강력한 탈취 도구로 미국 등지의 정부, 군인, 학계, 언론인 등 집중 공격
유효한 메일 자격 증명이나 세션 쿠키 이용, 메일의 데이터 대량으로 훔쳐
구글, 이메일 탈취 수법 공개, 전문가 “MFA로 우편함 액세스” 등 주의 당부
[애플경제 김향자 기자]이란의 사이버 스파이 그룹이 최근 국제사회에서 새삼 요주의 대상이 되고 있다. 이들은 새로운 초강력 탈취 도구를 사용하여 피해자의 우편함에서 전자 메일을 추출하는 것으로 알려졌다. 기술매체 ‘테크리퍼블릭’은 이에 대한 구글의 분석 자료를 인용하면서, ‘APT35, 매직하운드’라고도 알려진 차밍 키튼이라는 사이버 스파이의 신상을 공개했다. 약 10년 전부터 활동하고 있는 키튼의 사례를 들어 이란 출신 사이버 공격자들의 심각성을 강조하고 있다.
이에 따르면 그는 미국과 중동의 정부 및 군인, 학계 및 언론인을 목표로 삼고 있다. ‘APT35’는 비록 세계에서 가장 정교한 사이버 위협 요인은 아닐지언정, 그 수법은 매우 강력하고 효과적이다.
이보다 앞서 구글은 지메일, 야후, 마이크로소프트 아웃룩과 같은 우편함에서 데이터를 훔칠 수 있는 ‘하이퍼스크레이프’라는 강력한 도구를 발견했다고 밝혔다. 구글에 따르면 하이퍼스크래프는 윈도우즈 시스템용으로 작성된 도구다. 이는 공격자의 컴퓨터에서 실행되며 유효한 전자 메일 자격 증명 또는 유효한 세션 쿠키가 있으면 사서함에서 전자 메일을 은밀하게 탈취할 수 있다.
특정 파일 종속성이 있는 폴더에서 실행되면 이 도구는 특정 명령이나, 제어 서버에 대한 연결을 확인한다. 만약 연결이 없으면 종료된다. 즉 포기하고 물러가는 것이다. 그러나 연결이 되면, 도구의 소프트웨어가 초기 양식을 열어 파라미터를 지정한다. 구글은 그 과정, 즉 하이퍼스크레이프 툴에서 제공하는 초기 양식의 화면 이미지로 공개했다.
그림을 보면 매개 변수는 명령줄에도 제공될 수 있다. 데이터가 제공되면 확인을 위해 다시 C2로 전송됩니다. 그러면 새 양식이 나타나므로 공격자는 명령줄을 통해 제공하지 않는 한 유효한 쿠키 파일을 제공할 수 있다. 그런 다음 하이퍼스크레이프는 내장된 웹 브라우저를 시작하고 해당 브라우저에서 사용하는 로컬 캐시에 쿠키를 저장한다. 이는 오래된 브라우저처럼 나타나도록 조작되어 있다.
그런 다음 브라우저는 마침내 지메일로 이동하게 된다. 이 경우 지메일의 동작은 오류 메시지를 제공하고, 이메일 서비스의 ‘기본 HTML 보기’ 기능을 사용할 수 있는 가능성을 남기는 것으로 구성된다. 또 ‘기본 HTML 보기’를 제공하는 오류 페이지가 지원되지 않는 브라우저에 제공된다. 구글과 테크리퍼블릭은 이 과정도 역시 화면 이미지로 공개, 주의를 당부하고 있다.
또한 공격자의 도구는 세션 쿠키가 사서함에 액세스하지 못할 경우 브라우저에서 유효한 자격 증명을 수동으로 입력할 수 있는 기능을 제공한다. 우편함에 성공적으로 연결되면 소프트웨어는 지메일 언어를 확인하고, 그렇지 않은 경우 영어로 설정하는 한편, 도난 작업이 완료되면 복원하기 위해 현재 언어 매개 변수를 저장한다. 그런 다음 도구는 받은 편지함의 사용 가능한 모든 탭을 자동으로 검사하여 찾은 모든 전자 메일을 다운로드하고 필요한 경우 다시 읽지 않은 상태로 설정된다. 이때 모든 전자 메일은 전자 메일 제목에 해당하는 파일 이름인 다운로드 폴더에 로컬로 저장되고, 로그 파일도 생성된다. 역시 구글은 이 과정을 담은 화면 이미지를 공개했다.
공격자의 도구는 다시 상태 및 시스템 정보를 C2 서버로 보내고 생성된 구글의 모든 보안 전자 메일을 삭제해버린다. 구글측은 “또한 공격자들이 지메일, 구글 문서, 구글 캘린더와 같은 다양한 구글 서비스에서 데이터를 다운로드하기 위해 만들어진 구글 서비스인 구글 ‘테이크아웃’에서 데이터를 다운로드할 수 있게 한 이전 버전의 도구도 발견했다.”고 밝혔다.
테이크아웃의 경우, 공격자의 툴은 자신의 새로운 복사본을 생성하고 파이프 통신 채널을 초기화하여 쿠키와 계정 이름을 서비스에 재생한다. 그런 다음 합법적인 테이크아웃 링크로 이동하여 데이터를 요청하고 최종적으로 다운로드하게 된다.
이에 구글측은 테스트 지메일 계정이 있는 통제된 환경에서 도구를 분석하며 이를 퇴치하는 방법을 연구했다. 그 결과 야후!나 마이크로소프트 계정에 따라 기능이 다를 수 있음이 밝혀졌다. 또 하이퍼스크레이프 도구 외에도, 지난 7월에 이미 위협 행위자가 사용하고 개발했을 수 있는 또 다른 도구가 발견했는데, 이는 타깃이 되는 텔레그램 계정을 도용하는데 사용되었다.
그렇다면 이런 공격을 어떻게 예방하고 막아낼 것인가. 이에 대해 사이버 전문가 케드릭 페르넷은 ‘테크리퍼블릭’ 기고를 통해 “하이퍼스크레이프 도구는 공격자가 이미 유효한 자격 증명이나 대상 편지함의 유효한 세션 쿠키를 소유하고 있는 경우에만 사용할 수 있다.”고 그 약점을 소개하면서 “사용자는 우편함을 사용하지 않을 때는 항상 우편함과의 연결을 완전히 끊어야 한다. 그렇게 하면 도난당했을 수 있는 세션 쿠키의 유효 시간이 크게 단축된다”고 권했다.
그는 또 “사용자는 다중 요소 인증(MFA)을 사용하여 우편함에 액세스해야 한다.”면서 “두 번째 인증 채널은 특히 공격 대상자의 컴퓨터가 손상된 경우 공격자가 액세스할 수 없는 채널이어야 하기 때문”이라고 전했다. 페르넷은 또 “‘차밍 키튼’이 피해자들로부터 유효한 이메일 자격 증명이나 세션 쿠키를 얻는 방법은 알려져 있지 않지만, 악성 프로그램을 사용하는 것 이외의 다른 방법을 통해 세션 쿠키를 수집하는 것은 어려워 보인다.”면서 “따라서 사용자는 항상 최신 보안 소프트웨어를 가지고 컴퓨터에 패치를 적용해야 한다.”고 조언했다. 그는 또 “사용자는 공통 취약성에 의해 손상되지 않도록, 항상 운영 체제와 모든 소프트웨어를 최신 상태로 유지하고 패치를 적용해야 한다”고 덧붙였다.