법조인들에 대한 막연한 신뢰감을 악용하려는 공격 캠페인이 발견됐다. 이들은 순식간에 치고 빠져, 최대한의 효과를 누리고 있다. 게다가 인공지능 기술까지도 적극 활용하는 모양새다. 주의가 필요하다.

[보안뉴스 문가용 기자] 로펌을 사칭한 사이버 범죄자들이 여러 기업들을 속이는 데 성공했다. 속은 기업들은 최초 접근용 멀웨어를 다운로드 받았고, 공격자들은 이 멀웨어를 통해 추가 공격을 이어갔다. 이를 추적한 보안 업체 블루보얀트(BlueVoyant)는 공격자들을 나르왈스파이더(Narwhal Spider)라고 부르고 있다. 하지만 다른 업체들은 TA544나 스톰0302(Storm-0302) 등으로도 부른다. 보안 업계에서는 잘 알려진 조직이다.

법률 업체를 사칭하는 공격자들, 다국어로 피싱 메일 흩뿌리는 중

[이미지 = gettyimagesbank]

약 2주 전인 3월 7일 나르왈스파이더는 대규모 피싱 공격을 실시했다. 법률 회사의 인보이스처럼 꾸며진 PDF 파일 안에 멀웨어를 숨기고 대량으로 퍼트린 것이다. 블루보얀트의 수석 보안 연구원인 조슈아 그린(Joshua Green)은 “이들은 빠른 시간 안에 치고 빠지는 전략을 잘 구사한다”고 평가한다. “인프라를 구성하고 피싱 메일을 최대한 빠르고 광범위하게 퍼트린 후 인프라까지 다 접어버립니다. 그리고 다음 공격을 처음부터 실시하죠.”

가짜 인보이스
현재 나르왈스파이더의 모든 피싱 공격은 악성 PDF 파일로부터 시작된다. 법률 서비스에 대한d 인보이스처럼 보이게 꾸며진 문건이다. 파일 이름은 보통 ‘Invoice_번호_from_법률 회사 이름.pdf’와 같은 구조로 되어 있다. 얼른 보면 속기 쉬운 형태로 구성되어 있는 것이다. 또한 여러 가지 언어로 이 인보이스가 발견되고 있기도 하다.

“식상할 수 있는 공격 수법입니다만, 안정적인 성공률을 보이는 수법이라 아직도 공격자들 사이에서 사랑받는 것입니다. 게다가 일반인들은 법률 서비스의 인보이스를 받아볼 상황이 흔치 않습니다. 그래서 법률 회사의 인보이스 내용이 궁금할 수 있습니다. 그 궁금증을 못 이겨 열어보는 사례도 꽤 될 것으로 보입니다.”

공격자들은 다양한 워드프레스 사이트들을 C&C 목적으로 활용하고 있기도 하다. 이 중에는 지난 해 보안 업체 프루프포인트(Proofpoint)가 발견한 다운로더인 위키로더(WikiLoader)와 관련이 있는 사이트도 포함되어 있었다. 하지만 이번에 나르왈스파이더는 위키로더가 아니라 렘코스랫(Remcos RAT)과 시스템비씨랫(SystemBC RAT), 고지(Gozi) 등을 주로 활용하고 있다. 최근에는 아이스드아이디(IcedID)를 활용하려는 흔적도 나타나고 있으나 아직 확실하지는 않다.

방어를 위해 조직들이 해야 하는 일
과거 나르왈스파이더는 주로 이탈리아의 조직들을 공격해 왔다. 하지만 작년 말부터 이탈리아 외의 지역에서도 공격을 진행하고 있는 모습이 발견되기 시작했다. 그렇기 때문에 이제는 어떤 나라라도 나르왈스파이더의 공격에 대비해야 한다고 그린은 강조한다. “실제로 3월 7일에 발생한 공격의 경우 캐나다와 유럽의 조직들이 주요 표적이었던 것으로 분석되고 있습니다.”

이들의 활동 범위가 확대된 데에는 인공지능의 역할이 컸던 것으로 분석되고 있다. 이탈리어만이 아니라 다양한 언어들로 공격을 구사하고 있는데, 인공지능의 번역 기능을 적극 활용한 것으로 밝혀지기도 했다. 그래서 그린은 “수상한 법률 회사의 메일과 파일을 받았을 경우, 번역체를 잘 살피라”고 귀띔한다. “예전에 비해서 인공지능의 번역 기능이 발전하긴 했지만, 아무리 그래도 사람이 직접 메일을 작성하는 것과는 다릅니다. 이런 문서가 돌아다니고 있으니 주의하라고 직원들을 교육하는 것도 중요합니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>