Home > 전체기사
유명 범죄 단체 메이지카트, 코발트 그룹을 품고 있었다
  |  입력 : 2019-10-08 11:06
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
최소 7개 범죄 단체로 구성된 메이지카트...4번째 그룹은 코발트 그룹인 듯
뛰어난 기술력으로 눈에 띄고 있어...고난이도 공격 기술, 조만간 보편화 될 것


[보안뉴스 문가용 기자] 보안 전문가들이 메이지카트(MageCart)라는 사이버 범죄 단체 내 4번째 그룹(Group 4)이 2015년부터 금융 산업을 상대로 범죄를 펼쳐온 해킹 단체인 코발트 그룹(Cobalt Group)일지도 모른다는 사실을 밝혀냈다.

[이미지 = iclickart]


먼저 메이지카트란, 최소 7개의 독립적인 사이버 범죄 단체가 뭉쳐있는 ‘상위 그룹’으로, 전자상거래가 진행되는 웹사이트에 스키머를 설치하는 것을 주력으로 하고 있다. 즉, 지불 카드 정보를 훔치는 것이 메이지카트의 주된 목적이라는 것이다. 영국항공과 티켓마스터(Ticketmaster) 등 유명 사이트가 당하면서 메이지카트는 전 세계적이 주목을 받게 되었다.

사이버 보안 분야의 전문가들은 메이지카트에 소속된 각 하위 그룹들이, 이미 이전부터 활동해온 범죄 단체가 아닐까 하여 추적 중에 있다. 먼저는 보안 업체 리스크아이큐(RiskIQ)와 플래시포인트(Flashpoint)가 이러한 의심을 품고 추적을 시작했다. 여기에 IBM도 합류해 “메이지카트의 6번째 그룹은 핀6(FIN6)”라고 발표했다. 그러더니 보안 업체 멀웨어바이츠(Malwarebytes)와 하이야스(HYAS)가 “4번째 단체가 코발트 그룹”이라고 지목한 것이다.

그룹 4(Group 4)라고 알려진 메이지카트의 4번째 단체는, 메이지카트에 속한 여러 단체들 중 꽤나 향상된 기술을 보유하고 있다. 평범한 트래픽에 자신들의 공격을 녹여내기 위해 여러 가지 교묘한 수법을 사용하기도 한다. 또한 은행가를 노리는 멀웨어를 개발하고 사용해온 이력이 있는 것으로 보이기도 한다. 뱅킹 멀웨어는 코발트 그룹과 핀7의 전문 영역이기도 하다.

멀웨어바이츠의 위협 첩보 수석인 제롬 세구라(Jerome Segura)는 “그룹 4는 기술력에 있어서 독보적인 위치에 있었고, 그렇기 때문에 다른 그룹들과는 다르다는 걸 처음부터 볼 수 있었다”고 말한다. “평범하게 해킹으로 돈을 벌고자 하는 이런 저런 단체들과는 달랐어요. 오랜 역사와 경험을 축적시켜 온 단체만이 보여줄 수 있는 면모를 여럿 가지고 있었죠.”

뛰어난 실력과 뱅킹 멀웨어와 연루된 이력, 멀웨어바이츠와 하이야스의 전문가들은 곧바로 APT 그룹들을 떠올렸다. 그리고 메이지카트의 단체들이 사용한 각종 인프라의 힌트를 찾기 위해 노력했다. 도메인 등록, IP 위치 등도 추적 대상이었다. 그런 여러 가지 정보의 조각들을 맞춘 끝에, 코발트 그룹이 웹 스키밍으로 전략을 수정했을지도 모른다는 결론에 이르렀다.

“클라이언트에서 심기는 스키머 도메인과 서버에 심기는 스키머 도메인 모두 한 개의 프로톤메일 주소와 연결되어 있었습니다. 이 주소는 예전에 리스크아이큐가 그룹 4와 관련이 있다고 밝혀냈던 주소입니다.” 멀웨어바이츠와 하이야스는 탈출 게이트(정보를 빼돌리는 곳)를 확인하면서 또 다른 이메일 주소들을 찾아냈다. 전부 메이지카트의 4번째 그룹과 관련이 있는 것이었다.

그런데 메일 주소들에는 일정한 패턴이 있었다. ‘이름-이니셜-성’으로 메일 주소가 만들어진 것이었다. 이는 코발트 그룹이 사용하는 프로톤메일 계정들과 같았다. 또한 코발트 그룹가 4번째 그룹은 같은 프라이버시 보호 옵션을 사용하고도 있었다. “모든 도메인들에 같은 프라이버시 서비스를 적용하고 있었고, 그렇기에 이메일 주소를 이름 붙이는 방법이 모든 공격 단체들 사이에서 공유되지 않았을 겁니다. 코발트 그룹과 메이지카트 인프라에 모두 등록된 자들만 같은 패턴으로 이메일 이름을 붙일 수 있는 것이죠. 둘이 같은 자들일 가능성이 높습니다.”

그 외에도 멀웨어바이츠는 PHP 스크립트를 하나 발견해낼 수 있었다. 그룹 4가 공격을 진행하던 도중에 실수로 흘린 것 같았다. “공격자들의 서버에 도달하지 않는 한 발견할 수 없는 종류의 소스코드가 포함되어 있었습니다. 스크립트는 서버측 스키머(server-side skimmer)였습니다. 메이지카트는 주로 브라우저측 스키머(browser-side skimmer)를 사용하는데 말이죠.”

브라우저측 스키머 혹은 클라이언트측 스키머는 공격자들이 활용하기에도 쉽고, 탐지도 쉽게 된다. 주로 전자상거래 사이트의 결제 페이지나 은행 정보를 기입하는 페이지에 심긴다. 보안 솔루션들도 이 페이지들에 개입하여 위협을 막을 수 있다. “악성 행위들은 늘 브라우저라는 컨텍스트 안에서 이뤄지기 때문에 차단이 그리 어렵지 않습니다.” 세구라의 설명이다.

그렇다면 서버측 스키머는 어떨까? 브라우저에 악성 코드가 직접 심기지 않는다. 데이터가 유출되는 건 브라우저가 아니라 서버에서다. 그렇기 때문에 엔드포인트 기계에서 악성 행위를 탐지하려고 했을 때, 보이는 게 전혀 없게 된다. 보이는 게 없으니 차단할 수도 없다. “공격자들 입장에서는 정말 효과적이죠. 다만 피해자의 서버에까지 도달한다는 게 쉽지는 않습니다. 아무나 할 수 없는 공격이라는 겁니다.”

현재 ‘웹 스키밍’ 공격이라고 하면, 보통 클라이언트 측면에서의 위협 행위를 말한다. 브라우저나 클라이언트를 노리는 스키머는 쉽게 구할 수 있고, 사용과 조작의 난이도도 낮기 때문이다. “그래서 웹 스키밍 공격을 하려는 ‘초보 공격자’들이 최근 급증하고 있죠. 반대로 서버 측면에서의 스키밍 공격을 하려는 공격자들은 흔치 않습니다. 그런 툴들도 흔치 않고, 사용하는 것도 쉽지 않습니다.”

그러나 세구라는 앞으로 서버를 직접 노리는 스키머 행위가 늘어날 것이라고 예측한다. “공격자들의 기술력은 계속 발전하기 마련입니다. 지금은 서버측 스키머를 활용하는 게 어려워보여도, 얼마 지나지 않아 보편화 될 것입니다. 공격이라는 게 늘 그래왔어요. 서버에 대한 보안과 탐지 솔루션도 생각해야 할 시점입니다.”

3줄 요약
1. 메이지카트라는 상위 범죄 그룹 내에서 코발트 그룹의 흔적 발견됨.
2. 메이지카트를 구성하는 많은 단체 속에서도 군계일학처럼 눈에 띄는 4번째 단체.
3. 아직은 독보적이지만, 곧 많은 단체들이 따라잡을 것. 서버 조심해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)