교묘한 수법으로 어마어마한 수익을 거둔 공격 단체에 대한 관심이 높아지고 있다. 이들은 공격에 멀웨어를 전혀 동원하지 않는다. 그리고 피해자가 뭔가 조치를 취하려고 하면 전화를 걸어 협박한다.

[보안뉴스 문가용 기자] 지난 수개월 동안 수십만 달러의 피해를 일으킨 사이버 공격 단체의 꼬리가 잡혔다. 흥미롭게도 이 공격 단체는 중소기업들만 집중적으로 노렸다고 하며, 멀웨어를 일체 사용하지 않았다고 한다. 이들이 활용한 공격 기법은 ‘콜백 피싱(call-back phishing)’이라고 하며, 단체에는 루나모스(Luna Moth)라는 이름이 붙었다.

​

[이미지 = utoimage]

표적 공격

현재까지 진행된 루나모스의 공격은 주로 법무와 관련된 조직들 중 규모가 작은 곳을 표적으로 삼고 있다. 그러다가 최근부터 도소매 분야에서 조금 덩치가 큰 기업들까지도 노리기 시작했다고 한다. 보안 업체 팔로알토네트웍스(Palo Alto Networks)는 “공격이 진화하기 시작한 건 공격자들이 현재 사용하는 전략에 능숙해졌고, 그만큼 괜찮은 효율을 뽑아내기 시작했다는 뜻”이라며 “이제 다른 산업들도 루나모스라는 위협에 대해 알아두어야 할 때가 됐다”고 설명한다.

팔로알토의 수석 위협 분석가인 크리스토퍼 루소(Kristopher Russo)는 “법무 분야의 중소기업들만이 아니라 모든 산업의 크고 작은 단체들이 조심해야 한다”며 “콜백 피싱이라는 공격 기법의 특성상 개인과 기업의 구분 역시 별로 의미가 없어 보인다”고 경고했다. 참고로 콜백 피싱은 콘티(Conti) 랜섬웨어 단체가 1년 전 처음 사용하기 시작한 전술로, 당시 콘티는 피해자의 시스템에 바자로더(BazarLoader)라는 멀웨어를 심기 위해 콜백 피싱을 활용했었다.

콜백 피싱?

콜백 피싱 공격은 먼저 일반적인 피싱 메일로부터 시작한다. 공격자들은 공격 대상이 될 기업이나 기관을 선정하고, 그 중에서 공격 표적이 될 개인을 찾아낸다. 그런 다음 해당 개인에게 피싱 메일을 보내는데, 정상적인 이메일 서비스가 활용된다. 메일 내용은 피해자에 따라 다양해지는데, 공통적으로 공격자와 피해자 간 전화 통화를 유도하는 부분이 포함되어 있다.

팔로알토의 연구원들이 확보한 샘플 피싱 이메일에는 PDF 포맷의 영수증이 첨부되어 있었다. 피해자의 이름으로 구독 서비스가 신청되었음을 보여주는 자료다. 메일 본문에는 “첨부된 자료에 의거해 구독 서비스가 곧 시작되며, 명시된 신용카드를 통해 비용이 청구될 것”이라는 내용이 포함되어 있다. 메일 본문이나 첨부파일 끝에는 전화번호가 표기되어 있다. 문의할 내용이 있으면 그리로 전화하라는 안내도 붙어 있다. 영수증에는 유명 브랜드의 로고가 붙어 있어 속기 쉽다.

“영수증에는 콜센터에서 사용하는 고유 추적 번호까지도 붙어 있습니다. 피해자들이 전화를 걸어 불만을 제기할 때 이 고유 번호를 대야만 하죠. 그러니 불만을 제기하는 와중에도 뭔가 진짜 기업과 조우하는 느낌이 나죠. 교묘한 장치들이 겹겹이 설치되어 있는 겁니다.” 루소의 설명이다.

전화를 받은 공격자는 피해자들과 대화를 진행하면서 조호 어시스트(Zoho Assist)라는 원격 지원 도구를 통한 원격 접속을 허용해 달라고 요청한다. 피해자가 여기에 응할 경우 공격자는 원격에서 피해자의 컴퓨터를 제어할 수 있게 된다. 이를 통해 공격자는 피해자의 클립보드에도 접근할 수 있게 되고, 피해자의 화면을 빈 화면으로 보이게 만들 수도 있다.

여기까지 진행한 공격자는 싱크로(Syncro)라는 또 다른 원격 지원 소프트웨어를 설치한다. 조호 어시스트가 최초 침투를 담당했다면, 싱크로는 지속적으로 피해자의 시스템에 접근하는 데 활용된다. 그 외에 알클론(Rclone)과 윈SCP(WinSCP)와 같은 정상적인 시스템 관리 도구들이 악용되기도 한다. 여기까지 사용된 모든 도구들은 정상적인 유틸리티이기 때문에 보안 솔루션들이 경고 메시지를 내보내지 않는다.

공격 초기에 루나모스는 원격 모니터링과 관리를 위해 아테라(Atera)와 스플래시탑(Splashtop)과 같은 도구들을 주로 사용했었다. 하지만 최근 들어서는 이 두 가지 도구의 활용 빈도가 낮아지는 추세라고 한다. 아테라와 스플래시탑 역시 정상적인 도구들이다. “또한 지속적으로 피해자의 시스템에 접근할 방법을 확보한 후에 공격자들은 곧바로 공격을 시작하지 않습니다. 적게는 수시간, 많게는 수주 후에 데이터를 빼돌리기 시작합니다.”

압박감의 최대화

조심스럽게 움직여 데이터를 빼돌린 루나모스는, 그 데이터를 가지고 피해자를 압박하기 시작한다. 처음에는 주로 법무 분야의 작은 조직들을 공략했는데, 어떤 정보를 쥐고 흔들어야 피해자가 압박을 느끼는지를 잘 이해하고 있는 것으로 보인다고 팔로알토 측은 설명한다. “로펌들은 고객들과의 상담 내용 등 비밀스러운 자료들이 외부로 유출되는 것을 가장 꺼려합니다. 루나모스는 자신들이 확보한 데이터를 점검해 이런 종류의 데이터가 있는지 확인하고, 그러한 내용을 협박 메일로 꾸며서 피해자들에게 보냅니다.”

협박 메일의 내용은 피해자 기업에 따라 조금씩 달라지지만 공통점이 존재한다.

1) 피해자의 가장 큰 고객사의 이름을 제시한다.

2) 그 고객사와 어떤 거래가 있었는지를 명시한다.

3) 돈을 내지 않으면 고객사에 연락해 자신들이 알고 있는 내용을 폭로하겠다고 협박한다.

4) 요구하는 돈은 2~78 비트코인이다.

공격자들은 최초 침투 후 횡적인 움직임을 보이지는 않는다고 한다. 하지만 침해한 컴퓨터를 지속적으로 모니터링 함으로써, 해당 컴퓨터의 사용자가 관리자 권한의 계정 크리덴셜을 가지고 있는지를 확인한다. 당연하지만 이 때에도 정상적인 컴퓨터 관리 도구가 사용된다. 만약 피해자가 시스템 복구를 위해 움직이기 시작하면 전화를 걸어 협박하기도 한다.

또 다른 보안 업체 시그니아(Sygnia)에 의하면 루나모스의 활동은 지난 3월부터 시작했을 가능성이 높다고 한다. 3월부터 현재까지 루나모스가 악용한 정상적인 도구들은 아테라, 스플래시탑, 싱크로, 애니데스크(AnyDesk), 소프트퍼펙트(SoftPerfect), 샤프셰어즈(SharpShares) 등이라고 집계하고 있기도 하다. “공격자들은 자신들의 흔적을 남기지 않기 위해 온갖 수단을 동원하고 있기도 합니다. 그게 루나모스의 특징 중 하나입니다.”

루소는 루나모스의 공격 전략이 소셜엔지니어링 및 피싱이고, 멀웨어가 전혀 사용되지 않기 때문에 사용자들의 인식 제고 훈련만이 적절한 방어법이라고 주장한다. 기술적으로는 이들의 공격을 선제적으로 탐지하거나 예방하기가 힘들다. “처음부터 피싱 공격에 속지 않는 것이 제일 중요합니다. 영수증을 받은 시점부터, 또 통화를 진행하면서, 이들의 의도를 간파할 수 있도록 개개인의 보안 인식 수준이 올라가야 합니다.”

3줄 요약

1. 법무 관련 중소기업들만 노리는 공격 단체, 루나모스.

2. 루나모스는 콜백 피싱이라는 기법을 통해 피해자들을 속임.

3. 멀웨어가 단 하나도 사용되지 않기 때문에 사용자 보안 인식 제고 강화만이 살 길.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=111820&page=1&mkind=1&kind=)]​