신종 사이버 범죄, 가짜 ‘캡차’ 기승

[애플경제 이윤순 기자] 흔히 온라인 공간에서 사용자가 실제 사람인지 컴퓨터 프로그램인지 판별해주는 기술이 ‘캡차’(CAPTCHA)다. 이미지로 표시된 글자가 요구하는 내용을 입력하도록 하는 ‘텍스트 방식’이나 잡음에 섞여 잘 안 들리는 단어를 입력하도록 한다. 또한 ‘로봇이 아닙니다’ 라는 표시를 체크하거나, ‘자동차가 포함된 사진을 모두 클릭’하라는 식의 ‘이미지 방식’ 등도 있다. 그러나 최근엔 이를 악용해 ‘악성’ 명령을 실행하게 하는 ‘캡차’가 횡행하고 있어 주의가 요망된다.

지난해 9월 등장, 연말까지 기승

해외 보안업체 릴리아퀘스트(Reliaquest)에 따르면 이런 가짜 ‘캡차’가 특히 지난해 11월과 12월 사이에 지구촌 곳곳에서 기승을 떤 것으로 드러났다. 이런 수법을 쓰는 범죄자들은 ​​구글이나 웹 앱 보안업체 클라우드플레어(Cloudflare) 등 신뢰할 만한 공급자로 위장한 가짜 ‘캡차’ 페이지를 활용, 사용자를 속여 컴퓨터에서 악성 스크립트를 실행하게 했다.

이들 해커들의 공격 행태는 비교적 단순하다. 워낙에 ‘캡차’ 기능이 대중화되어있다보니, 상대적으로 속이기 쉽기 때문이다. 웹사이트 방문자를 어렵잖게 가짜 ‘캡차’ 화면으로 유인할 수 있다. 이런 경우 보통의 ‘캡차’에서 보듯, ‘도로 보행자 건널목 이미지 클릭’이나, 얼른 읽기가 힘들게 조작한 문자 입력과 같은 방식을 쓰지 않는다. 대신에 실행 프롬프트를 열고 사이트를 방문하는 순간, 이들은 사용자에게 미리 클립보드에 은밀하게 복사해둔 명령을 붙여넣으라는 메시지를 받다. 그대로 이를 붙여넣는 순간 침투가 이뤄진다.

해당 ‘악성’ 명령들은 흔히 ‘Lumma Stealer’ 같은 자격 증명 도용 도구인 맬웨어를 설치하게 된다. ‘Lumma Stealer’는 악성코드가 실행되면, 웹 브라우저, 암호화폐 지갑, 컴퓨터 데이터에 저장된 자격 증명과 쿠키를 훔치는 것이 목적이다.

사용자 속은 줄 모른채 실행, ‘스캠 유어셀프’

보안 전문가들은 이처럼 피해자가 속은 줄도 모르고, 자신이 직접 악성 명령을 실행토록 하는 접근 방식을 ‘스캠 유어셀프’ 공격이라고 이름 붙였다.

또 다른 보안업체인 ‘젠 디지털’(Gen Digital) 역시 “2024년 말에 이러한 유형의 공격이 상당히 증가한 것을 감지했다”면서 “그 보다 앞서 2024년 3분기에보다 무려 3배 이상 급증했다”고 밝혔다. 이는 특히 사회 공학적 혹은, 심리적 조작 전술을 활용한 가장 교묘한 수법의 사이버 범죄라는 얘기다.

앞서 릴리아퀘스트는 “같은 기간에 이러한 ‘스캠 유어셀프’ 공격을 유도하는 가짜 ‘캡차’공격으로부터 200만 명 이상의 사용자를 보호했다”고 덧붙였다. 이는 지난 9월에 처음 발견되었다. 그러나 2024년 연말이 가까울수록 이처럼 가짜 ‘캡차’ 웹사이트가 급증한 것이다.이에 “사비버 범죄자들이 가짜 웹페이지 템플릿을 다른 사이버 범죄자들과 공유한 것도 (범죄가 급증한) 원인일 것”으로 추측하기도 했다.

역설적으로 보안 전문가들이 이런 해킹에 악용된 템플릿을 공개한 것도 그런 범죄를 더 부추겼을 것이란 추측도 따른다. 즉 “의도치 않게 더 많은 범죄자들에게 그런 수법을 써먹을 수 있는 전술을 쉽게 복제할 수 있는 도구를 제공한 셈”이란 얘기다.

특히 러시아 군대와 관련이 있는 APT28(Fancy Bear)과 같은 정교한 사이버 범죄 그룹과의 연관성도 지적되고 있다. 이들은 이 기술을 최근 많이 사용하는 것으로 알려졌다. 실제로 우크라이나 국가 사이버 방어팀은 PT28의 가짜 ‘캡차’ 수법을 다수 탐지해낸 것으로 전해졌다. 우크라이나 당국에 의하면 APT28은 특히 가짜 ‘캡차’ 시스템을 사용, 지방 정부에 많이 침투하고 있다.

러시아軍 관련 해커 APT28, 유력한 용의자로 지목

또 ‘reCAPTCHA’ 인터페이스로 위장, 사용자가 유해한 스크립트를 다운로드하도록 유도하는 명령을 실행하게 했다. 해당 스크립트는 원격 보안셀 접근을 위한 ‘Secure Shell(SSH)’ 터널을 설정하고 데이터를 빼낼 수 있다. 단순하지만 그 피해는 치명적이란 지적이다.

더욱이 이들 가짜 ‘캡차’ 수법은 날로 진화하고 있어 문제가 되고 있다. 해커들은 그 수법을 계속 정교하게 개선, 더욱 탐지와 대응을 어렵게 하고 있다. 그 때문에 랜섬웨어 등 다른 어떤 사이버공격보다 위험할 것이란 우려가 높다.

이에 보안업체 ‘젠 디지털’은 “앞으로 적어도 3개월 이내 사이버공격자들은 파워쉘 명령이 아닌 다른 실행 방법을 사용하는 등 가짜 ‘캡차’ 수법을 한층 고도화할 것으로 보인다”면서 “특히 ‘forfiles.exe’나, ‘certutil.exe’ 등의 LOLBin(자급자족형 악성 코드 바이너리)를 사용해 다운로드하거나, 기존 탐지 장치를 우회할 수도 있다”고 주의를 당부했다.

LOLBin은 서명된 바이너리를 사용해 난독화된 악성코드로 전환, 이를 실행케 하는 ‘자급자족형 바이너리’다. 마이크로소프트가 서명한 윈도우 실행 파일과 같이 합법적인 디지털 서명 바이너리를 악용한다.