Home > 전체기사

장기화 된 코로나로 무너지는 개인 보안, 그 틈을 파고드는 스미싱

  |  입력 : 2021-09-27 14:28
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
문자 메시지로 장난치는 공격 행위에 우리들 대부분은 코웃음 친다. 하지만 그런 뻔한 공격에도 당하는 사람들이 있다. 코로나로 인해 심리적 방어선이 무너졌기 때문이다. 공격자들의 교활함이 도를 넘어서고 있다.

[보안뉴스 문가용 기자] 안드로이드 장비를 겨냥한 멀웨어 캠페인이 적발됐다. 특히 미국과 캐나다에서 활발히 진행되고 있는데, 악성 링크를 포함한 문자 메시지를 통해 퍼지고 있다고 한다. 요즘 여러 나라에서 한창 이슈가 되고 있는 코로나 백신 부스터샷에 관한 내용이라 사람들이 잘 속아넘어가는 중이다.

[이미지 = utoimage]


이 캠페인에서 사용되는 멀웨어에는 탱글봇(TangleBot)이라는 이름이 붙었다. 피해자들에게 링크를 눌러보라는 문자 메시지 형태로 발송되며, 피해자들이 이 링크를 누를 경우 웹사이트로 연결된다. 여러 형태의 웹사이트들이 존재하는데, 전부 피해자들의 민감한 정보를 수집하는 것을 목적으로 삼고 있다. 일종의 스미싱 공격인 셈이다. 이 공격에 대해 보안 업체 클라우드마크(Cloudmark)가 발견해 발표했다.

클라우드마크는 “스미싱은 기초적인 공격 기술이지만 코로나로 인해 그 효과가 배가됐다”고 설명하며 “원격 근무를 유발하고 사회적 이슈를 일으키기 때문”이라고 말한다. “재택 근무가 흔한 것이 되어버렸죠. 그러면서 네트워크가 분산되고, 개개인의 보안 능력이 중요하게 됐습니다. 모바일 장비와 통신의 중요성이 올라갔고요. 탱글봇 캠페인은 이 지점을 노리고 있습니다. 보안이 허술한 분산 네트워크에서 한 사람의 장비가 침해돼도 조직 전체가 뚫릴 수 있다는 걸 공격자들이 적극 활용하는 것입니다.”

클라우드마크가 이 캠페인 혹은 멀웨어에 탱글(tangle)이라는 이름을 붙인 건, 여러 겹의 난독화와 악성 기능이 얽혀있기(tangle) 때문이다. “공격자들은 탱글봇을 사용해 연락처 정보, 문자 정보, 전화기의 각종 기능, 통화 로그, 인터넷 접근 정보, 카메라와 마이크에까지 접근할 수 있습니다. 그러면서 전화를 자기들 마음대로 걸거나 차단하고, 문자 메시지도 마음대로 보내고, 화면에 오버레이 공격도 하며, 오디오와 비디오를 저장하기도 합니다.”

탱글봇 피싱 캠페인은 최근 스미싱 공격의 발전상을 보여주는 사례다. 스미싱은 2020년 하반기 동안에만 전반기 대비 256% 증가했다. 클라우드마크의 설명처럼 코로나라는 세계적인 문제 때문이다. 그러면서 공격자들은 좀 더 ‘개인적’인 메시지들을 사용하기 시작했다. 즉, 피해자 개개인 혹은 피해 조직에 특화된 메시지들을 맞춤형으로 보내기 시작했다는 것이다. 물론 대단히 세부적인 건 아니지만 사회적 현상들과 키워드를 적극 채용하면서 피해자들의 실수를 유발한다.

좀 더 상세한 분석에 따르면 탱글봇은 한 번 침해에 성공하면 꽤나 많은 각도에서 피해자를 관찰할 수 있게 된다고 한다. 피해자가 어떤 사이트에 방문했으며, 어떤 비밀번호를 입력했는지는 물론 음성 녹음을 통해 어떤 내용으로 통화했는지도 알아낼 수 있고, 카메라 영상 녹화를 통해 어디에 방문했는지도 전부 파악한다. 꽤나 다기능적인 측면을 가지고 있는 피싱 도구라는 것이다. 또한 탱글봇은 분석을 어렵게 하기 위한 난독화 기술도 다수 탑재하고 있다. 코드를 파일 내에 숨겨놓은 채 쓸데없는 코드로 가득 채우고, 코드 내 빈 공간을 삭제하는 축소(minification) 기법도 사용한다.

“한 마디로 탱글봇은 각종 난독화 기술을 몸에 두른 멀웨어로, 스스로는 탐지나 분석이 잘 되지 않으면서 각종 스파이 기능을 다 가지고 있다고 볼 수 있습니다. 다크웹에서는 개인정보에 대한 수요가 끊이지 않는데, 그러한 점을 노리고 수익을 높이기 위해 만들어진 멀웨어로 보입니다.” 클라우드마크의 설명이다.

탱글봇의 특이한 점은 이렇게 많은 기능을 가지고 있으면서 안드로이드 시스템에서 발견된 그 어떤 취약점도 익스플로잇하지 않는다는 것이다. 모든 것이 ‘소셜 엔지니어링 공격’으로 진행된다. 클릭을 유도하고, 웹사이트에 우회 접속시키고, 가짜 업데이트를 허용해 달라고 대화상자를 띄우는 방식뿐이라는 것이다. 제3자의 시각에서 보면 왜 이런 공격에 당해주는가 싶지만, 그만큼 코로나로 인해 사람들의 심리적 방어선이 무너져 있다고 볼 수 있다.

“최근 모바일 생태계를 노리는 멀웨어들은 자주 등장하고 있습니다. 예를 들어 플루봇(FluBot)은 얼마 전 유럽을 강타하기도 했었죠. 플루봇의 공격 전략도 기본적으로 소셜 엔지니어링에 불과했지만 많은 사람들이 피해를 입었습니다. 조직 내에 함께 있다가 사방으로 뿔뿔이 흩어진 개개인의 방어 능력이 그만큼 허술하다는 겁니다.”

클라우드마크는 “알 수 없는 곳에서 날아온 문자 메시지는 일단 의심하고 보는 것이 안전하다”고 권고한다. “전화기의 디폴트 문자 앱에서 온 것이든, 각종 메신저 앱을 통해 오는 것이든, 알 수 없는 사람이 보낸 건 다 의심하고 보십시오. 그리고 메시지를 보낸 사람에게 다시 연락을 해서 문자의 출처가 맞느냐고 확인하는 것도 중요합니다.”

그나마 다행인 것은 탱글봇이 피해자의 핸드폰에 설치된 이후 다른 멀웨어를 추가로 설치하는 일은 아직까지 없었다는 점이다. 하지만 이미 여러 가지 기능들이 있는 것으로 봐서 랜섬웨어 등의 멀웨어를 추가로 심어 수익을 창출하려는 시도가 곧 있을 것으로 클라우드마크는 보고 있다. “돈을 벌고자 하는 사이버 공격자들의 움직임은 멈추지를 않습니다. 어떤 방향으로든 진화할 것은 분명합니다.”

3줄 요약
1. 북미 안드로이드 생태계에 새롭게 출현한 멀웨어, 탱글봇.
2. 코로나 부스터샷을 테마로 한 문자 메시지를 통해 사용자들 엮는 중.
3. 온갖 난독화 기술과 악성 기능 갖추고 있다는 것이 특징.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)