2019년 말부터 해커 세력이 주요 인기 유튜브 채널을 탈취했다. 간혹 탈취한 유튜브 채널로 암호화폐 사기 방송을 중계하기도 했고, 단순히 계좌 접근 권한을 거래하기만 한 적도 있다. 이제 구글이 사이버 범죄 조직 소속으로 채용된 해커가 2년간 유튜브 크리에이터 수천 개 채널 보안을 공격한 수법을 상세히 공개했다.
암호화폐 사기와 계정 탈취 자체는 드물게 발생하는 범죄가 아니다. 2020년 가을 트위터 해커의 공격 사례를 암호화폐 사기와 계정 탈취가 대규모로 혼란을 유발한 심각한 문제로 언급할 수 있다. 그러나 유튜브 계정을 겨냥한 공격으로 끊이지 않은 사실은 해커 세력의 범위와 공격 수법을 어렵지 않게 알아낼 수 있다. 그동안 유튜브에서 발견된 공격 수법 자체는 고전적인 방식이지만, 여전히 보안 예방이 매우 어렵다.
유튜브의 모든 공격의 시작점은 피싱이다. 해커 세력이 유튜브 크리에이터에게 VPN이나 사진 편집 앱, 바이러스 방지 프로그램 제공 등 실제 서비스처럼 보이는 이메일을 전송하고는 협업 요청을 한다. 해커 세력이 제안한 조건은 다음과 같은 홍보 합의사항의 표준이라고 볼 수 있는 내용이다. 바로 유튜브 구독자에게 해커 세력이 제공하는 서비스를 노출하면, 그에 따른 보상을 지급하는 것이다. 인플루언서의 금전적 보상 지급이 활발하게 이루어지는 산업인 유튜브 인플루언서 활동에서 늘 이루어지는 거래이다.
그러나 해커가 제안한 상품 링크를 클릭하여 다운로드한 뒤에는 실제 거래 사이트가 아닌 멀웨어 설치 사이트로 연결된다. 간혹 해커 세력은 시스코 VPN(Cisco VPN), 스팀(Steam) 게임 등 익히 알려진 서비스 특성을 사칭하거나 코로나19를 집중적으로 다루는 언론 기관으로 위장한다. 구글은 현재까지 유튜브 크리에이터가 인지하지 못한 멀웨어 감염 목적으로 제작된 도메인 1,000개 이상 발견했다. 구글이 지금까지 발견한 도메인 수만 보더라도 크리에이터를 겨냥한 공격 범위를 암시한다. 구글은 유튜브 크리에이터를 겨냥한 사기 행위의 배후에 있는 해커 세력과 관련된 이메일 계정 1만 5,000여 개도 발견했다. 지금까지 보고된 공격은 여러 조직이 개시한 것으로 보인다. 구글은 여러 해커 세력이 러시아어 포럼에서 계정 탈취 서비스 광고를 게재한 사실을 전했다.
우연히 악성 소프트웨어를 다운로드하면, 악성 소프트웨어가 피해자 브라우저에서 특정 쿠키를 수집한다. 해커 세력이 손에 넣은 ‘세션 쿠키’는 사용자가 정상적으로 계정에 로그인한 사실을 확인한다. 해커는 탈취된 세션 쿠키를 다운로드하여 악성 서버에 게재하고는 해커가 이미 인증된 피해자로 위장하도록 한다. 세션 쿠키가 해커 세력에게 특히 귀중한 이유는 로그인 과정의 모든 부분을 검색할 수 있기 때문이다. 막강한 공격 수법을 사용할 수 있을 때, 공격 감지 위험성이 높은 공간에 민감 정보를 비밀리에 입력할 필요가 있을까?
[사진=Unsplash]
쿠키 탈취 수법을 연구한 일리노이즈대학교 시카고캠퍼스 소속 컴퓨터 과학자인 제이슨 폴라키스(Jason Polakis) 박사는 “이중 인증 제도와 같은 추가 보안 메커니즘이 해커 세력에게 상당한 공격 장벽을 세울 수 있다. 세션 쿠키 탈취는 해커 세력에게 브라우저 쿠키를 매우 가치 있는 자원으로 만든다. 추가 보안 점검 사항을 피하고 로그인 과정에 적용되는 보안 방어 활동을 피하고 공격을 개시할 수 있기 때문이다”라고 말했다.
쿠키 확보 수법은 사이버 공격 세력이 10년 넘게 악용해왔으나 여전히 공격 성공률이 높다. 구글은 해커 세력이 쿠키 확보 수법으로 상용화되지 않은 오픈소스 멀웨어 툴 약 12가지로 피해자 기기에서 브라우저 쿠키를 탈취한다는 사실을 관측했다. 쿠키 확보에 동원되는 해킹 툴 상당수는 계정 비밀번호도 탈취한다.
폴라키스 박사는 “계정 탈취 공격은 여전히 기승부리는 위협 요소이다. 해커 세력이 무수히 많은 방식으로 보안이 침해된 계정을 최대한 악용하기 때문이다. 해커 세력은 보안 공격이 발생한 이메일 계정을 이용해 사기와 피싱 공격을 널리 유포한다. 혹은 탈취한 세션 쿠키를 악용해 피해자 금융 계좌에서 현금을 몰래 사용하기도 한다”라고 설명했다.
구글은 쿠키 탈취 활동과 관련된 특정 사건을 확인시켜주지 않았다. 다만, 2020년 8월, 탈취 공격이 눈에 띄게 급증했다. 당시 해커 세력은 팔로워 수십만 명의 계정을 가로채고는 해킹한 채널 명칭을 ‘일론 머스크’, ‘스페이스X’ 등과 관련된 이름으로 바꾸어 비트코인 무료 지급 사기를 생중계했다. 지금까지 해커 세력이 비트코인 무료 지급 사기로 갈취한 자산 규모는 확실하게 알려지지 않았으나 그동안 공격 행위가 매우 만연했던 것을 고려하면, 어느 정도 규모의 자산 탈취에 성공한 것으로 추정된다.
비트코인 지급 사기와 같은 유튜브 계정 탈취는 2019년부터 2020년까지 급격히 증가했으며, 구글은 여러 보안팀을 모으고는 문제 해결에 나섰다고 밝혔다. 구글은 2021년 5월부터 지메일에서 피싱 메일 99.6%를 잡고, 메시지 16억 개와 악성 파일 2,400개를 차단하면서 피싱 페이지 6만 2,000곳을 경고함과 동시에 피해 계정 4,000개를 무사히 복구했다고 발표했다. 현재, 구글은 해커 세력이 구글의 피싱 감지를 피하고자 지메일이 아닌 aol.com, email.cz, seznam.cz, post.cz 등 다른 메일을 사용하는 크리에이터로 공격 대상을 바꾼 사실을 관측했다. 또, 왓츠앱과 텔레그램, 디스코드 등 구글 피싱 감지 범위에서 벗어난 다른 플랫폼으로 공격 표적을 다시 지정하기 시작한 사실도 드러났다.
구글 위협 분석 그룹(Google TAG)은 공식 블로그를 통해 “해커 세력이 탈취한 채널 상당수가 암호화폐 사기 생중계 방송으로 바뀌었다. 채널 명칭과 프로필 사진, 콘텐츠 모두 암호화폐 브랜드로 변경돼, 테크 업계 대기업이나 암호화폐 거래소로 위장한다. 해커 세력의 생중계 영상은 초기 기여금을 건네면, 암호화폐를 지급한다고 약속한다”라고 설명했다.
이중 인증 제도로 멀웨어 기반 쿠키 탈취를 막을 수 없지만, 다른 사기와 피싱 유형 피해가 발생하지 않도록 보호하는 데 중요하다. 구글은 11월 1일(현지 시각)부터 자체 채널로 경제적 이익을 거둔 유튜브 크리에이터 전원에게 유튜브 스튜디오(YouTube Studio)나 유튜브 스튜디오 콘텐츠 메니저(YouTube Studio Content Manager) 등과 관련된 구글 계정의 로그인 방식을 이중 인증 제도로 전환하도록 요청할 예정이다. 또, 악성 페이지일 위험성을 지닌 구글의 ‘세이프 브라우징(Safe Browsing)’ 경고에 주목하는 것도 중요하다. 그리고, 항상 이메일을 통해 클릭하는 링크와 다운로드 파일에 유의해야 한다.
유튜브 시청자에게 건넬 수 있는 조언은 더 간단하다. 만약, 가장 좋아하는 유튜브 채널이 신뢰하기에는 매우 좋은 듯한 조건으로 암호화폐 거래를 홍보한다면, 사기를 의심하고는 당장 해당 영상을 종료하라.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Unsplash]](/news/photo/202110/3481_4590_1947.jpg)
뉴스레터 신청