본문 바로가기 주메뉴 바로가기 검색 바로가기
인포스틸러 멀웨어, 전 세계 계정 패스워드 ‘이렇게’ 탈취했다
상태바
인포스틸러 멀웨어, 전 세계 계정 패스워드 ‘이렇게’ 탈취했다
인포스틸러 멀웨어가 계정 수백만 개의 패스워드, 쿠키, 검색 기록을 탈취했다. 해커의 정보 탈취 노다지이자 공격 표적이 된 이들에게는 재앙이다.
By LILY HAY NEWMAN, MATT BURGESS, WIRED US

지난 2개월간 사이버 범죄 세력은 티켓마스터(Ticketmaster), 스탠다더뱅크(Santander Bank), AT&T 등 복수 주요 기업 고객 수억 명의 기록을 판매한다고 광고했다. 대규모 데이터 유출 사태는 지금까지 10년 이상 발생했으나 최근의 데이터 유출 사태는 모두 관련성이 있다는 점에서 심각하다. 피해 기업 모두 클라우드 데이터 저장소 기업 스노우플레이크(Snowflake)의 고객사이면서 교묘한 해킹 작전이 아닌 해커가 피해 기업의 스노우플레이크 계정 로그인 정보를 확보한 뒤 피해가 발생했다. 결국, 스노우플레이크 고객사 최소 165곳이 데이터 탈취 피해를 겪었다.

공격자는 스노우플레이크나 공급망 공격 표적을 통해 로그인 정보를 대거 탈취하지 않았다. 인포스틸러(infostealer) 멀웨어가 위험한 방식으로 수집한 탈취 데이터를 혼합하여 민감 정보를 찾아냈다.

인포스틸러 멀웨어는 몇 년간 실행된 후 심각한 피해를 초래했다. 종종 불법 복제 소프트웨어 다운로드를 통해 사용자의 기기에서 발견하게 되는 인포스틸러는 사용자 명칭과 패스워드, 쿠키, 검색 기록, 금융 정보를 포함하여 웹 브라우저에서 다양한 정보를 탈취할 수 있다. 인포스틸러가 수집하는 데이터는 갈수록 많은 해커가 기업 보안 침입 목적으로 이용한다. 이에, 사이버 보안 전문가 사이에서는 대규모 피해를 초래하는 데이터 침해가 추가로 발생할 가능성 경고가 잇따른다.

구글 소유 사이버 보안 기업 맨디언트(Mandiant) 최고 기술 책임자 찰스 카마칼(Charles Carmakal)은 “국가 주도 사이버 범죄 조직과 개인 사이버 범죄자가 인포스틸러를 악용하는 사례, 심지어 10대 해킹 조직원이 인포스틸러를 악용한 사례를 보았다”라고 설명했다. 러시아 해커 조직 APT29와 사이버 범죄 조직 Lapsus$, 스캐터드 스파이더(Scattered Spider) 등이 인포스틸러를 동원한 해킹 공격을 개시한 것으로 알려졌다. 크라우드스트라이크(CrowdStrike) 사태로 전 세계 전산망 장애가 발생하자 혼란스러운 상황을 악용하고자 하는 새로운 인포스틸러가 등장했다.

인포스틸러는 기술적 역량보다는 악성 해커 생태계에서의 역할로 더 널리 알려졌다. 물론, 최소한의 기술 역량이 필요하며, 정보를 탈취하도록 설계되었다. 그러나 인포스틸러를 감시나 피해 기관의 데이터 침해 작전에 이용하는 스파이웨어나 멀웨어와 구분하는 요소는 기회에 따라 무차별적으로 확산된다는 점이다. 인포스틸러는 결과적으로 감염된 컴퓨터의 브라우저 활동 데이터 무엇이든 수집한다. 이후 인포스틸러를 실행하는 공격자는 탈취 데이터를 압축하고는 혼란과 주로 임의의 데이터 모음을 형성한다. 주로 마켓플레이스나 텔레그램 채널과 같은 공개 포럼에서 진행된다. 인포스틸러 운영자나 고객이 다량의 불필요한 데이터 속에서 다량으로 탈취한 가치가 높은 신원 정보와 액세스 토큰을 샅샅이 찾는다. 보안 기업 플래시포인트(Flashpoint) 연구 분석 소장 이안 그레이(Ian Gray)는 현재 온라인에 퍼진 인포스틸러 종류가 수백 가지에 이를 것으로 예측한다.

여러 유형의 사이버 범죄자가 가장 분명한 가치를 지녔다고 보는 액세스 토큰 종류가 몇 가지 존재한다. 다량의 탈취 데이터 수집 정보 중 기업 직원의 기업 계정 로그인 상세 정보가 있다면, 랜섬웨어 조직이나 비즈니스 메일 보안 침해 스캠 세력, 국가 주도 해커 등은 기업 계정 로그인 정보를 공격 개시 시작점으로 이용할 수 있다. 인포스틸러 실행자는 우선순위가 높은 상세 정보 판매 행위 외에도 단순히 탈취 데이터에 접근하도록 하는 방식으로도 수집한 데이터의 가치를 최대치로 높일 수 있다. 2023년, 법률 집행 기관이 폐쇄한 플랫폼인 제네시스 마켓(Genesis Market)이나 러시아 마켓(Russian Market) 등과 같은 플랫폼은 인포스틸러 기록을 정리하여 정보 검색이 가능하도록 하여 틈새 기관을 노리는 해커나 금전이 아닌 다른 목적으로 공격을 개시하는 해커가 필요한 정보를 정확히 찾도록 한다.
 
[사진=Pixabay]
[사진=Pixabay]

탈취 데이터 공개 플랫폼은 개설 과정에서 합법적인 정보와 전자상거래 서비스 설계 및 홍보 방식을 통해 단서를 얻었다. 탈취 데이터 공개 플랫폼 다수는 플랫폼 접근 구독료를 청구하고, 데이터 가치에 따라 차등 책정된 가격 구조를 제시한다. 그레이 소장은 러시아 마켓이 제공하는 탈취 데이터 대부분 인포스틸러를 이용하여 수집한 데이터이며, 종류를 떠나 데이터 하위 범주를 다운로드하고자 하는 사용자에게 보통 10달러 이상인 저렴한 청구 비용을 청구했다고 전했다.

그레이 소장은 “훌륭한 보안 수준을 갖추어 많은 직원이 사이버 보안을 더 능숙하게 다룰 수 있는 기관은 해커 세력의 이상적인 데이터 탈취 표적이 아니다. 따라서 공격자는 비교적 공격 표적이 되지 않은 데다가 더 많이 활용할 수 있는 바를 바탕으로 데이터 탈취 대상을 선정할 필요가 있다고 판단한다. 인포스틸러는 모듈형 멀웨어이면서 종종 구독 서비스 기반으로 판매된다. 영상 스트리밍과 같은 현대 구독 서비스가 증가하면서 인포스틸러 구독 서비스도 진화할 수 있다”라고 분석했다.

인포스틸러는 원격 근무와 원격 근무 및 사무실 출근을 병행한 하이브리드 근무 방식이 증가한 뒤 유독 더 심각한 피해를 낳았다. 많은 기업이 직원에게 개인 기기와 업무용 기기의 개인 계정을 이용한 업무용 서비스 접근을 허용했기 때문이다. 결국, 인포스틸러 멀웨어가 피해자의 가정용 컴퓨터 등 개인 기기에서 임의로 개인 보안을 공격하면서도 기업 접근 민감 정보를 손에 넣게 되었다. 개인 기기 사용자가 업무 시스템에도 일부 접속한 기록이 남았기 때문이다. 직원이 개인 이메일이나 SNS 계정을 열 수 있을 때는 인포스틸러 멀웨어가 엔터프라이스 기기에서도 기업의 보안 장벽을 우회하는 일이 수월해졌다.

카마칼은 “2020년경 가정용 컴퓨터 보안 침해에서 시작된 기업 보안 공격 사례를 접하기 시작했다. 보통 기업과는 전혀 관련성이 없는 직원 개인의 야후, 지메일, 핫메일 등 개인 이메일 계정 피싱 공격으로 기업 계정을 데이터 탈취 표적으로 삼았다. 직원 개인의 이메일 피싱을 이용한 기업 데이터 탈취 수법이 매우 기회주의적이라고 판단했다”라고 설명했다.

보안 기업 KELA 위협 연구 소장 빅토리아 키빌레비치(Victoria Kivilevich)는 간혹 사이버 범죄자가 사이버 범죄 시장에서 잠재적 피해자의 도메인을 검색하고, 데이터 탈취 시 이용할 만한 자격 정보가 있는가 찾아본다는 점에 주목했다. 키빌레비치 소장은 인포스틸러 데이터 판매를 잠재적 피해자의 상세 정보를 찾는 랜섬웨어 조직, 비즈니스 이메일 보안 침해, 다른 사이버 범죄 세력과 함께 상세 정보를 판매하는 초기 접근 데이터 중개 거래자까지 다양한 유형의 사이버 공격 공급망으로 볼 수 있다고 전했다.

키빌레비치 소장은 텔레그램 내 여러 사이버 범죄 마켓플레이스에서 스노우플레이크 계정과 관련성이 있는 보안 침해가 발생한 자격 정보 7,000개 이상 공유된 사실을 확인했다. 키빌레비치 소장이 분석한 실제 사례 중 어느 한 사이버 범죄자가 교육 분야 기업 41곳의 접근 정보를 공유한 사례도 있었다. 혹은 다른 사이버 범죄자가 최소 5억 달러, 최고 80억 달러 상당의 매출을 달성한 미국 기업 여러 곳의 접근 정보를 판매한 사례도 있었다.

키빌레비치 소장은 인포스틸러 기록 제공이 기업에 제기하는 위협을 언급하며, “그동안 KELA를 찾은 고객사 중 인포스틸러 멀웨어 피해를 겪은 계정이 없는 기업은 단 한 곳이었다”라고 말했다. 이어서 KELA가 2023년, 인포스틸러 관련 활동이 급격히 증가한 사실을 발표했다고 덧붙였다. KELA 최고 연구 책임자 이리나 네스트레브스키(Irina Nesterovsky)는 인포스틸러가 최근 몇 년간 민감 접근 정보 수백 개를 수집했을 것으로 보며, “실제 심각한 위협 요인이다”라고 언급했다.

카마칼은 기업과 개인 모두 여러 가지 단계로 인포스틸러의 위협, 인포스틸러의 데이터 탈취 피해 이후 스스로 데이터를 보호할 수 있다고 안내했다. 대표적인 예시로 바이러스 방지 프로그램이나 EDR 제품을 활용하여 악성 활동을 탐지하는 방법을 택할 수 있다. 또, 기업은 모든 기업 계정 접속자를 대상으로 다중 인증 방식을 엄격하게 시행해야 한다. 카마칼은 “맨디언트는 고객에게 기업 기기 계정과 개인 기기 계정 패스워드를 절대로 동기화하지 않도록 설득한다”라고 덧붙였다.

인포스틸러 멀웨어를 악용한 사이버 공격으로 지금까지 다량의 데이터 탈취가 가능했으나 사이버 범죄 세력은 스노우플레이크의 보안 침해 사례 성공을 반복하고, 복수 고객사 데이터 접근 진입 지점으로 이용할 다른 엔터프라이스 소프트웨어 서비스를 노릴 더 교묘한 수법을 찾아야 한다. 카마칼은 앞으로 몇 달 후면 데이터 보안 침입 피해 사례가 추가로 발생할 것으로 예상한다고 경고했다. 그는 “인포스틸러 멀웨어가 추가 피해를 일으킬 것이라는 예측은 확실하다. 사이버 공격 세력은 인포스틸러 기록을 찾는 데 혈안이 될 것이며, 계정 정보 접근 및 데이터 탈취 시도를 위해 스노우플레이크와 유사한 다른 SaaS 공급사를 찾고는 해당 공급사의 고객사 데이터를 탈취할 것이다”라고 전했다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
How Infostealers Pillaged the World’s Passwords
이 기사를 공유합니다
RECOMMENDED