2021.01.25

“위장 폐업부터 솔라윈즈까지” 2021년 다크웹 현황

Ax Sharma | CSO
전문 범죄 집단과 맬웨어 서비스, 범죄 활동 수행을 위한 개선된 인프라가 다크웹을 바꿔놓고 있다. 기업 보안에 미치는 영향을 살펴본다.

최근 다크웹에서 활동하는 악당들에게 걱정거리가 하나 더 생겼다. 바로 사법기관에 체포되는 것이다. 다크웹의 불법 활동을 추적하는 것은 당국으로서는 필사적인 추격전이지만, 결국에는 적을 잡아 더러운 돈을 압수하는 일이 드물지 않다. 예를 들어, 2020년 미국 대통령 선거일 밤, 미 정부는 7년 간의 추적 끝에 10억 달러짜리 비트코인 지갑을 비워 실크 로드(Silk Road)와 연결된 자금을 회수해냈다. 실크 로드는 마약이나 청부 살인, 해커 고용 등의 불법적인 상품과 서비스를 판매하는 암시장이었다.
 
ⓒ Getty Images Bank
 

범죄 집단의 위장 폐업 

이런 사건이 자주 일어나면서 범죄자도 새로운 전략을 짜기 시작했는데, 그 중 하나가 당국의 감시망에 걸리기 전에 매장을 닫고 돈을 빼내는 것이다. 2020년 10월 랜섬웨어 집단인 메이즈(Maze)는 기업 수백 곳을 약탈한 후에 은퇴 선언을 하고는 6주 넘게 스스로 문을 닫았다. 하지만 전문가들은 표면적인 것에 불과할 것이라고 봤다. 랜섬웨어 집단은 다른 작전에 참여하기 위해 하나의 작전을 중단하는 경우가 많은데, 사업에서 완전히 물러나는 경우는 드물기 때문이다.

다크웹 검색엔진 다크아울(DarkOwl)의 CEO 마크 터니지는 “최근 몇 년 동안 다크웹은 극적으로 변했는데, 조직 범죄 집단의 익명 포럼과 시장 이용이 증가하면서 상당히 유기적으로 바뀌었다. 유튜브를 보고 범죄자가 되고자 하는 젊은이도 늘었고, 자연히 사법기관의 활동과 이런 범죄집단이나 서비스에 침투해 범인을 밝히고 처벌하려는 시도도 증가했다”고 설명했다.
 

구인 채널이 된 다크웹

다크웹은 사이버 범죄집단이 새로운 조직원을 끌어들이기 위해 최소한으로 접촉하는 중간 지대로 진화했다. 그리고는 실제 커뮤니케이션은 텔레그램이나 재버(Jabber), 위크알(WickR) 같은 은밀하고 암호화된 채널을 이용한다. 터니지는 “맬웨어 개발자와 금융사기범은 자신들의 수법을 퍼뜨리는 데 다크웹 시장에 크게 의존하지 않는다. 대신 블랙햇 포럼에서 자신들을 알리고 커뮤니티 전반에서 영향력을 키운 다음 새로운 조직원을 모집한다”라며, “많은 범죄 집단, 특히 랜섬웨어 서비스(ransomware-as-a-service) 업계와 가담자들은 다크웹을 그저 후보 조직원을 물색하는 용도로 사용한다”고 강조했다.

다크아울을 보면, 좀 더 기술적으로 뛰어난 범죄자들은 로키넷(Lokinet)이나 이그드라실(Yggdrasil) 같은 분산 다크웹과 메시넷을 더 많이 사용하고 있음을 알 수 있다. 터니지는 토르(Tor) 전반에 걸쳐 다크웹 시장과 서비스의 수명이 짧고, 사법기관의 국제 공조를 통한 서버 압수를 그 원인으로 지목했다.  

아울러 시장을 토르 노드로부터 개인 메시징 서비스로 옮기는 것은 DDoS 보호 같은 기술적 이점이 있다. 이런 기술적 안전장치는 다크웹 관리자에게 매력적인 요소가 될 수 있다. 엠파이어(Empire) 같은 암시장은 아이러니하게도 다른 범죄자가 시장을 뺏기 위해 진행한 DDoS 공격으로 스스로 폐쇄하지 않을 수 없었다. 엠파이어의 갑작스러운 폐쇄는 이른바 ‘에스크로(escrow)’ 보증을 무효로 만들었고, 일부 엠파이어 고객은 이를 이른바 ‘먹튀(exit scam)’라고 불렀다.  

충성 고객을 제대로 된 엔드 투 엔드 암호화 메시징 서비스로 이동시킴으로써 사이버 범죄자는 이들 플랫폼의 안정적인 분산 인프라를 이용해 경계 상태를 유지하고 사법기관의 감시를 피한다. 물론, 텔레그램 같은 메시징 플랫폼이 DDoS 공격으로부터 완전히 자유로운 것은 아니다. 그러나 공격을 방어하는 것은 다크웹 운영자가 아니라 플랫폼 소유자의 책임이다.  
 

지하 채팅을 이용한 첩보 수집 

KELA의 제품 매니저인 라비드 라엡에 따르면, 오늘날의 다크웹은 방대한 제품 및 서비스를 상징한다. 다크웹 커뮤니케이션 및 거래는 원래 포럼에 집중되어 있었지만, 이미 IM 플랫폼, 자동화 매장, 폐쇄형 커뮤니티 등 다른 매개체로 이전했다. 이들 매개체를 통해 범죄자들은 감염된 네트워크와 탈취된 데이터, 유출된 데이터베이스, 기타 돈이 되는 사이버 범죄 제품에 관한 비밀 정보를 공유한다.

라엡은 “이런 시장의 변화는 자동화와 구독 모델 기반의 서비스화에 중점을 두고 있으며, 사이버 범죄의 대형화를 지원하는 것이 목적이다”라며, “사이버 범죄자 간의 거래 시장은 공격자가 효과적인 분산 공격을 지원하는 공급망을 원활하게 생성할 수 있게 해준다. 지하 금융 생태계를 이용한 랜섬웨어 공격이 기하급수적으로 증가한 것에서 알 수 있는데, 그 자체로 공격자에게 강력한 무기가 된다”라고 설명했다.

긍정적인 면은, 보안 전문가와 위협 분석가가 이 첩보를 통해 시스템 취약점이 악용되기 전에 이를 식별하고 패치할 수 있다는 점이다. 라엡은 “방어자는 지하 생태계의 내부 작용에 대해 가시성을 얻음으로써 견고하고 역동적인 생태계를 활용할 수 있다. 이들은 공격자가 활용하는 것과 동일한 취약점, 노출, 감염을 추적할 수 있어서, 악용되기 전에 치료할 수 있다”라고 덧붙였다.  

선제적 방어를 위해서는 공격자가 숨어서 앞으로의 위협을 논의하고 판매를 위해 공격 수법을 게시할 확률이 가장 높은 포럼과 다크웹 사이트를 모니터링해야 한다. 예를 들어, 한 해커는 최근 4만 9,000대가 넘는 취약한 포티넷 VPN(Fortinet VPNs)에 대한 공격 수법을 한 포럼에 게시했다. 이 가운데는 유명한 통신업체, 은행, 정부 단체의 것도 있었다. 이후 다른 공격자가 또 다른 게시물을 통해 누구나 악용할 수 있는 VPN 기기들에 대한 평문 인증 정보를 공개했다. 문제가 된 취약점은 2년된 라우팅 처리 버그여서 더 이상 감시 대상이 아니었지만, 목록에 오른 기업 수천 곳의 VPN은 여전히 이 문제에 취약한 상태였다. 

이런 포럼을 이용해 첩보를 모니터링하는 것은 조직 내 보안팀에게 경각심을 주고, 공격자가 앞으로 어디로 향할 것인지를 주의 깊게 조사하도록 만든다.
 

진짜 프로그램 속에 숨은 불법 행위의 추적  

APT(Advanced Persistent Threat) 집단은 다크웹을 통해 목표물에 대한 정보를 수집하고, 은밀한 데이터 유출을 목적으로 진짜 네트워크 프로토콜과 프로그램을 이용한다. 다크 인텔리전스(Dark Intelligence)의 CEO인 빈스 워링턴은 “과거에는 기업이 자사 데이터가 다크웹에 올라오는 데에만 신경을 쓰는 경향이 있었다. 그리고 그때조차 중요한 데이터가 있을 때만 경보를 울리곤 했다. 그러나 중국 및 러시아의 국가 차원의 지원을 받는 APT 집단은 이제 다크 넷을 통해 유망한 표적을 정찰하고, 이후 데이터를 몰래 훔쳐내기 위한 은폐물을 제공한다”라고 말했다.  

워링턴은 “2020년 초부터 시작해 APT 집단의 SSH 이용이 200% 이상 증가했다. 다크 인텔리전스의 조사에 따르면, APT 집단은 포트 22를 거쳐 SSH를 통해 조직에 들키지 않고 침투한다. 일단 내부로 들어오면 부실하게 모니터링되고 유지 관리되는 시스템, 특히 산업 제어 시스템을 통해 상당한 양의 데이터를 훔친다. 최근의 몇몇 공격은 각 기업으로부터 1테라바이트 이상의 데이터를 훔친 것으로 추정된다. 기업이 파악하지 못한 엄청난 양의 데이터인데, 다크웹 접속을 효과적으로 모니터링하지 못했기 때문이다”라고 설명했다.   

지난 달 러시아의 첩보 단체인 APT29(일명 Cozy Bear)의 소행으로 여겨지는 대대적인 솔라윈즈(SolarWinds) 공급망 공격이 발견되었다. 솔라윈즈 오리온(SolarWinds Orion) 같은 진짜 프로그램과 보안된 업데이트 채널이나 프로토콜의 신뢰성을 악용한 것으로, 공격자는 30만 솔라윈즈 고객 가운에 1만 8,000곳의 정보를 조용히 빼갔고, 몇 개월 동안 발각되지 않은 채 남아있었다. 

이 사악한 공격에는 명확한 흔적을 남기지 않는 은밀한 감시와 데이터 유출이 포함되었을 것이다. 이는 훔친 데이터를 퍼뜨릴 때 공격자가 공개된 웹이나 다크웹 포럼에서 일으키는 소란과는 다르다. 따라서 데이터 유출 징후를 찾아 다크웹만을 모니터링하는 것은 충분하지 않다.  
위협 분석가와 보안 연구자는 기존 모니터링 전략을 재평가해야 한다. 오로지 기업 네트워크 내에서 비정상적인 신호를 검출하는 데 집중하거나(외국 IP, 수상한 포트 번호 등), 다크웹 상에 나타나는 독점 데이터를 기다리기보다 보안 업데이트 등 신뢰성 있는 프로그램 및 서비스, 아울러 공격자가 들키지 않은 채 숨어있을 수 있는 내부 소프트웨어 공급망을 모니터링하는 것이 필요하다. editor@itworld.co.kr


2021.01.25

“위장 폐업부터 솔라윈즈까지” 2021년 다크웹 현황

Ax Sharma | CSO
전문 범죄 집단과 맬웨어 서비스, 범죄 활동 수행을 위한 개선된 인프라가 다크웹을 바꿔놓고 있다. 기업 보안에 미치는 영향을 살펴본다.

최근 다크웹에서 활동하는 악당들에게 걱정거리가 하나 더 생겼다. 바로 사법기관에 체포되는 것이다. 다크웹의 불법 활동을 추적하는 것은 당국으로서는 필사적인 추격전이지만, 결국에는 적을 잡아 더러운 돈을 압수하는 일이 드물지 않다. 예를 들어, 2020년 미국 대통령 선거일 밤, 미 정부는 7년 간의 추적 끝에 10억 달러짜리 비트코인 지갑을 비워 실크 로드(Silk Road)와 연결된 자금을 회수해냈다. 실크 로드는 마약이나 청부 살인, 해커 고용 등의 불법적인 상품과 서비스를 판매하는 암시장이었다.
 
ⓒ Getty Images Bank
 

범죄 집단의 위장 폐업 

이런 사건이 자주 일어나면서 범죄자도 새로운 전략을 짜기 시작했는데, 그 중 하나가 당국의 감시망에 걸리기 전에 매장을 닫고 돈을 빼내는 것이다. 2020년 10월 랜섬웨어 집단인 메이즈(Maze)는 기업 수백 곳을 약탈한 후에 은퇴 선언을 하고는 6주 넘게 스스로 문을 닫았다. 하지만 전문가들은 표면적인 것에 불과할 것이라고 봤다. 랜섬웨어 집단은 다른 작전에 참여하기 위해 하나의 작전을 중단하는 경우가 많은데, 사업에서 완전히 물러나는 경우는 드물기 때문이다.

다크웹 검색엔진 다크아울(DarkOwl)의 CEO 마크 터니지는 “최근 몇 년 동안 다크웹은 극적으로 변했는데, 조직 범죄 집단의 익명 포럼과 시장 이용이 증가하면서 상당히 유기적으로 바뀌었다. 유튜브를 보고 범죄자가 되고자 하는 젊은이도 늘었고, 자연히 사법기관의 활동과 이런 범죄집단이나 서비스에 침투해 범인을 밝히고 처벌하려는 시도도 증가했다”고 설명했다.
 

구인 채널이 된 다크웹

다크웹은 사이버 범죄집단이 새로운 조직원을 끌어들이기 위해 최소한으로 접촉하는 중간 지대로 진화했다. 그리고는 실제 커뮤니케이션은 텔레그램이나 재버(Jabber), 위크알(WickR) 같은 은밀하고 암호화된 채널을 이용한다. 터니지는 “맬웨어 개발자와 금융사기범은 자신들의 수법을 퍼뜨리는 데 다크웹 시장에 크게 의존하지 않는다. 대신 블랙햇 포럼에서 자신들을 알리고 커뮤니티 전반에서 영향력을 키운 다음 새로운 조직원을 모집한다”라며, “많은 범죄 집단, 특히 랜섬웨어 서비스(ransomware-as-a-service) 업계와 가담자들은 다크웹을 그저 후보 조직원을 물색하는 용도로 사용한다”고 강조했다.

다크아울을 보면, 좀 더 기술적으로 뛰어난 범죄자들은 로키넷(Lokinet)이나 이그드라실(Yggdrasil) 같은 분산 다크웹과 메시넷을 더 많이 사용하고 있음을 알 수 있다. 터니지는 토르(Tor) 전반에 걸쳐 다크웹 시장과 서비스의 수명이 짧고, 사법기관의 국제 공조를 통한 서버 압수를 그 원인으로 지목했다.  

아울러 시장을 토르 노드로부터 개인 메시징 서비스로 옮기는 것은 DDoS 보호 같은 기술적 이점이 있다. 이런 기술적 안전장치는 다크웹 관리자에게 매력적인 요소가 될 수 있다. 엠파이어(Empire) 같은 암시장은 아이러니하게도 다른 범죄자가 시장을 뺏기 위해 진행한 DDoS 공격으로 스스로 폐쇄하지 않을 수 없었다. 엠파이어의 갑작스러운 폐쇄는 이른바 ‘에스크로(escrow)’ 보증을 무효로 만들었고, 일부 엠파이어 고객은 이를 이른바 ‘먹튀(exit scam)’라고 불렀다.  

충성 고객을 제대로 된 엔드 투 엔드 암호화 메시징 서비스로 이동시킴으로써 사이버 범죄자는 이들 플랫폼의 안정적인 분산 인프라를 이용해 경계 상태를 유지하고 사법기관의 감시를 피한다. 물론, 텔레그램 같은 메시징 플랫폼이 DDoS 공격으로부터 완전히 자유로운 것은 아니다. 그러나 공격을 방어하는 것은 다크웹 운영자가 아니라 플랫폼 소유자의 책임이다.  
 

지하 채팅을 이용한 첩보 수집 

KELA의 제품 매니저인 라비드 라엡에 따르면, 오늘날의 다크웹은 방대한 제품 및 서비스를 상징한다. 다크웹 커뮤니케이션 및 거래는 원래 포럼에 집중되어 있었지만, 이미 IM 플랫폼, 자동화 매장, 폐쇄형 커뮤니티 등 다른 매개체로 이전했다. 이들 매개체를 통해 범죄자들은 감염된 네트워크와 탈취된 데이터, 유출된 데이터베이스, 기타 돈이 되는 사이버 범죄 제품에 관한 비밀 정보를 공유한다.

라엡은 “이런 시장의 변화는 자동화와 구독 모델 기반의 서비스화에 중점을 두고 있으며, 사이버 범죄의 대형화를 지원하는 것이 목적이다”라며, “사이버 범죄자 간의 거래 시장은 공격자가 효과적인 분산 공격을 지원하는 공급망을 원활하게 생성할 수 있게 해준다. 지하 금융 생태계를 이용한 랜섬웨어 공격이 기하급수적으로 증가한 것에서 알 수 있는데, 그 자체로 공격자에게 강력한 무기가 된다”라고 설명했다.

긍정적인 면은, 보안 전문가와 위협 분석가가 이 첩보를 통해 시스템 취약점이 악용되기 전에 이를 식별하고 패치할 수 있다는 점이다. 라엡은 “방어자는 지하 생태계의 내부 작용에 대해 가시성을 얻음으로써 견고하고 역동적인 생태계를 활용할 수 있다. 이들은 공격자가 활용하는 것과 동일한 취약점, 노출, 감염을 추적할 수 있어서, 악용되기 전에 치료할 수 있다”라고 덧붙였다.  

선제적 방어를 위해서는 공격자가 숨어서 앞으로의 위협을 논의하고 판매를 위해 공격 수법을 게시할 확률이 가장 높은 포럼과 다크웹 사이트를 모니터링해야 한다. 예를 들어, 한 해커는 최근 4만 9,000대가 넘는 취약한 포티넷 VPN(Fortinet VPNs)에 대한 공격 수법을 한 포럼에 게시했다. 이 가운데는 유명한 통신업체, 은행, 정부 단체의 것도 있었다. 이후 다른 공격자가 또 다른 게시물을 통해 누구나 악용할 수 있는 VPN 기기들에 대한 평문 인증 정보를 공개했다. 문제가 된 취약점은 2년된 라우팅 처리 버그여서 더 이상 감시 대상이 아니었지만, 목록에 오른 기업 수천 곳의 VPN은 여전히 이 문제에 취약한 상태였다. 

이런 포럼을 이용해 첩보를 모니터링하는 것은 조직 내 보안팀에게 경각심을 주고, 공격자가 앞으로 어디로 향할 것인지를 주의 깊게 조사하도록 만든다.
 

진짜 프로그램 속에 숨은 불법 행위의 추적  

APT(Advanced Persistent Threat) 집단은 다크웹을 통해 목표물에 대한 정보를 수집하고, 은밀한 데이터 유출을 목적으로 진짜 네트워크 프로토콜과 프로그램을 이용한다. 다크 인텔리전스(Dark Intelligence)의 CEO인 빈스 워링턴은 “과거에는 기업이 자사 데이터가 다크웹에 올라오는 데에만 신경을 쓰는 경향이 있었다. 그리고 그때조차 중요한 데이터가 있을 때만 경보를 울리곤 했다. 그러나 중국 및 러시아의 국가 차원의 지원을 받는 APT 집단은 이제 다크 넷을 통해 유망한 표적을 정찰하고, 이후 데이터를 몰래 훔쳐내기 위한 은폐물을 제공한다”라고 말했다.  

워링턴은 “2020년 초부터 시작해 APT 집단의 SSH 이용이 200% 이상 증가했다. 다크 인텔리전스의 조사에 따르면, APT 집단은 포트 22를 거쳐 SSH를 통해 조직에 들키지 않고 침투한다. 일단 내부로 들어오면 부실하게 모니터링되고 유지 관리되는 시스템, 특히 산업 제어 시스템을 통해 상당한 양의 데이터를 훔친다. 최근의 몇몇 공격은 각 기업으로부터 1테라바이트 이상의 데이터를 훔친 것으로 추정된다. 기업이 파악하지 못한 엄청난 양의 데이터인데, 다크웹 접속을 효과적으로 모니터링하지 못했기 때문이다”라고 설명했다.   

지난 달 러시아의 첩보 단체인 APT29(일명 Cozy Bear)의 소행으로 여겨지는 대대적인 솔라윈즈(SolarWinds) 공급망 공격이 발견되었다. 솔라윈즈 오리온(SolarWinds Orion) 같은 진짜 프로그램과 보안된 업데이트 채널이나 프로토콜의 신뢰성을 악용한 것으로, 공격자는 30만 솔라윈즈 고객 가운에 1만 8,000곳의 정보를 조용히 빼갔고, 몇 개월 동안 발각되지 않은 채 남아있었다. 

이 사악한 공격에는 명확한 흔적을 남기지 않는 은밀한 감시와 데이터 유출이 포함되었을 것이다. 이는 훔친 데이터를 퍼뜨릴 때 공격자가 공개된 웹이나 다크웹 포럼에서 일으키는 소란과는 다르다. 따라서 데이터 유출 징후를 찾아 다크웹만을 모니터링하는 것은 충분하지 않다.  
위협 분석가와 보안 연구자는 기존 모니터링 전략을 재평가해야 한다. 오로지 기업 네트워크 내에서 비정상적인 신호를 검출하는 데 집중하거나(외국 IP, 수상한 포트 번호 등), 다크웹 상에 나타나는 독점 데이터를 기다리기보다 보안 업데이트 등 신뢰성 있는 프로그램 및 서비스, 아울러 공격자가 들키지 않은 채 숨어있을 수 있는 내부 소프트웨어 공급망을 모니터링하는 것이 필요하다. editor@itworld.co.kr


X