제품문의

02-6011-1377

보안관제센터

02-6011-2337

FAX

02-463-1376

E-mail

iamguide
@cmtinfo.co.kr

보안공지

공지사항

페이스북 플랫폼에서 벌어진 트리폴리 작전, 멀웨어 퍼트려

페이지 정보

작성자 최고관리자 작성일19-07-02 19:01 댓글0건

본문

소셜 미디어 플랫폼들이 멀웨어 배포처로 활용되는 사례가 많아지고 있다. 사이버 범죄자들은 점점 더 대담하게 소셜 네트워크 사용자들 사이에 형성된 신뢰 관계를 악용하고 있기 때문이다. 가장 최근에는 ‘트리폴리 작전(Operation Tripoli)’이라는 것이 페이스북 환경에서 실행되기도 했다. 리비아의 페이스북 사용자들을 노린 캠페인이었지만, 여러 나라에서 피해자가 속출했다고 한다.

 

 트리폴리 작전에 대해 처음 공개한 것은 보안 업체 체크포인트(Check Point)이다. 페이스북에 리비아 군의 장군인 칼리파 하프타(Khalifa Haftar)가 운영하는 것으로 보이는 가짜 페이지가 등장했고, 이를 수사하면서 공격의 정황을 알게 되었다고 한다. 이 페북 페이지는 지난 4월에 개설되었고, 공중 폭격, 테러리스트 근황 등 리비아의 시민들이 궁금해 할 만한 게시글로 가득했다.

해당 페이지를 팔로우하는 사람은 1만 1천명이 넘었다. 문제는 특정 파일들을 다운로드 받게 해주는 URL 링크가 이 페이지에 있다는 것이다. 카타르나 터키와 같은 근처 국가들이 리비아를 공격하려는 음모를 가지고 있다는 증거 자료라거나, 포로가 된 파일럿의 처형 사진이라는 식으로 사람들이 링크를 누르도록 유도하는 설명글이 달려 있다. 심지어 군에 지원하고 싶은 사람은 누르라는 링크도 있었다.

페이스북을 통해 해당 페이지에 접속한 사람들이 이 링크들을 누르게 되면 각종 원격 관리 툴들이 다운로드 된다. PC든 모바일이든 마찬가지다. 이 관리 툴들의 기능은 정찰하고 훔치는 것이라고 체크포인트는 설명한다. “가짜 하프타 장군 페이지를 개설하고 운영하는 인물은, 이전에도 다른 페이스북 페이지들을 만들어 악성 파일을 퍼트린 전적을 가지고 있습니다. 2014년부터 이러한 활동을 시작해 30회 이상 적발됐습니다. 한 페이지의 경우 14만명 이상이 팔로우 하기도 했습니다.”

이 30개의 페이지들 전부 리비아와 관련이 있다고 체크포인트는 설명한다. 전부 다 공격자가 스스로 개설한 건 아니다. 일부 진짜로 운영되던 페이지가 시간이 지나면서 운영자에게 잊히고 버려진 것을 공격자가 가로챈 것도 있다고 한다. 이 페이지들과 연결된 멀웨어들의 경우 대체로 드롭박스, 구글 드라이브, 박스 등 유명 파일 공유 서비스들에 호스팅 되어 있었다. 이번에 발각된 트리폴리 작전의 경우, 일부 멀웨어가 유명 업체의 웹사이트에 호스팅 되어 있기도 했다. 리비아, 러시아, 이스라엘의 유명 기업들이 이 수법에 악용되고 있었다고 한다.

체크포인트에 의하면 이번 트리폴리 작전은 페이스북 환경에서 발견된 멀웨어 배포 캠페인 중 가장 규모가 크다고 해도 과언이 아닐 정도라고 한다. “약 5만 명의 페이스북 사용자들이 이 페이지에 있는 링크들을 누른 것 같습니다. 그러나 실제 감염자 수를 파악하는 건 지금 시점에서 불가능합니다. 페이스북 측은 트리폴리 작전이 알려지고 나서 페이지를 삭제했고, 이 페이지와 관련된 모든 흔적들 역시 지웠습니다.”

체크포인트의 제품 책임자인 로템 핀켈스타인(Lotem Fineklstein)은 “공격자의 가장 큰 목적은 민감한 정보와 개인정보를 훔치는 것으로 보인다”고 말한다. “그러나 단순 정보 탈취만이 목적인 것은 아닐 겁니다. 왜냐하면 정치적 사안들을 지속적으로, 강력하게 사용해오고 있거든요. 분명히 정치적인 목적성을 가지고 있다고 보입니다. 리비아와 관련한 정치적 동기가 분명한 자의 소행입니다. 애초에 정치인이나 관련 조직들을 노린 공격이라고 해석할 여지도 있고요.”

그러면서 핀켈스타인은 “결국 이번 사건을 통해 알 수 있는 건, 피싱과 멀웨어 공격이 이메일로부터 시작하는 것만은 아니라는 것”이라고 지적한다. “소셜 미디어도 멀웨어가 퍼지는 플랫폼이 될 수 있습니다. 피싱 시도는 이미 만연한 상태이고요. 피싱 이메일 조심하라는 교육을 해왔듯, 소셜 미디어를 사용할 때도 피싱을 조심하라는 교육을 해야 합니다.”

올해 보안 업체 브로미움(Bromium)에서 발표한 보고서에 의하면 소셜 네트워크가 기업 환경에도 큰 위협이 되고 있다고 한다. 조직들의 약 20%가 소셜 미디어로부터 멀웨어를 전달 받아 고생한 적이 있다고 하며, 12%는 이런 멀웨어 공격 때문에 침해 사고를 겪기도 했다고 증언했었다. 심지어 소셜 미디어 플랫폼을 통해 암호화폐 채굴 코드가 퍼지는 사례도 많아지고 있다고 브로미움은 경고했었다.

소셜 미디어 보안 전문 업체인 세이프가드 사이버(SafeGuard Cyber)의 CEO 짐 주폴레티(Jim Zuffoletti)는 “소셜 미디어는 기업들에 있어 이미 실질적인 위협”이라고 주장한다. “소셜 미디어로부터 들어오는 악성 콘텐츠를 탐지하는 건 꽤나 어려운 일입니다. 결국 보안 담당자는 기업의 일반 네트워크는 물론, 사용자 각자가 사용하는 소셜 네트워크까지도 살펴야 하는데, 이는 결코 쉽지 않습니다. 그렇기 때문에 공격자들이 요즘 더 소셜 미디어를 공격에 활용하는 것이고요.”