세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
범죄자들 사이에서 각광받는 C&C 대용품, 채팅 앱
  |  입력 : 2017-06-07 16:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
서드파티 채팅 플랫폼과 멀웨어 연결시켜 ‘합법적인’ 트래픽 생성
백신과 안티멀웨어는 기본, 강력한 엔드포인트 보안 필요


[보안뉴스 문가용 기자] 채팅 플랫폼인 슬랙(Slack), 디스코드(Discord), 텔레그램(Telegram) 등이 사이버 범죄자들의 C&C 인프라로서 적극 활용되고 있다는 소식이다. 보안 전문업체 트렌드 마이크로(Trend Micro)는 이런 현상에 착안하여 유명 SNS 등을 통해 배포되는 API가 C&C 서버로 변환되는 게 가능한지 연구했다.

[이미지 = iclickart]


현대의 기업들은 슬랙과 같은 채팅 애플리케이션들을 업무 상 널리 활용하고 있다. 포춘 100대 기업의 77%가 슬랙을 사용하고 있을 정도인데 그 이유는 1) 무료로 사용이 가능하고 2) API 요소들도 포함되어 있어 사용자가 직접 제작한 앱에도 활용할 수 있으며 3) 그러므로 여러 채팅 프로그램을 사용하지 않고도 소통 채널을 일관성 있게 유지할 수 있기 때문이다.

하지만 이러한 장점은 멀웨어 공격자들에게도 마찬가지로 적용된다. 트렌드 마이크로의 클라우드 부문 부회장인 마크 누니코벤(Mark Nunnikhoven)은 “범죄자들이 합법적인 서비스를 활용해 나쁜 짓을 벌이기 시작했다”며 “채팅 앱으로 C&C 서버를 구축해 멀웨어를 배포한 공격자들은 지속적으로 멀웨어 업데이트를 하고 명령을 추가하고 데이터를 빼낼 수 있게 됩니다.”

공격자들이 채팅 플랫폼을 악용하는 건 그리 새로운 기법은 아니다. 이미 해커들은 IRC를 통해 다양한 멀웨어들을 배포한 적이 있으며, 사실 아직도 IRC는 해커들 사이에서 꽤나 인기가 높은 편에 속한다. 다만 IT 팀들이 IRC 트래픽을 기업 내 네트워크 상에서 금지시키기 시작하면서 IRC는 실제 공격보다는 ‘자기들끼리 소통하는 데에’ 더 많이 활용되고 있는 실정이다. 사실 슬랙 등의 채팅 플랫폼이 떠오른 건 이러한 현실 때문에 공격자들이 IRC의 대체품을 찾아야만 했기 때문이다.

디스코드나 슬랙 같은 서비스를 활용하면 해커들이 정상 도메인을 사용할 수 있게 된다. 그러므로 일단 도메인 탐지 기법 같은 것에는 잘 걸리지 않는다. 심지어 앱을 분석하거나 리버스 엔지니어링 할 필요도 없다. 그들에게 필요한 건 심겨둔 멀웨어와의 소통일 뿐이기 때문이다. 실제로 트렌드 마이크로도 슬랙과 디스코드를 사용해 C&C를 구축하는 데에 성공했다고 한다.

“디스코드로 키 생성기, 크랙, 익스플로잇 킷 등 멀웨어를 호스팅하는 데에 성공했고, 텔레그램으로는 텔레크립트(TeleCrypt)라는 랜섬웨어와 킬디스크(KillDisk) 멀웨어의 특정 버전들을 호스팅할 수 있었습니다.”

누니코벤은 “공격자들은 회원 가입만 하면 된다”고 설명한다. “채팅 서비스에 가입해서 계정을 만들고, 멀웨어에 연결만 시키면 됩니다. 채팅 기능을 통해 해커들은 멀웨어에 명령을 내려서 조정할 수 있고, 그럼으로서 피해자의 연락처, 이메일, 개인정보 등에 접근하는 게 가능해집니다.”

채팅 플랫폼을 통해 공격을 하는 자들은 주로 정보 탈취를 목적으로 하고 있다. “당신의 컴퓨터가 당했다면, 그 컴퓨터를 네트워크 다른 부분을 공격할 목적으로 활용하는데요, 그 컴퓨터들 전부가 비슷하게 설정되어 있다면 공격이 매우 쉽고 빨라집니다.”

채팅 플랫폼을 통한 공격이 특히 위험한 건 해커들이 ‘대응하는 게’ 가능해지기 때문이다. 멀웨어와 일일이 통신해 상황에 따라 대처할 수 있게 된다는 것이다. “C&C 서버와 연결된 모든 공격들이 다 그렇지만 멀웨어를 사람이 조작하기 시작하면 그 멀웨어는 훨씬 더 위험해집니다. 명령을 보내거나 추가하는 등 원래 가지고 있던 기능보다 더한 공격들을 펼칠 수 있는 겁니다.”

또한 정상 채팅 플랫폼을 사용하니 비정상 행위와 정상 행위의 구분도 매우 어려워진다. 보안 팀들로서는 데이터 안을 직접 들여다보고 수사도 더 깊게 진행해야 공격인지 아닌지 알아볼 수 있게 된다는 것이다.

트렌드 마이크로는 “소셜 네트워크 사용도 주의해야 한다”고 경고한다. “트위터와 페이스북도 공격자들이 활용하고 있는 추세입니다. 힙챗(HipChat)과 매터모스트(Mattermost)도 공격에 사용되는 사례가 있었습니다. 최근 필라델피아의 남성 세 명이 인스타그램을 활용해 은행으로부터 5천만 원을 훔치기도 했었고요. 소셜 네트워크 역시 계정만 만들면 되기 때문에 악의적인 공격자들이 활용하기에 매우 좋습니다.”

누니코벤은 “엔드포인트 보호 장치 및 정책을 한층 더 강력하게 만들어야 한다”고 조언한다. 또한 백신과 안티멀웨어 솔루션 설치 역시 기본적으로 해야 한다고 말한다. “외부로 나가는 트래픽에 대한 모니터링도 좀 더 철저히 해야 합니다. 그렇게 안전을 도모했을 때 슬랙이나 힙챗과 같은 통신 앱들을 더 안심하고 누릴 수 있습니다. 그런 프로그램들을 반드시 사용해야만 하느냐, 하는 것도 고민해야 하겠지만요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)