Home > 전체기사
유명 범죄 단체 메이지카트, 코발트 그룹을 품고 있었다
  |  입력 : 2019-10-08 11:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최소 7개 범죄 단체로 구성된 메이지카트...4번째 그룹은 코발트 그룹인 듯
뛰어난 기술력으로 눈에 띄고 있어...고난이도 공격 기술, 조만간 보편화 될 것


[보안뉴스 문가용 기자] 보안 전문가들이 메이지카트(MageCart)라는 사이버 범죄 단체 내 4번째 그룹(Group 4)이 2015년부터 금융 산업을 상대로 범죄를 펼쳐온 해킹 단체인 코발트 그룹(Cobalt Group)일지도 모른다는 사실을 밝혀냈다.

[이미지 = iclickart]


먼저 메이지카트란, 최소 7개의 독립적인 사이버 범죄 단체가 뭉쳐있는 ‘상위 그룹’으로, 전자상거래가 진행되는 웹사이트에 스키머를 설치하는 것을 주력으로 하고 있다. 즉, 지불 카드 정보를 훔치는 것이 메이지카트의 주된 목적이라는 것이다. 영국항공과 티켓마스터(Ticketmaster) 등 유명 사이트가 당하면서 메이지카트는 전 세계적이 주목을 받게 되었다.

사이버 보안 분야의 전문가들은 메이지카트에 소속된 각 하위 그룹들이, 이미 이전부터 활동해온 범죄 단체가 아닐까 하여 추적 중에 있다. 먼저는 보안 업체 리스크아이큐(RiskIQ)와 플래시포인트(Flashpoint)가 이러한 의심을 품고 추적을 시작했다. 여기에 IBM도 합류해 “메이지카트의 6번째 그룹은 핀6(FIN6)”라고 발표했다. 그러더니 보안 업체 멀웨어바이츠(Malwarebytes)와 하이야스(HYAS)가 “4번째 단체가 코발트 그룹”이라고 지목한 것이다.

그룹 4(Group 4)라고 알려진 메이지카트의 4번째 단체는, 메이지카트에 속한 여러 단체들 중 꽤나 향상된 기술을 보유하고 있다. 평범한 트래픽에 자신들의 공격을 녹여내기 위해 여러 가지 교묘한 수법을 사용하기도 한다. 또한 은행가를 노리는 멀웨어를 개발하고 사용해온 이력이 있는 것으로 보이기도 한다. 뱅킹 멀웨어는 코발트 그룹과 핀7의 전문 영역이기도 하다.

멀웨어바이츠의 위협 첩보 수석인 제롬 세구라(Jerome Segura)는 “그룹 4는 기술력에 있어서 독보적인 위치에 있었고, 그렇기 때문에 다른 그룹들과는 다르다는 걸 처음부터 볼 수 있었다”고 말한다. “평범하게 해킹으로 돈을 벌고자 하는 이런 저런 단체들과는 달랐어요. 오랜 역사와 경험을 축적시켜 온 단체만이 보여줄 수 있는 면모를 여럿 가지고 있었죠.”

뛰어난 실력과 뱅킹 멀웨어와 연루된 이력, 멀웨어바이츠와 하이야스의 전문가들은 곧바로 APT 그룹들을 떠올렸다. 그리고 메이지카트의 단체들이 사용한 각종 인프라의 힌트를 찾기 위해 노력했다. 도메인 등록, IP 위치 등도 추적 대상이었다. 그런 여러 가지 정보의 조각들을 맞춘 끝에, 코발트 그룹이 웹 스키밍으로 전략을 수정했을지도 모른다는 결론에 이르렀다.

“클라이언트에서 심기는 스키머 도메인과 서버에 심기는 스키머 도메인 모두 한 개의 프로톤메일 주소와 연결되어 있었습니다. 이 주소는 예전에 리스크아이큐가 그룹 4와 관련이 있다고 밝혀냈던 주소입니다.” 멀웨어바이츠와 하이야스는 탈출 게이트(정보를 빼돌리는 곳)를 확인하면서 또 다른 이메일 주소들을 찾아냈다. 전부 메이지카트의 4번째 그룹과 관련이 있는 것이었다.

그런데 메일 주소들에는 일정한 패턴이 있었다. ‘이름-이니셜-성’으로 메일 주소가 만들어진 것이었다. 이는 코발트 그룹이 사용하는 프로톤메일 계정들과 같았다. 또한 코발트 그룹가 4번째 그룹은 같은 프라이버시 보호 옵션을 사용하고도 있었다. “모든 도메인들에 같은 프라이버시 서비스를 적용하고 있었고, 그렇기에 이메일 주소를 이름 붙이는 방법이 모든 공격 단체들 사이에서 공유되지 않았을 겁니다. 코발트 그룹과 메이지카트 인프라에 모두 등록된 자들만 같은 패턴으로 이메일 이름을 붙일 수 있는 것이죠. 둘이 같은 자들일 가능성이 높습니다.”

그 외에도 멀웨어바이츠는 PHP 스크립트를 하나 발견해낼 수 있었다. 그룹 4가 공격을 진행하던 도중에 실수로 흘린 것 같았다. “공격자들의 서버에 도달하지 않는 한 발견할 수 없는 종류의 소스코드가 포함되어 있었습니다. 스크립트는 서버측 스키머(server-side skimmer)였습니다. 메이지카트는 주로 브라우저측 스키머(browser-side skimmer)를 사용하는데 말이죠.”

브라우저측 스키머 혹은 클라이언트측 스키머는 공격자들이 활용하기에도 쉽고, 탐지도 쉽게 된다. 주로 전자상거래 사이트의 결제 페이지나 은행 정보를 기입하는 페이지에 심긴다. 보안 솔루션들도 이 페이지들에 개입하여 위협을 막을 수 있다. “악성 행위들은 늘 브라우저라는 컨텍스트 안에서 이뤄지기 때문에 차단이 그리 어렵지 않습니다.” 세구라의 설명이다.

그렇다면 서버측 스키머는 어떨까? 브라우저에 악성 코드가 직접 심기지 않는다. 데이터가 유출되는 건 브라우저가 아니라 서버에서다. 그렇기 때문에 엔드포인트 기계에서 악성 행위를 탐지하려고 했을 때, 보이는 게 전혀 없게 된다. 보이는 게 없으니 차단할 수도 없다. “공격자들 입장에서는 정말 효과적이죠. 다만 피해자의 서버에까지 도달한다는 게 쉽지는 않습니다. 아무나 할 수 없는 공격이라는 겁니다.”

현재 ‘웹 스키밍’ 공격이라고 하면, 보통 클라이언트 측면에서의 위협 행위를 말한다. 브라우저나 클라이언트를 노리는 스키머는 쉽게 구할 수 있고, 사용과 조작의 난이도도 낮기 때문이다. “그래서 웹 스키밍 공격을 하려는 ‘초보 공격자’들이 최근 급증하고 있죠. 반대로 서버 측면에서의 스키밍 공격을 하려는 공격자들은 흔치 않습니다. 그런 툴들도 흔치 않고, 사용하는 것도 쉽지 않습니다.”

그러나 세구라는 앞으로 서버를 직접 노리는 스키머 행위가 늘어날 것이라고 예측한다. “공격자들의 기술력은 계속 발전하기 마련입니다. 지금은 서버측 스키머를 활용하는 게 어려워보여도, 얼마 지나지 않아 보편화 될 것입니다. 공격이라는 게 늘 그래왔어요. 서버에 대한 보안과 탐지 솔루션도 생각해야 할 시점입니다.”

3줄 요약
1. 메이지카트라는 상위 범죄 그룹 내에서 코발트 그룹의 흔적 발견됨.
2. 메이지카트를 구성하는 많은 단체 속에서도 군계일학처럼 눈에 띄는 4번째 단체.
3. 아직은 독보적이지만, 곧 많은 단체들이 따라잡을 것. 서버 조심해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/AR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제