2021.09.30

‘텔레그램 봇’ 이용한 사이버 범죄 암약…이중 인증과 OTP도 안전하지 않다

Lucian Constantin | CSO
지난 몇 년간 온라인 서비스에 이중 인증(Two-factor authentication, 2FA)이 많이 도입되고 있다. 2FA는 탈취 당한 비밀번호가 악용되는 것을 방지하기 때문에 온라인 계정을 보호할 수 있는 가장 좋은 방법일 것이다. 하지만 같은 이유로 사이버 범죄자 역시 2FA에 적응하고, 기발한 방법으로 일회용 인증 코드를 탈취하고 있다.
 
ⓒ Getty Images Bank

보안 업체 인텔 471(Intel 471)의 보고서에 따르면, 최근 사이버 공격자는 자동녹음전화와 양방향 메시지를 활용해 피해자의 실시간 OTP를 탈취하는 방법으로 2FA를 우회하고 있다. 자동녹음전화와 양방향 메시지는 텔레그램 봇을 이용해 자동화하고 관리하는데, 마치 일반 기업에서 슬랙 봇을 이용해 업무를 자동화하는 것과 비슷하다.

인텔 471이 조사한 이들 서비스는 고작 지난 6월부터 운영되기 시작했으며, 텔레그램 봇이나 채널을 통해 운영된다. 공격자들은 종종 봇이나 채널을 사용하는 동안 피해자 계정에서 수천 달러를 탈취했다는 등 성공담을 공유하기도 했다.


자동화 봇을 이용한 소셜 엔지니어링 공격

이런 공격 기법의 중심에는 고도로 자동화된 소셜 엔지니어링 공격이 자리 잡고 있다. 과거 공격자는 정보를 얻기 위해 피해자에게 직접 전화를 걸거나, 은행이나 서비스 업체의 고객 지원 번호를 사칭해 계정에 무단으로 접근할 수 있는 정보를 취득했다. 이제 이 방법은 자동화 봇이 텔레그램 채팅방에 오가는 지시에 따라 정해진 원고를 읽으며 전화하는 형태로 바뀌었다.

인텔 471이 확인한 서비스는 유명 은행이나 구글 페이, 애플 페이, 페이팔과 같은 온라인 결제 서비스 업체, 모바일 통신사로 가장한 통화 원고와 ‘모드’를 미리 설정했다. 인텔 471의 조사 결과 ‘SMS 버스터(SMS Buster)’라는 이름의 서비스는 영어와 불어로 전화를 걸어 캐나다 소재 은행 8곳의 계좌에 불법 접근했다.

‘SMS레인저(SMSRanger)’라는 서비스는 피해자가 전화를 받고, 공격자가 피해자의 개인 정보를 봇에게 정확히 제공했을 경우 약 80%의 성공률을 보였다. 사이버 범죄 조직 사이에서 소위 ‘풀즈(fullz)’라고 불리는 개인 정보는 다양한 온라인 포럼이나 암시장에서 얻을 수 있다.


합법 서비스를 효율적으로 모방하는 봇

성공률이 높은 것은 꽤 놀라운 일이다. 계좌 및 거래 인증 시 2FA나 OTP를 사용하는 은행은 보통 자동화 전화로 일회용 코드를 알려주는 경우가 있다. 하지만 사이버 범죄 서비스는 반대로 접근한다. 피해자에게 연락해 문자나 합법적인 수단으로 받은 OTP를 입력하게 하는 것이다.

물론 이런 방법은 피해자 입장에서 위험 신호를 보내야 하는 낯선 절차다. 하지만 봇은 피해자가 실제 이용하는 서비스 업체를 매우 잘 흉내 낸다. 자동화 봇 공격 서비스 대부분은 공격자가 피해자에게 걸 전화번호를 특정할 수 있는 번호 위장 기능이 있다. 보통 피해자의 은행이나 통신사와 관련된 번호를 사용한다.

피해자의 휴대폰 화면에 뜬 전화번호가 믿을 만하고 익숙하다면 피해자가 자동화 봇의 요구에 응할 가능성이 높다. 덧붙여 봇은 공격자가 사전에 입력한 피해자의 개인 정보를 보유하고 있기 때문에 신뢰성이 한 층 높아진다.

일부 자동화 봇 공격 서비스는 이메일이나 문자를 이용한 공격을 자동화하기도 한다. 페이스북, 인스타그램, 스냅챗과 같은 소셜 미디어나 금융 서비스 업체인 페이팔과 벤모, 투자 애플리케이션 로빈후드나 코인베이스 계정을 목표로 피싱 채널을 제공한다. 사이버 범죄자는 자동화 봇을 이용하기 위해 수십에서 수백 달러에 달하는 요금을 매달 지불한다. 모든 공격을 성공시켜 수천 달러를 탈취한다고 가정하면 상대적으로 적은 금액이다.


더 강력한 이중 인증이 필요하다

인텔 471 연구팀은 “종합해 보면, 자동화 공격 봇은 2FA 형태 보안에도 위협이 있다는 것을 보여준다. 아무것도 하지 않는 것보다 문자나 전화 기반 OTP 서비스가 낫긴 하지만, 범죄자는 서로 머리를 맞대 보호장치를 뚫을 방법을 강구했다. 별도의 인증 앱을 통한 시간 기반 일회용 비밀번호(TOTP)나 푸시 알림 기반 코드, 생체인증 기반의 FIDO 보안 키를 포함해 문자나 전화보다 안정적인 보안을 제공하는 튼튼한 2FA가 필요하다”라고 말했다.

사용자는 로봇이나 사람이 건 어떠한 전화든 간에 개인 정보나 금융 정보, 인증 정보를 요구하는 경우를 항상 경계해야 한다. 기업 계정이나 서비스형 소프트웨어(SaaS)에도 2FA가 널리 채택되고 있는 상황에서, 자동화 공격 봇과 같은 서비스는 일반 사용자뿐만 아니라 기업에도 위협이 되고 있다. editor@itworld.co.kr


2021.09.30

‘텔레그램 봇’ 이용한 사이버 범죄 암약…이중 인증과 OTP도 안전하지 않다

Lucian Constantin | CSO
지난 몇 년간 온라인 서비스에 이중 인증(Two-factor authentication, 2FA)이 많이 도입되고 있다. 2FA는 탈취 당한 비밀번호가 악용되는 것을 방지하기 때문에 온라인 계정을 보호할 수 있는 가장 좋은 방법일 것이다. 하지만 같은 이유로 사이버 범죄자 역시 2FA에 적응하고, 기발한 방법으로 일회용 인증 코드를 탈취하고 있다.
 
ⓒ Getty Images Bank

보안 업체 인텔 471(Intel 471)의 보고서에 따르면, 최근 사이버 공격자는 자동녹음전화와 양방향 메시지를 활용해 피해자의 실시간 OTP를 탈취하는 방법으로 2FA를 우회하고 있다. 자동녹음전화와 양방향 메시지는 텔레그램 봇을 이용해 자동화하고 관리하는데, 마치 일반 기업에서 슬랙 봇을 이용해 업무를 자동화하는 것과 비슷하다.

인텔 471이 조사한 이들 서비스는 고작 지난 6월부터 운영되기 시작했으며, 텔레그램 봇이나 채널을 통해 운영된다. 공격자들은 종종 봇이나 채널을 사용하는 동안 피해자 계정에서 수천 달러를 탈취했다는 등 성공담을 공유하기도 했다.


자동화 봇을 이용한 소셜 엔지니어링 공격

이런 공격 기법의 중심에는 고도로 자동화된 소셜 엔지니어링 공격이 자리 잡고 있다. 과거 공격자는 정보를 얻기 위해 피해자에게 직접 전화를 걸거나, 은행이나 서비스 업체의 고객 지원 번호를 사칭해 계정에 무단으로 접근할 수 있는 정보를 취득했다. 이제 이 방법은 자동화 봇이 텔레그램 채팅방에 오가는 지시에 따라 정해진 원고를 읽으며 전화하는 형태로 바뀌었다.

인텔 471이 확인한 서비스는 유명 은행이나 구글 페이, 애플 페이, 페이팔과 같은 온라인 결제 서비스 업체, 모바일 통신사로 가장한 통화 원고와 ‘모드’를 미리 설정했다. 인텔 471의 조사 결과 ‘SMS 버스터(SMS Buster)’라는 이름의 서비스는 영어와 불어로 전화를 걸어 캐나다 소재 은행 8곳의 계좌에 불법 접근했다.

‘SMS레인저(SMSRanger)’라는 서비스는 피해자가 전화를 받고, 공격자가 피해자의 개인 정보를 봇에게 정확히 제공했을 경우 약 80%의 성공률을 보였다. 사이버 범죄 조직 사이에서 소위 ‘풀즈(fullz)’라고 불리는 개인 정보는 다양한 온라인 포럼이나 암시장에서 얻을 수 있다.


합법 서비스를 효율적으로 모방하는 봇

성공률이 높은 것은 꽤 놀라운 일이다. 계좌 및 거래 인증 시 2FA나 OTP를 사용하는 은행은 보통 자동화 전화로 일회용 코드를 알려주는 경우가 있다. 하지만 사이버 범죄 서비스는 반대로 접근한다. 피해자에게 연락해 문자나 합법적인 수단으로 받은 OTP를 입력하게 하는 것이다.

물론 이런 방법은 피해자 입장에서 위험 신호를 보내야 하는 낯선 절차다. 하지만 봇은 피해자가 실제 이용하는 서비스 업체를 매우 잘 흉내 낸다. 자동화 봇 공격 서비스 대부분은 공격자가 피해자에게 걸 전화번호를 특정할 수 있는 번호 위장 기능이 있다. 보통 피해자의 은행이나 통신사와 관련된 번호를 사용한다.

피해자의 휴대폰 화면에 뜬 전화번호가 믿을 만하고 익숙하다면 피해자가 자동화 봇의 요구에 응할 가능성이 높다. 덧붙여 봇은 공격자가 사전에 입력한 피해자의 개인 정보를 보유하고 있기 때문에 신뢰성이 한 층 높아진다.

일부 자동화 봇 공격 서비스는 이메일이나 문자를 이용한 공격을 자동화하기도 한다. 페이스북, 인스타그램, 스냅챗과 같은 소셜 미디어나 금융 서비스 업체인 페이팔과 벤모, 투자 애플리케이션 로빈후드나 코인베이스 계정을 목표로 피싱 채널을 제공한다. 사이버 범죄자는 자동화 봇을 이용하기 위해 수십에서 수백 달러에 달하는 요금을 매달 지불한다. 모든 공격을 성공시켜 수천 달러를 탈취한다고 가정하면 상대적으로 적은 금액이다.


더 강력한 이중 인증이 필요하다

인텔 471 연구팀은 “종합해 보면, 자동화 공격 봇은 2FA 형태 보안에도 위협이 있다는 것을 보여준다. 아무것도 하지 않는 것보다 문자나 전화 기반 OTP 서비스가 낫긴 하지만, 범죄자는 서로 머리를 맞대 보호장치를 뚫을 방법을 강구했다. 별도의 인증 앱을 통한 시간 기반 일회용 비밀번호(TOTP)나 푸시 알림 기반 코드, 생체인증 기반의 FIDO 보안 키를 포함해 문자나 전화보다 안정적인 보안을 제공하는 튼튼한 2FA가 필요하다”라고 말했다.

사용자는 로봇이나 사람이 건 어떠한 전화든 간에 개인 정보나 금융 정보, 인증 정보를 요구하는 경우를 항상 경계해야 한다. 기업 계정이나 서비스형 소프트웨어(SaaS)에도 2FA가 널리 채택되고 있는 상황에서, 자동화 공격 봇과 같은 서비스는 일반 사용자뿐만 아니라 기업에도 위협이 되고 있다. editor@itworld.co.kr


X