최근 국내서 ‘크리덴셜 스터핑’, ‘원노트 파일’ 공격 극성

[애플경제 김향자 기자]최근 국내 사용자들을 대상으로 이른바 ‘크리덴셜 스터핑’(Credential stuffing)과 MS ‘원노트’ 파일 공격 등 2가지 사이버공격이 극성을 부리고 있어 주의가 요망된다. 연초부터 등장한 이들 사이버공격은 2월 내내 많은 피해를 남기고 있다.

단순하지만, 치명적인 ‘크리덴셜 스터핑’

국내 보안업체 ‘이스트 시큐리티’에 따르면 연초 이동통신사나 온라인 쇼핑몰 등에서 잇달아 개인정보 유출이나 무단 도용 사건이 발생하면서 ‘크리덴셜 스터핑’이 발호하기 시작했다.

이들 공격자들은 통신사 사이트나 쇼핑몰에 접속하기 위해 사용자들이 남긴 로그인 인증 정보를 여러 경로로 수집했다. 그런 다음 수많은 로그인 인증 정보를 다른 사이트의 계정 정보에 무작위로 마구 대입해보는 수법으로 해킹에 나선 것으로 추정된다. 그러다 용케도 계정이 뚫리면 그 때부터 무자비한 ‘사이버 강도’ 행각을 벌인다.

이스트시큐리티 시큐리티 대응팀은 “크리덴셜 스터핑 공격은 단순하지만 매우 효과적이어서 많은 공격자들이 자주 사용하는 공격방식 중 하나이기도 하다”면서 “다만 크리덴셜 스터핑 공격에 가장 효과적인 예방 방법은 2단계 인증을 설정하는 것이지만, 상황이 여의치 않을 경우 안전한 비밀번호를 만들어 사용하는 것만으로도 충분히 예방할 수 있다”고 당부했다.

원노트 파일, MS오피스 방어벽 무용지물

원노트 파일(.one)을 활용한 공격도 1월 중순부터 등장하기 시작하였으며, 2월이 지나도록 지속적으로 증가하고 있다. 이는 국내 뿐 아니라, 전 세계 사용자들을 대상으로 공격이 진행되고 있다.

이는 특히 MS오피스의 ‘제한된 보기’나 윈도우의 보안 도구인 ‘MOTW(Mark-of-the-Web)’도 피해가는 것으로 알려졌다. 또 원노트 파일 안에 VBS, WSF, HTA 등의 파일 형식의 포함을 허용하는 것도 취약점으로 꼽힌다. 이러한 형식의 파일을 실행할 때 특정 경고창이 뜨긴 하지만, 사용자들은 보통 이런 경고창에 개의치 않고 ‘확인’을 누르는 경우가 많고, 그럴 때 악성스크립트가 실행되는 것이다.

이스트시큐리티는 이에 원노트파일의 수법을 자세히 소개하는 한편, ‘크리덴셜 스터핑’에 대응하기 위한 안전한 비밀번호 설정 요령을 소개, 눈길을 끈다.

이에 따르면 원노트파일 공격자는 사용자의 신뢰를 얻기 위하여 ‘이메일 하이재킹’ 방식을 이용한다. 즉, 자신이 이미 공격을 위해 다른 사람과 주고받았던 정상 이메일 안에 있는 악성파일을 첨부, 전달하는 방식으로 악성 메일을 전송한다. 이때 의심스런 이메일 내용 하단에 정상 이메일의 내용이 포함되어 있어, 사용자들로선 별 의심없이 첨부파일을 실행하는 경우가 많다.

사용자가 이메일에 첨부되어 있는 원노트 파일을 실행하면 ‘오픈’(Open) 버튼을 더블클릭하라는 안내가 나온다. 그러나 이를 더블클릭할 경우 하단에 숨겨져 있던 hta 파일이 나타나면서 악성 명령어가 정상적으로 실행된다. 파일이 실행되면 공격자 서버에 접속하여 .dat 파일을 내려받으며, 해당 파일은 정상 파일에 악성 데이터를 삽입, 마침내 ‘QBot’ 악성코드를 실행하게 되는 것이다.

원노트 파일, 일단 침투 후엔 ‘QBot’ 악성코드 심어

‘QBot’ 악성코드는 사용자 PC에 일단 침투하게 되면, 사용자 정보를 수집, 전송할 뿐만 아니라, C&C를 통하여 추가로 악성코드를 내려받을 수 있다. 이스트시큐리티는 “현재 알약에서는 해당 악성파일들에 대해 ‘Trojan.Downloader.Script.gen’로 탐지중”이라며 지속적인 모니터링을 하고 있음을 알렸다.

앞서 ‘크리덴셜 스터핑’을 방지하기 위해선 안전한 비밀번호도 필수적이다. 흔히 해커들이 사용자 비밀번호를 알아내는 방법 중 하나는 ‘브루트 포스(Brute Force)’ 공격이다. 이는 무차별적으로 비밀번호를 대입해보는 방식이다. 이에 “최소 8자리 이상, 영어 대문자, 소문자, 숫자, 특수문자 중 3종류 이상의 조합으로 작성해야 한다”는 주문이다.