세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
이란 일반 사용자들을 괴롭히고 있는 세 가지 사이버 공격
  |  입력 : 2018-11-07 16:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정부가 금지시킨 앱의 가짜 설치 파일 통해 프라이버시 침해
이란만의 문제 아냐...다른 나라에서도 비슷한 원리로 공격 가능


[보안뉴스 문가용 기자] 이란의 텔레그램(Telegram)과 인스타그램(Instagram) 사용자들이 해커들의 공격을 받았다. 이를 발견한 시스코 탈로스 팀에 의하면 2017년부터 일부 사용자들이 가짜 로그인 페이지로 안내되는가 하면, BGP 하이재킹 공격을 받기도 했다고 한다.

[이미지 = iclickart]


텔레그램은 종단간 암호화 기능 덕분에 세계적으로 인기가 높은 메신저 프로그램이지만, 그 때문에 최근 사이버 범죄자들의 둥지가 되고 있고, 일부 정부로부터는 사용 금지 처분을 받기도 했다. 이란도 그러한 정부 중 하나다. 텔레그램 환경에서는 그레이웨어 혹은 PUP라고 불리는 프로그램들이 퍼지고 있어 문제가 되고 있다. 그레이웨어 혹은 PUP는 정상 소프트웨어와 악성 소프트웨어의 특성을 모두 가지고 있는 프로그램을 말한다.

하지만 이란 사용자들을 겨냥한 공격은 텔레그램 환경에서 일반적으로 문제가 되고 있는 것과 규모나 방법, 공격의 복잡성 등에서 차이를 보이고 있다고 시스코 탈로스 팀은 설명한다. 탈로스 팀이 분석한 공격의 목적은 대부분 개인정보나 로그인 정보를 훔쳐내는 것이었다.

공격은 보통 텔레그램과 똑같이 생긴 가짜 앱을 설치하는 것에서부터 시작된다. 이란 사용자들은 국가에서 금지한 텔레그램을 사용하기 위해 제3의 사이트에서 설치 파일을 다운로드 받는데, 이 점을 공격자가 노린 것이다. 하지만 이 가짜 앱은 사용자 모바일에 저장된 연락처 정보와 메시지를 죄다 빼가는 기능을 하고 있다.

여기에 가짜 인스타그램 앱도 등장했다. 인스타그램도 이란 정부가 사용 금지 처분을 내린 애플리케이션이다. 가짜 인스타그램 앱의 경우 전체 세션 데이터를 공격자들에게 보내는 기능을 가지고 있다고 한다. 이를 통해 공격자들은 현재 사용되고 있는 계정을 완전히 장악할 수 있게 된다.

시스코에 의하면 이러한 가짜 앱들은 궁극적으로 사용자의 프라이버시와 모바일 보안을 약화시키는 것을 목적으로 하고 있다고 한다. 탈로스의 전문가들은 이러한 애플리케이션들 중 일부에서는 데이터를 호스트 서버로 되돌리는 기능이 발견되기도 했다고 밝혔다. 특정 IP 주소에서부터 통제되는 흔적이 나타나기도 했는데, 이 IP 주소는 이란의 것이었다.

이렇게 이란 사용자들의 뒤를 좇는 앱들을 개발한 업체 중에는 andromedaa.ir이란 곳도 있었다. 정상적인 개발 업체로, iOS와 안드로이드 환경에서 작동하는 앱들을 주로 만든다. 하지만 이들이 만든 제품은 공식 스토어들에 등록되지 않는다. 왜냐하면 앱 설명에서부터 인스타그램과 텔레그램에서의 영향력을 높이기 위한 앱이라고 나와 있기 때문이다. 팔로워나 좋아요 수를 어떤 방법으로든 높여준다는 건데, 이러한 기능은 공식 스토어가 좋아하지 않는다.

탈로스의 전문가들은 andromedaa.ir이 앱을 등록할 때 사용했던 이메일 주소를 확인해 추적했다. 가짜 인스타그램 앱과 텔레그램 앱이 퍼지고 있던 도메인과 같은 도메인을 사용하고 있었다. 가짜 인스타그램 앱은 사용자의 인스타그램 비밀번호를 묻지도 않고 사용자 세션을 가로챘고, 가짜 텔레그램 앱은 사용자의 연락처와 메시지에 접근할 수 있었다고 한다.

이런 가짜 앱 외에, 가짜 로그인 페이지가 사용자에게 전달되는 사례도 있었다. 역시 이란의 사용자들이 주요 표적이 되었다. 시스코 탈로스는 이것이 이란과 관련이 있다고 여겨지는 해킹 그룹인 차밍 키튼(Charmking Kitten)이 이전부터 사용해왔던 기법이라고 한다.

기기의 BGP 프로토콜을 하이재킹하고, 트래픽을 우회시키는 공격도 있었다. 이는 인터넷 서비스 제공업체(ISP)가 관여되어 있어야만 성립 가능한 공격 기법이다.

이 세 가지 유형의 공격(가짜 앱, 가짜 로그인 페이지, BGP 하이재킹)이 전부 이란 사용자들을 대상으로 벌어지고 있지만, 아직까지 공격자 사이의 연관성을 밝혀내지는 못했다. 또한 가짜 앱 공격의 경우 인스타그램과 텔레그램이 공식적으로 금지된 다른 나라에서도 얼마든지 활용이 가능한 기법이다. 그래서 탈로스 팀은 러시아 같은 곳에서도 충분히 일어날 수 있는 일이라고 설명하며 굳이 국가가 지원하는 해커들이 아니더라도 따라해봄직한 것이라고 경고했다.

한편 이란에서는 이미 가짜 텔레그램과 인스타그램 앱이 수천~수만 번 이상 다운로드 된 것으로 나타났다. 정부의 금지 조치를 피해 앱을 사용하기 위해 많은 사람들이 우회 방법을 찾고 있다는 소리고, 그만큼 공격자가 이 점을 잘 노렸다는 뜻이 된다.

3줄 요약
1. 현재 이란 사용자들이 겪고 있는 사이버 공격은 크게 세 가지.
2. 정부가 금지시킨 앱의 가짜 설치 파일, 가짜 로그인 페이지, BGP 하이재킹.
3. 정부가 특정 앱 사용 금지시키면, 그 앱을 통해 그 나라 사용자들을 공격하는 건 다른 나라에서도 응용 가능.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작파워비즈배너 시작 11월6일 20181105-20200131
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)