갈수록 정교해지는 링크드인 피싱 공격, 모어에그즈 백도어 유포 중

링크드인은 산업 분야별 소셜 엔지니어링 공격이 가능해 해커들 사이에서 인기가 높은 플랫폼이다. 얼마 전 특정 분야에 모어에그즈라는 백도어를 심기 위해 진행되고 있는 캠페인이 발견되기도 했었다. 심지어 파일레스 멀웨어라 탐지도 힘들다고 한다. 심층 방어가 필요하다.

[보안뉴스 문가용 기자] 링크드인 사용자들을 노리는 피싱 공격이 갈수록 정교해지고 있다. 링크드인이 구인구직을 위주로 한 소셜미디어 플랫폼이기 때문에, 특정 분야 전문가들을 겨냥한 공격을 할 수 있다는 측면이 공격자들에게 유리하게 작용한다. 최근에도 이러한 공격이 발견됐다고 보안 업체 이센타이어(eSentire)가 발표했다.

[이미지 = utoimage]

이번에 이센타이어가 발견한 공격 캠페인은 모어에그즈(More_eggs)라는 파일레스 백도어를 특정 사용자들에게 심기 위한 것이었다. 모어에그즈는 스크립트로 구성되어 있으며, 메모리에서만 실행이 된다. 실행이 된 후에는 다양한 시스템 기능들을 호출함으로써 공격 표적의 컴퓨터를 침해한다. 최신 버전의 경우, 악성 집(ZIP) 아카이브를 활용하기도 한다. 이 아카이브 내에는 악성 LNK 파일이 포함되어 있는 것으로 분석됐다.

공격 배후에 있는 건 골든치킨스(Golden Chickens)라고 이름이 붙은 그룹으로 추정된다. 이센타이어의 위협 분석 수석 국장인 롭 맥리오드(Rob McLeod)는 “공격자들은 점점 더 그럴듯한 미끼를 만들기 시작했다”고 경고한다. “본질 상 이들의 공격 행위나 기술이 새롭지는 않습니다. 이미 수없이 목격해 온 유형의 공격이기도 합니다. 그래서 이들은 자신들의 기술을 대단한 노력으로 갈고 닦습니다. 그리고 정말 깜빡 속을만한 결과물들이 나옵니다.”

이번에 이센타이어가 발견한 캠페인 중 하나는 의료 분야와 수사 기관의 기술 전문가들을 노린 것이었다. 보안 업체 프루프포인트(Proofpoint)가 2019년 비슷한 보고서를 냈을 정도로 이러한 종류의 공격은 흔한 것이다. 당시에는 보다 오래된 버전의 모어에그즈가 활용됐었다. 공격자들은 피해자들의 링크드인 계정을 팔로우하고, 친분을 만든 뒤 다양한 첨부파일을 전송했었다. 실제 악성 파일을 보내기 전까지 1주일을 기다리기도 했다.

“몇 년 전만 해도 공격자들은 이러한 공격을 진행할 때 미끼나 멀웨어를 대량으로 살포하는 방식을 선호했습니다. 하지만 지금은 소수의 사람만을 노리는 고급 소셜 엔지니어링 공격을 통해 당하는 사람이 당하는 줄도 모르게 만들고, 고급 멀웨어를 사용해 탐지가 되지도 않도록 합니다.” 이미 프루프포인트의 2년 전 보고서에 언급된 내용이다.

그 때나 지금이나 공격자들이 특정 분야의 전문가들을 대상으로 모어에그즈라는 백도어를 심는 데에는 여러 가지 이유가 있을 수 있다. 이센타이어는 “접근 권한을 판매하기 위한 움직임”으로 예측하고 있다. “공격자들은 소셜엔지니어링을 통해 일부 표적들에 접근한 뒤 모어에그즈를 심어 공격 통로를 확보합니다. 그런 후에 이 공격 통로를 다른 해커들에게 판매하는 것이죠. 그래서 핀6(FIN6)이나 에빌넘(Evilnum), 코발트그룹(Cobalt Group) 등이 모어에그즈를 활용하는 것으로 분석되기도 했습니다.”

모어에그즈가 최근까지도 ‘버전 업’ 되어 나타났다는 건 파일레스 멀웨어가 공격자들 사이에서 계속해서 활용되고 또 계발되고 있다는 것을 뜻하기도 한다. 파일레스 멀웨어는 탐지가 매우 힘들기 때문에 인기가 높을 수밖에 없다. 지난 주 보안 업체 워치가드(WatchGuard)는 보고서를 통해 파일레스 멀웨어가 지난 해 보다 8배나 많이 발견되고 있다고 주장하기도 했었다.

맥리오드는 “이러한 공격(소셜미디어에서의 소셜 엔지니어링 공격 -> 백도어 감염 -> 백도어를 통해 다른 공격자의 악성 행위)을 막으려면 단순 솔루션 설치 이상의 ‘심층 방어 전략’이 필요하다”고 강조한다. “직원들의 소셜미디어 내 행동들에 대한 규정도 필요하고, 백도어를 탐지하는 솔루션도 필요하며, 비정상 행위에 대한 탐지 기술도 있어야 합니다. 피싱 교육만 한다고 되는 게 아니고, 백신만 설치한다고 되는 것도 아닙니다.”

그러면서 맥리오드는 “사용자 교육, 솔루션 설치, 규정 마련이 전부 이뤄져도 누군가는 뚫릴 수 있겠지만, 대부분의 경우 공격자가 모든 장치들을 무력화시키는 데 적잖은 노력이 요구되기 때문에 보다 쉬운 다른 표적들로 눈을 돌릴 수밖에 없다”며 “공격에 필요한 투자가 많아지도록 만드는 게 최선의 방어임을 기억하고 전략을 구성해야 한다”고 강조했다.

3줄 요약
1. 링크드인, 특정 분야의 인물들만 노릴 수 있어 피싱 공격자들에게 인기 많음.
2. 최근 모어에그즈라는 백도어를 심기 위한 캠페인이 링크드인에서 발견됨.
3. 백도어를 심은 후 다른 공격자에게 판매할 것으로 보임. 심층 보안 전략이 필요함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)