세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
범죄자들 사이에서 각광받는 C&C 대용품, 채팅 앱
  |  입력 : 2017-06-07 16:01
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
서드파티 채팅 플랫폼과 멀웨어 연결시켜 ‘합법적인’ 트래픽 생성
백신과 안티멀웨어는 기본, 강력한 엔드포인트 보안 필요


[보안뉴스 문가용 기자] 채팅 플랫폼인 슬랙(Slack), 디스코드(Discord), 텔레그램(Telegram) 등이 사이버 범죄자들의 C&C 인프라로서 적극 활용되고 있다는 소식이다. 보안 전문업체 트렌드 마이크로(Trend Micro)는 이런 현상에 착안하여 유명 SNS 등을 통해 배포되는 API가 C&C 서버로 변환되는 게 가능한지 연구했다.

[이미지 = iclickart]


현대의 기업들은 슬랙과 같은 채팅 애플리케이션들을 업무 상 널리 활용하고 있다. 포춘 100대 기업의 77%가 슬랙을 사용하고 있을 정도인데 그 이유는 1) 무료로 사용이 가능하고 2) API 요소들도 포함되어 있어 사용자가 직접 제작한 앱에도 활용할 수 있으며 3) 그러므로 여러 채팅 프로그램을 사용하지 않고도 소통 채널을 일관성 있게 유지할 수 있기 때문이다.

하지만 이러한 장점은 멀웨어 공격자들에게도 마찬가지로 적용된다. 트렌드 마이크로의 클라우드 부문 부회장인 마크 누니코벤(Mark Nunnikhoven)은 “범죄자들이 합법적인 서비스를 활용해 나쁜 짓을 벌이기 시작했다”며 “채팅 앱으로 C&C 서버를 구축해 멀웨어를 배포한 공격자들은 지속적으로 멀웨어 업데이트를 하고 명령을 추가하고 데이터를 빼낼 수 있게 됩니다.”

공격자들이 채팅 플랫폼을 악용하는 건 그리 새로운 기법은 아니다. 이미 해커들은 IRC를 통해 다양한 멀웨어들을 배포한 적이 있으며, 사실 아직도 IRC는 해커들 사이에서 꽤나 인기가 높은 편에 속한다. 다만 IT 팀들이 IRC 트래픽을 기업 내 네트워크 상에서 금지시키기 시작하면서 IRC는 실제 공격보다는 ‘자기들끼리 소통하는 데에’ 더 많이 활용되고 있는 실정이다. 사실 슬랙 등의 채팅 플랫폼이 떠오른 건 이러한 현실 때문에 공격자들이 IRC의 대체품을 찾아야만 했기 때문이다.

디스코드나 슬랙 같은 서비스를 활용하면 해커들이 정상 도메인을 사용할 수 있게 된다. 그러므로 일단 도메인 탐지 기법 같은 것에는 잘 걸리지 않는다. 심지어 앱을 분석하거나 리버스 엔지니어링 할 필요도 없다. 그들에게 필요한 건 심겨둔 멀웨어와의 소통일 뿐이기 때문이다. 실제로 트렌드 마이크로도 슬랙과 디스코드를 사용해 C&C를 구축하는 데에 성공했다고 한다.

“디스코드로 키 생성기, 크랙, 익스플로잇 킷 등 멀웨어를 호스팅하는 데에 성공했고, 텔레그램으로는 텔레크립트(TeleCrypt)라는 랜섬웨어와 킬디스크(KillDisk) 멀웨어의 특정 버전들을 호스팅할 수 있었습니다.”

누니코벤은 “공격자들은 회원 가입만 하면 된다”고 설명한다. “채팅 서비스에 가입해서 계정을 만들고, 멀웨어에 연결만 시키면 됩니다. 채팅 기능을 통해 해커들은 멀웨어에 명령을 내려서 조정할 수 있고, 그럼으로서 피해자의 연락처, 이메일, 개인정보 등에 접근하는 게 가능해집니다.”

채팅 플랫폼을 통해 공격을 하는 자들은 주로 정보 탈취를 목적으로 하고 있다. “당신의 컴퓨터가 당했다면, 그 컴퓨터를 네트워크 다른 부분을 공격할 목적으로 활용하는데요, 그 컴퓨터들 전부가 비슷하게 설정되어 있다면 공격이 매우 쉽고 빨라집니다.”

채팅 플랫폼을 통한 공격이 특히 위험한 건 해커들이 ‘대응하는 게’ 가능해지기 때문이다. 멀웨어와 일일이 통신해 상황에 따라 대처할 수 있게 된다는 것이다. “C&C 서버와 연결된 모든 공격들이 다 그렇지만 멀웨어를 사람이 조작하기 시작하면 그 멀웨어는 훨씬 더 위험해집니다. 명령을 보내거나 추가하는 등 원래 가지고 있던 기능보다 더한 공격들을 펼칠 수 있는 겁니다.”

또한 정상 채팅 플랫폼을 사용하니 비정상 행위와 정상 행위의 구분도 매우 어려워진다. 보안 팀들로서는 데이터 안을 직접 들여다보고 수사도 더 깊게 진행해야 공격인지 아닌지 알아볼 수 있게 된다는 것이다.

트렌드 마이크로는 “소셜 네트워크 사용도 주의해야 한다”고 경고한다. “트위터와 페이스북도 공격자들이 활용하고 있는 추세입니다. 힙챗(HipChat)과 매터모스트(Mattermost)도 공격에 사용되는 사례가 있었습니다. 최근 필라델피아의 남성 세 명이 인스타그램을 활용해 은행으로부터 5천만 원을 훔치기도 했었고요. 소셜 네트워크 역시 계정만 만들면 되기 때문에 악의적인 공격자들이 활용하기에 매우 좋습니다.”

누니코벤은 “엔드포인트 보호 장치 및 정책을 한층 더 강력하게 만들어야 한다”고 조언한다. 또한 백신과 안티멀웨어 솔루션 설치 역시 기본적으로 해야 한다고 말한다. “외부로 나가는 트래픽에 대한 모니터링도 좀 더 철저히 해야 합니다. 그렇게 안전을 도모했을 때 슬랙이나 힙챗과 같은 통신 앱들을 더 안심하고 누릴 수 있습니다. 그런 프로그램들을 반드시 사용해야만 하느냐, 하는 것도 고민해야 하겠지만요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 3
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)