Home > Security

다크웹의 접근 권한 브로커들, 방어자들에게 중요한 힌트 주는 존재

  |  입력 : 2021-08-04 17:25
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
요즘 공격자들은 최초 침투부터 멀웨어 심기, 피해자와의 협상 등의 모든 과정을 손수 하지 않는다. 단계별 전문가들을 다크웹에서 만나 동업한다. 그 중 최초 침투만을 전문으로 하는 브로커들이 있는데, 이들은 어느 정도 ‘기상 예보’와 같은 존재들이라고 한다.

[보안뉴스 문가용 기자] 다크웹에는 여러 가지 ‘상인’들이 존재한다. 이 중 기업이나 기관에 대한 접근 경로만을 파는 자들도 존재한다. VPN 크리덴셜이나 RDP 서버 크리덴셜을 판매하는 것이 보통인데, 평균 1천 달러 정도 수준에 거래된다는 연구 보고서가 오늘 발표됐다. 누군가 다크웹에서 1천 달러 정도만 내면 어느 조직에나 접근할 수 있다는 것이다.

[이미지 = utoimage]


물론 큰 조직들에 대한 접근 권한은 좀 더 비싸다고 한다. 지난 1년 동안 이 시장을 추적해 온 보안 업체 켈라(KELA)에 의하면 “예를 들어 한 해 수익이 5억 달러 이상인 한 호주 회사의 경우 접근 권한이 46만 달러에 달했다”고 한다. “한 멕시코 정부 기관의 경우 접근 권한이 10만 달러 정도에 거래됐습니다.” 평균을 훌쩍 뛰어넘는 수치다.

거대 조직에 대한 접근 권한이 아니라면 비교적 싼 가격에 거래가 이뤄져서일까. 지난 한 해 동안 접근 권한 판매상들이 전체적으로 줄어들었다고 켈라의 위협 분석가 빅토리아 키빌레비치(Victoria Kivilevich)는 말한다. “하지만 그렇다고 접근 권한을 확보하는 유형의 공격자들의 행위가 중단됐다고 보기는 힘듭니다. 오히려 이 ‘접근 권한’ 시장이 좀 더 전문화 되고 있다고 저희는 해석하고 있습니다. 다른 범죄 단체와 전속 계약을 맺는다든가, 좀 더 비밀리에 은밀한 거래를 하는 식으로 말입니다.”

이렇게 접근 권한을 전문적으로 파는 상인을 켈라는 IAB라고 부른다. ‘최초 접근 브로커(initial access broker)’라는 뜻이다. “IAB가 정말로 전문화의 길을 걷고 있는 거라면, 사이버 범죄 시장이 세분화 되는 방향으로 발전하고 있다고 봐도 됩니다. 최초 침투를 전문으로 하는 자들, 멀웨어를 개발하는 자들, 파트너를 모집하는 자들, 실제 공격을 실시하는 자들 등으로 나뉜다는 거죠. 자기 분야에만 더 집중할 수 있으니 공격이 더 매서워지고 방어가 더 어려워질 거라는 뜻도 됩니다. 자기가 부족한 부분을 돈으로 메울 수 있으니 공격 난이도가 내려가기도 하고요.”

그렇다면 IAB가 접근 권한을 시장에 내놓을 경우, 해당 기업은 곧 공격을 당하게 되는 걸까? 켈라는 아직 이 둘 사이(시장에 접근 권한이 나왔고, 공격이 실제로 발생한다)의 명확한 연관성을 파악하는 중이라고 한다.

다만 지난 2월 다크사이드(DarkSide)라는 랜섬웨어 그룹이 미국의 한 기술 기업을 공격했는데, 해당 기업의 접근 권한을 1월에 한 IAB가 판매했던 적이 있었다. 3월에도 아바돈(Avaddon)이라는 랜섬웨어 그룹이 UAE의 회사 하나를 공격했었는데, 이 UAE 회사의 접근 권한도 2~3월 사이에 다크웹 시장에 나왔었다. 위에 언급된 멕시코 정부 기관의 경우 록빗(LockBit) 랜섬웨어의 공격에 당했었다. 관련성이 아주 없다고 하기는 어려운 상황이다.

네트워크로의 최초 침투는 주로 정상 크리덴셜을 통한 로그인 행위로 이뤄진다. 정상 임직원의 크리덴셜을 공격자가 손에 넣었을 경우에 이 같은 일이 일어난다. 그 외에 네트워크에 연결된 시스템의 취약점을 통해 침투하는 사례들도 존재한다. 키빌레비치는 “VPN 로그인 크리덴셜이나 RDP 서버 크리덴셜을 통한 접근이 가장 많이 이뤄진다”고 말한다. 파는 자에게나 사는 자에게나 로그인 크리덴셜이 가장 깔끔하기 때문이다. “그러나 다른 침투 방법도 얼마든지 있고, 활발히 거래됩니다.”

IAB 때문에 침해된 조직들 중 28%는 미국에 있는 것으로 분석됐다. 프랑스 조직은 6%, 영국과 호주 조직은 각각 4%, 캐나다 조직은 3.8%, 이탈리아 조직은 3.5%를 차지했다.

켈라는 이번 조사를 통해 새로운 트렌드를 발견할 수 있었다고 덧붙였다. IAB들이 욕심을 내기 시작했다는 것이다. “대부분 브로커들은 접근 권한을 누군가에게 넘겨주고 돈을 받는 것에 만족했습니다. 자기는 손을 직접 더럽히지 않겠다는 것이었죠. 그런데 일부 IAB들이 접근 권한을 팔기도 하고, 스스로 접근해 데이터를 가로챈 후 그 데이터를 되파는 모습을 보여주기도 했습니다. 한 파키스탄 항공사가 이런 식의 공격을 당했습니다.”

하지만 일부 IAB들은 꽤나 이색적인 모습을 보이기도 했었다. 다른 기업과 조직들에 대한 접근 권한은 팔아도 의료 시설과 병원들에 대한 접근 권한은 절대로 거래하지 않는 식이었다. 다크웹에서 활동하는 범죄자이긴 해도 스스로가 정해 둔 ‘선’을 지키려는 모습인 것으로 분석됐다.

켈라는 “이런 브로커들이 내놓는 상품을 잘 모니터링 하면 어느 정도 다음 공격을 예상할 수 있다”고 말한다. “물론 브로커들은 자신들이 파는 접근 권한이 어느 조직의 것인지 밝히지 않습니다. 그 정보는 돈을 내야만 볼 수 있어요. 그럼에도 이들을 모니터링하는 건 첩보 수집 차원에서 도움이 될 때가 많습니다. 크리덴셜을 활용한 접근인지, 시트릭스를 통한 접근인지, 어떤 프로그램 취약점을 통한 접근인지 검토한 후 여러 다른 힌트들을 모아 피해 기업을 특정할 수 있을 때가 종종 있거든요. 그럴 때는 그 조직에 미리 알려주기도 합니다.”

3줄 요약
1. 접근 권한만 전문적으로 파는 브로커들, 다크웹에서 평균 건당 1천 달러 벎.
2. 접근 권한 시장 자체는 줄어들고 있으나 더 전문화 된 브로커들이 비밀 거래 형태로 사업 이어감.
3. 욕심을 더 내는 브로커, 병원은 건드리지 않는 브로커 등 종류도 다양.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)