팔로알토 네트웍스(지사장 박희범)가 나이지리아에 근거지로 둔 기업 대상의 신종 사이버 공격 수법을 23일 공개했다.
팔로알토 네트웍스 보안 정보 팀인 ‘유닛 42 (Unit 42)’가 발표한 ‘419 사기의 진화(419 Evolution)’보고서에 따르면, 아프리카 나이지리아에 근거지를 둔 해커들이 기업의 주요 업무 데이터를 빼내가기 위해 거대 범죄조직이나 첩보단체들이 사용하는 것과 동일한 전문 사이버 공격 도구와 수법들을 이용하고 있는 것으로 나타났다.
나이지리아 해커들은 ‘419 피싱 사기 (419 Phishing Scams)’를 통해 복권 당첨이나 상금 획득, 또는 은퇴한 정부 관료나 작고한 재력가가 남긴 상당한 액수의 돈을 증여 받을 수 있다는 허위내용으로 사용자를 현혹하는 스팸 메일을 발송하여, 개인 사용자의 신용카드 및 개인 정보를 빼내는 것으로 그간 악명을 떨쳐왔다. 해커들의 이러한 사기 수법은 계속 진화되고, 공격 대상이 계속 확대되어 왔다.
특히 이들의 수법은 과거 개인의 신용카드 및 개인 신상 정보를 빼내기 위해 사용됐던 사기 수법보다 훨씬 진화된 모습인 것이어서 더욱 충격적이다. 이제는 기업의 주요 업무 데이터를 빼내는데 활용되고 있는 것. 문제는 본 사이버 공격을 전통적인 안티바이러스 프로그램이나 기존 방화벽으로는 탐지해 내지 못하고 있다는 것이다.
나이지리아 해커의 특징은 지하 경로를 통해 싼값에 유통되고 있는 원격관리 툴 RAT(RAT: Remote Administration Tools)를 이용한다는 점이다. 여기에는 감염된 시스템 전반을 완벽하게 컨트롤할 수 있도록 해주는 넷와이어(NetWire)와 같은 상용화된 RAT들이 포함된다. RAT는 사용자의 컴퓨터를 ‘서버’로 삼아 외부에서 ‘클라이언트’로 접속, 원격으로 조종할 수 있도록 하는 악성코드로서 적법한 상용 프로그램을 불법적 의도로 사용하거나 변형시킨다.
과거에는 실버 스페니얼(Silver Spaniel)과 유사한 사이버 공격이 동유럽 또는 적대적인 첩보 단체들을 대상으로 자행되었으나 현재는 그 공격 대상이 일반 기업으로 넓고 빠르게 확대되고 있다. 그러나 전세계의 일반 기업들은 나이지리아에서 오는 이러한 스팸 공격에 대한 대응 방안이 마련되어 있지 못한 실정이다.
실버 스페니얼과 같이 진화되고 있는 사이버 공격은 기존 악성코드 탐지 보안 기술을 우회하도록 설계되어 전통적인 안티바이러스 프로그램이나 기존 방화벽으로는 대응이 불가능하다.
박희범 팔로알토 네트웍스 코리아 대표는 “팔로알토 네트웍스는 지난 3개월동안 우리나라와 타이완에서 실제로 419 피싱 사기의 피해 사례가 발생하고 있음을 확인했다”며 “이러한 공격은 e메일에 첨부된 파일을 확인할 때 컴퓨터를 감염시켜 개인 및 기업의 주요 정보를 유출시켰다”라고 말했다.
유진상 기자 jinsang@it.co.kr
이 기사의 카테고리는 언론사의 분류를 따릅니다.
기사가 속한 카테고리는 언론사가 분류합니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
언론사는 한 기사를 두 개 이상의 카테고리로 분류할 수 있습니다.
