과 데이터의 가치 등을 바탕으로 가격을 정한다.

최근 다크웹에 개설된 포럼들에서 이러한 ‘목록 상품’을 찾는 건 일도 아니라고 한다. “심지어 이런 중개자들만을 위한 전용 항목이 개설된 곳들도 많습니다. 현재 시세가 딱히 정해져 있는 건 아니고, 대략 500~1만 달러 선에서 거래가 이뤄집니다. 침투한 조직이 어떤 곳이며, 얼마나 깊게 침투할 수 있도록 사전 작업이 되어 있느냐 등으로 가격이 결정됩니다. 중요 조직일수록, 깊이 침투할 수 있을수록 가격은 높아지죠.”

또한 접근 방법이 상세하게 안내되어 있고, 요구되는 기술의 수준이 낮을수록 가격이 높아지기도 한다. “결국 공격을 편하게 해주면 해줄수록 이 중개인들의 상품 가치가 높아지는 겁니다. 그만큼 공격자들도 편안한 것에 길들여져 있고, 특별한 IT 기술이 없어도 사이버 범죄에 참여할 수 있다는 뜻이 됩니다.”

더 큰 문제는 이 ‘중개인’들이 랜섬웨어 외에 다른 종류의 사이버 공격에도 활용될 수 있다는 것이다. “누군가는 이들을 통해 경쟁사의 네트워크에 몰래 침투할 수도 있을 것이고, 누군가는 중요 정보를 몰래 빼돌릴 수도 있을 것입니다. 중개인들의 활용 가능성은 무궁무진합니다. 그래서 RaaS로 시작했다고는 하지만 중개인의 존재가 신경 쓰일 수밖에 없는 것입니다.”

중개인으로서 가장 중요한 건 자신들이 작성한 목록의 가치를 확실하게 노출시키는 것이다. 접근할 수 있는 조직의 수를 엄청나게 늘릴 수도 있고, 조직 하나하나의 가치나 접근의 용이성을 하나하나 강조할 수도 있다. 이 정도 가격에 아깝지 않은 거래라고 RaaS 이용자들을 설득해야 한다는 것이다. 아직 이 부분에서는 중개인들마다 서로 다른 모습을 보이고 있고, ‘장사의 수준’도 천차만별이다.

알바도르는 “특히 RDP 서버들을 겨냥한 브루트포스 공격, 과도한 로그인 시도, 권한 상승 시도, 횡적 움직임 시도 등이 있다면 중개인을 의심하라”고 권고한다. “아무런 피해가 없을 수 있습니다. 하지만 곧 랜섬웨어가 들이닥칠 수 있다는 뜻이 되므로 반드시 방어책을 수립하고 도입해야 할 것입니다.”

3줄 요약
1. RaaS 시장이 다크웹에서 커지면서 초보 공격자들이 늘어남.
2. 도구를 손에 든 초보자들이지만, 실제 공격을 실시하는 것에 어려움 느낌.
3. 그런 자들을 위해 접근 권한을 판매하는 일종의 중개인들 시장이 커지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)