사이버 범죄자들에게 가장 필요한 건 악성 페이로드나 멘토가 아니다. 원하는 곳으로 안내해줄 사람이다. 최근 다크웹에서는 이 안내자들이 부쩍 늘어나고 있다고 한다. 덕분에 사이버 범죄 시장으로의 진입 장벽이 대폭 낮아지고 있다.
[보안뉴스 문가용 기자] 사이버 범죄 시장에 ‘IAB’라고 하는 상인들이 늘어나고 있다. IAB는 Initial Access Broker의 준말로 ‘최초 접근 브로커’ 정도로 해석이 가능하다. 특정 조직이나 단체의 네트워크에 침투할 방법과 경로를 마련하는 데까지만 작업을 해두고, 이를 다른 공격자들에게 판매하는 자들이다. 공격이 실제로 발생하도록 촉진시키는 역할을 한다고 볼 수 있다.
보안 전문가들은 IAB가 늘어나고 있다는 것을 ‘커다란 위기’로 해석한다. 각종 악성 도구들을 만들어놓고도 실제로 어떻게 활용할지 모르는 초보 공격자들에게 안내자가 되고 있기 때문이다. 사이버 범죄의 진입 장벽이 이들 때문에 낮아지고 있다는 것. IAB만 없어도 - 즉, 최초 침투라는 문제를 공격자 스스로가 해결해야 한다면 - 지금보다 랜섬웨어 공격이나, 디도스 공격, 각종 멀웨어 공격이 훨씬 줄어들 것이라고 보안 업계는 보고 있다.
보안 업체 블랙베리(BlackBerry)의 부회장인 에릭 밀람(Eric Milam)은 “IAB의 비즈니스 모델은 정상적인 생산 기업들의 판매를 촉진시켜주는 ‘채널 파트너(channel partner)’들과 비슷하다”고 설명한다. “사이버 범죄 시장이 일반 기업 및 산업과 매우 흡사한 형태로 굴러간다는 걸 다시 한 번 알 수 있는 부분이죠. 기업들처럼 사업하는 게 가장 효율적이라는 걸 그들도 잘 아는 겁니다.”
블랙베리는 최근 IAB 전문 집단인 지브라2104(Zebra2104)를 추적한 바 있다. 그 결과 마운트락커(MountLocker)와 포보스(Phobos)라는 랜섬웨어 그룹들과 스트롱피티(StrongPity)라는 사이버 정찰 그룹이 지브라2104의 공격 인프라를 활용하고 있다는 사실이 드러났다. 그렇다고 이 셋이 공동의 작전을 벌였다고 보기는 힘들었다. 인프라 사용 일시가 전혀 겹치지 않았기 때문이다. 결국 지브라2104가 최초 접근 경로만을 제공하는 단체라는 결론을 내렸다.
“세 단체들이 공격 인프라를 활용하는 방법 자체도 달랐습니다. 마운트락커와 포보스의 경우 지브라2104의 인프라를 활용해 코발트 스트라이크(Cobalt Strike)의 비컨(Beacon)을 유포했습니다. 그 다음으로는 자신들의 랜섬웨어를 피해자들의 시스템에 심었죠. 반면 스트롱피티의 경우 정보 탈취용 멀웨어를 심어 계속해서 데이터를 빼돌리기만 했습니다.” 밀람의 설명이다.
하지만 아직까지 지브라2104가 어떤 식으로 최초 침투 경로를 확보했는지는 확실하지가 않다. 다만 올해 초 마이크로소프트가 보고서를 발표하며 경고했던 악성 스팸 캠페인과의 깊은 연관성이 발견되고 있다고는 한다. “해당 스팸 캠페인과 지브라2104가 정말 관련되어 있다면 이들은 피싱 및 스팸 공격을 통해 최초 침투 경로를 확보한다고 추정할 수 있습니다. 실제로 그런 수법이 현존하는 사이버 공격 대다수의 시발점이 되기도 하고요.”
또 다른 보안 업체 디지털 셰도우즈(Digital Shadows)는 “최근 사이버 범죄자들 사이에서 IAB 서비스가 큰 인기를 누리고 있다”고 말한다. “코로나로 인해 원격에서 근무하는 사람들이 많아졌는데, 그러한 원격 접근 시스템이나 서비스가 안전하지 않기 때문에 생기는 현상이라고 보고 있습니다. 최초 침투할 방법이 많아졌고, 그래서 시장 공급이 풍부해진 것이죠.”
실제로 디지털 셰도우즈가 다크웹을 조사했을 때 IAB 상인들이 가장 많이 제공하는 건 침해된 RDP와 VPN 시스템들에 대한 접근 방법이었다. RDP와 VPN은 원격 근무 체제에서 가장 많이 활용되는 접근 기술로 손꼽힌다. “또한 IAB 상인들이 가장 많이 파는 건 도소매, 기술, 제조업, 서비스 분야의 조직들로 침투해 들어가는 방법 및 경로들이었습니다.”
디지털 셰도우즈의 분석가인 크리스 모건(Chris Morgan)은 “IAB들 덕분에 사이버 공격의 효율성은 높아지고, 사이버 범죄라는 산업 자체가 보다 매끄럽고 유연하게 운영되기 시작했다”고 말한다. 그러면서 “IAB는 최소한 2022년 4사분기까지 계속해서 늘어나고, 따라서 시장 규모도 계속해서 성장할 것”이라고 예측했다.
현재 IAB 서비스를 가장 많이 이용하는 건 랜섬웨어 그룹들이라고 한다. 하지만 이는 시대의 분위기에 따라 얼마든지 바뀔 수 있다고 모건은 설명한다. “지금은 랜섬웨어가 유행하는 시기라서 랜섬웨어 공격자들이 눈에 많이 띄죠. 하지만 APT가 극성을 부리는 때라면 IAB를 통해 백도어나 트로이목마가 주로 심길 것입니다. 은행 거래를 침해하는 공격이 유행하면 그런 멀웨어가, 암호화폐 채굴이 유행하면 채굴 멀웨어가 사랑을 받게 될 것이고요.”
3줄 요약
1, 현재 다크웹에서 크게 늘어나고 있는 상인들, IAB.
2, 최초 침투 경로를 확보해 주는 자들로, 사이버 범죄의 실질적인 촉진제.
3. 코로나로 인한 재택근무자 증가와 맞물려 IAB 시장은 현재 전성기 누리는 중.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 사이버 범죄 시장에 ‘IAB’라고 하는 상인들이 늘어나고 있다. IAB는 Initial Access Broker의 준말로 ‘최초 접근 브로커’ 정도로 해석이 가능하다. 특정 조직이나 단체의 네트워크에 침투할 방법과 경로를 마련하는 데까지만 작업을 해두고, 이를 다른 공격자들에게 판매하는 자들이다. 공격이 실제로 발생하도록 촉진시키는 역할을 한다고 볼 수 있다.
[이미지 = utoimage]
보안 전문가들은 IAB가 늘어나고 있다는 것을 ‘커다란 위기’로 해석한다. 각종 악성 도구들을 만들어놓고도 실제로 어떻게 활용할지 모르는 초보 공격자들에게 안내자가 되고 있기 때문이다. 사이버 범죄의 진입 장벽이 이들 때문에 낮아지고 있다는 것. IAB만 없어도 - 즉, 최초 침투라는 문제를 공격자 스스로가 해결해야 한다면 - 지금보다 랜섬웨어 공격이나, 디도스 공격, 각종 멀웨어 공격이 훨씬 줄어들 것이라고 보안 업계는 보고 있다.
보안 업체 블랙베리(BlackBerry)의 부회장인 에릭 밀람(Eric Milam)은 “IAB의 비즈니스 모델은 정상적인 생산 기업들의 판매를 촉진시켜주는 ‘채널 파트너(channel partner)’들과 비슷하다”고 설명한다. “사이버 범죄 시장이 일반 기업 및 산업과 매우 흡사한 형태로 굴러간다는 걸 다시 한 번 알 수 있는 부분이죠. 기업들처럼 사업하는 게 가장 효율적이라는 걸 그들도 잘 아는 겁니다.”
블랙베리는 최근 IAB 전문 집단인 지브라2104(Zebra2104)를 추적한 바 있다. 그 결과 마운트락커(MountLocker)와 포보스(Phobos)라는 랜섬웨어 그룹들과 스트롱피티(StrongPity)라는 사이버 정찰 그룹이 지브라2104의 공격 인프라를 활용하고 있다는 사실이 드러났다. 그렇다고 이 셋이 공동의 작전을 벌였다고 보기는 힘들었다. 인프라 사용 일시가 전혀 겹치지 않았기 때문이다. 결국 지브라2104가 최초 접근 경로만을 제공하는 단체라는 결론을 내렸다.
“세 단체들이 공격 인프라를 활용하는 방법 자체도 달랐습니다. 마운트락커와 포보스의 경우 지브라2104의 인프라를 활용해 코발트 스트라이크(Cobalt Strike)의 비컨(Beacon)을 유포했습니다. 그 다음으로는 자신들의 랜섬웨어를 피해자들의 시스템에 심었죠. 반면 스트롱피티의 경우 정보 탈취용 멀웨어를 심어 계속해서 데이터를 빼돌리기만 했습니다.” 밀람의 설명이다.
하지만 아직까지 지브라2104가 어떤 식으로 최초 침투 경로를 확보했는지는 확실하지가 않다. 다만 올해 초 마이크로소프트가 보고서를 발표하며 경고했던 악성 스팸 캠페인과의 깊은 연관성이 발견되고 있다고는 한다. “해당 스팸 캠페인과 지브라2104가 정말 관련되어 있다면 이들은 피싱 및 스팸 공격을 통해 최초 침투 경로를 확보한다고 추정할 수 있습니다. 실제로 그런 수법이 현존하는 사이버 공격 대다수의 시발점이 되기도 하고요.”
또 다른 보안 업체 디지털 셰도우즈(Digital Shadows)는 “최근 사이버 범죄자들 사이에서 IAB 서비스가 큰 인기를 누리고 있다”고 말한다. “코로나로 인해 원격에서 근무하는 사람들이 많아졌는데, 그러한 원격 접근 시스템이나 서비스가 안전하지 않기 때문에 생기는 현상이라고 보고 있습니다. 최초 침투할 방법이 많아졌고, 그래서 시장 공급이 풍부해진 것이죠.”
실제로 디지털 셰도우즈가 다크웹을 조사했을 때 IAB 상인들이 가장 많이 제공하는 건 침해된 RDP와 VPN 시스템들에 대한 접근 방법이었다. RDP와 VPN은 원격 근무 체제에서 가장 많이 활용되는 접근 기술로 손꼽힌다. “또한 IAB 상인들이 가장 많이 파는 건 도소매, 기술, 제조업, 서비스 분야의 조직들로 침투해 들어가는 방법 및 경로들이었습니다.”
디지털 셰도우즈의 분석가인 크리스 모건(Chris Morgan)은 “IAB들 덕분에 사이버 공격의 효율성은 높아지고, 사이버 범죄라는 산업 자체가 보다 매끄럽고 유연하게 운영되기 시작했다”고 말한다. 그러면서 “IAB는 최소한 2022년 4사분기까지 계속해서 늘어나고, 따라서 시장 규모도 계속해서 성장할 것”이라고 예측했다.
현재 IAB 서비스를 가장 많이 이용하는 건 랜섬웨어 그룹들이라고 한다. 하지만 이는 시대의 분위기에 따라 얼마든지 바뀔 수 있다고 모건은 설명한다. “지금은 랜섬웨어가 유행하는 시기라서 랜섬웨어 공격자들이 눈에 많이 띄죠. 하지만 APT가 극성을 부리는 때라면 IAB를 통해 백도어나 트로이목마가 주로 심길 것입니다. 은행 거래를 침해하는 공격이 유행하면 그런 멀웨어가, 암호화폐 채굴이 유행하면 채굴 멀웨어가 사랑을 받게 될 것이고요.”
3줄 요약
1, 현재 다크웹에서 크게 늘어나고 있는 상인들, IAB.
2, 최초 침투 경로를 확보해 주는 자들로, 사이버 범죄의 실질적인 촉진제.
3. 코로나로 인한 재택근무자 증가와 맞물려 IAB 시장은 현재 전성기 누리는 중.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
[2025-04-07] 
