진격의 피싱 키트, 현 시점 완성형은 ‘스파이더맨’

새로운 피싱 키트가 출현했다. 이름은 스파이더맨(Spiderman). 현재 다크웹의 수많은 공격자들이 스파이더맨을 구입하거나 대여해 유럽의 은행과 각종 금융 기관 및 기업들을 공략하고 있다고 보안 기업 바로니스(Varonis)가 경고했다. 그러면서 “스파이더맨은 누구나 쉽게 공격할 수 있게 해 주는 ‘토탈 피싱 솔루션’”이라고 묘사하기도 했다.

스파이더맨 이전에도 피싱 키트들은 꾸준히 등장해 왔었다. 그리고 나올 때마다 새로운 위협거리로 자리매김 했었다. 하지만 바로니스는 “스파이더맨은 코딩 지식의 필요성을 완전히 제거”하기 때문에 특히나 위협적일 수 있다고 강조했다. “코딩이나 해킹 등에 대한 지식이 전무한 사람도 스파이더맨만 있으면 최대 다섯 개 국가에 이르는 광범위한 공격을 할 수 있습니다. 공격 난이도를 이렇게까지 낮추면서, 이렇게까지 높은 성과를 거두게 하는 도구는 없었습니다.”

스파이더맨의 강점 1 : 광범위한 공격

바로니스의 분석 보고서에 의하면 스파이더맨은 사이버 공격자들이 가장 좋아하는 가치인 ‘효율성’이라는 측면에서 큰 강점을 보이는 공격 도구라고 한다. “보통의 피싱 키트는 단일 은행이나 단일 지역, 혹은 단일 국가를 노리게끔 만들어져 있습니다. 하지만 스파이더맨은 여러 국가의 여러 금융 시스템을 공략하도록 설계됐습니다. 공격 성공률이 높아지는 것이죠.”

현 상태의 스파이더맨은 도이체방크, 코메르츠방크, ING, 카이샤방크 등 유럽에서 유명한 은행들을 공격할 수 있도록 만들어져 있으며, 굵직한 암호화폐 거래소나 지갑 서비스 제공 기업들도 공략 대상으로 지정돼 있다. 이것만으로도 유럽에서 활동하는 해커나 사이버 범죄 조직들이라면 한 번쯤 사용을 고려해볼 만하다. 실제로 바로니스가 조사했을 때, 스파이더맨 판매자가 만든 비밀 메신저 그룹에 이미 750명이 넘는 회원이 가입돼 있다고 한다.

스파이더맨의 강점 2 : 이용성

공격 범위가 넓다는 것도 충분한 매력이지만, 더 큰 강점은 따로 있다. 누구나 피싱 공격을 간단히 할 수 있게 한다는 것이다. 바로니스는 “공격 과정이 매우 단순화 되어 있다”고 설명한다. “공격자 입장에서 할 일은 스파이더맨을 구매하고, 공격할 은행을 지정하는 것 뿐입니다. 그러면 스파이더맨이 그 은행과 완벽히 똑같은 웹 페이지를 만들어 띄우고, 그 은행에서 보낸 것 같은 메시지를 전송합니다.”

그렇다고 모든 게 초보들만을 위한 건 아니다. 조금 더 사이버 공격에 능숙한 자라면 공격 과정에 적극 개입할 수 있다. 그래서 피싱 페이지나 메시지를 살짝 바꾼다든지, 공격 대상을 일부 조정하는 것도 할 수 있다. “심지어 스파이더맨 내에는 암호화폐 시드 문구를 탈취하는 기능도 존재합니다. 단순히 피싱 공격으로 로그인 크리덴셜만 탈취하는 게 아니라 좀 더 복합적인 형태의 공격도 가능하다는 의미가 됩니다.”

스파이더맨의 강점 3 : 각종 정보 탈취

바로니스가 꼽은 스파이더맨의 가장 위험한 특징은 각종 정보 탈취 기능이다. “스파이더맨을 동원한 공격이 진행되는 걸 모르는 피해자가, 자신의 진짜 로그인 정보를 화면에 입력하면 공격자(스파이더맨 사용자)는 이 정보를 실시간으로 받습니다. 스파이더맨은 공격을 거기서 끝내지 않습니다. 신용카드 번호나 일회용 비밀번호(OTP) 등을 추가적으로 확보하기 위해 그럴듯한 피싱 화면을 피해자에게 연속적으로 노출시킵니다. 한 번 속은 피해자에게서 온갖 정보를 다 긁어 모으는 겁니다.”

그러므로 스파이더맨은 특정 은행의 특정 계정 내 잔금만 노리는 도구가 아님을 알 수 있다고 바로니스는 지적한다. “단 한 번의 세션을 통해서 피해자의 신원 정보를 수집하려 하니까요. 단지 금융 정보만 캐내는 게 아니에요. 피해자의 성명, 생년월일까지도 파악합니다. 무엇을 뜻할까요? 돈만이 아니라 계정 탈취와 신원 도용까지 염두에 둔 도구라는 겁니다. 피싱의 종합 선물세트나 다름이 없어요.”

스파이더맨의 강점 4 : 탐지 회피

피싱 공격에 좀 더 능숙한 사용자라면 스파이더맨을 보다 교활하게 이용할 수 있다. 스파이더맨에 내재된 지오블로킹 기능 때문이다. 이를 활용해 특정 국가나 지역에서는 공격을 비활성화시킬 수 있고, 이런 조절을 통해 보안 솔루션들의 탐지나 분석을 방해하는 게 가능하다. “특히 자동 스캐너로부터 스스로를 숨기는 데에 도움이 되는 기능입니다.”

앞서 말했다시피 피싱 키트는 꾸준히 개발되고, 지속적으로 출시되며, 항상 위협거리로 자리를 잡는다. 공격을 쉽게 해 주는 도구이기 때문에 일정 수 이상의 고객은 늘 보장돼 있는 것이나 다름 없으며, 이는 계속되는 피싱 키트 개발의 원동력이 된다. 그런 맥락에서 보면 스파이더맨이 특별할 건 없다. 하지만 바로니스는 “스파이더맨이 보여준 진화는 놀라운 수준”이라고 강조한다. ‘진화’라는 맥락에서는 같을지 몰라도, 그 세부 내용을 들여다 보면 놀라움이 가득하다는 것.

“공격 도구가 진화한다는 원론적인 사실에 매몰돼 있는 건, 사실 경계하고 있지 않다는 의미입니다. 공격 도구가 ‘어떻게’ ‘얼마나 빠른 속도로’ 진화하는지를 매번 살펴야죠. 그게 경계입니다. 스파이더맨은 OTP 정보를 실시간으로 빼돌리고, 공격 범위를 상당히 넓혔으며, 자동화를 훨씬 능동적으로 도입했다는 측면에서 경계의 대상이 되어야 합니다. 앞으로 나오는 피싱 키트들은 OTP 가로채기를 기본적으로 탑재하고 있을 것이라고 예상합니다.”

바로니스의 예측처럼 OTP가 공격자들의 기본기가 된다면, OTP를 기반으로 보안을 설계한 세계 여러 은행들이 시스템을 바꾸거나 새롭게 강화해야 한다. 여기에 해당되는 은행들이라면 ‘피싱 키트가 진화한다’는 커다란 사실만 떠올리는 게 아니라, 그 진화의 세부 내용을 면밀히 관찰해야 할 것이다. 그렇지 않으면 소 잃고 외양간 고치기만 반복할 뿐이다.🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• New 'Spiderman' Phishing Kit Targets European Bank Customers, Cyber Insider, 2024년
• Spiderman Phishing Kit Mimics Top European Banks With Real-Time Credential Theft, Varonis, 2024년
• Spiderman Phishing Kit Targets European Banks with Real-Time Credential Theft, HackRead, 2024년
• Phishing Kit Trends and Top 10 Spoofed Brands of 2023, IBM X-Force, 2023년

피싱, 너무 교묘해 보안 교육의 효과까지 낮춰

💡Editor’s Pick - 요즘 피싱 메일은 오타나 문법 오류로 식별 불가능 - 크롬 업데이트, 줌 초대장, 팀즈 업데이트 등 각종 기법 활용 - 너무 교묘해 교육 효과를 크게 기대하기도 힘들어 피싱 캠페인의 교묘함이 상상을 초월한다. 보안 업체 레드카나리(Red Canary)와 지스케일러(Zscaler)가 최근 발견한 캠페인은 피해자를 속이기 위한

The Tech Edge문가용 기자

피싱 메일은 가짜 메일? 이제는 진짜 메일도 조심

💡Editor’s Pick - 구글 노코드 플랫폼 앱쉬트 통해 피싱 메일 발송 - 도메인 흉내 낸 가짜 메일 아니라, 진짜 앱쉬트 서비스로 만든 메일 - 전통 이메일 필터 기술 무력화 구글의 공식 노코드 플랫폼인 앱쉬트(AppShee)를 악용한 피싱 캠페인이 발견됐다. 공격자들은 피싱 메일을 마치 앱쉬트 서비스 관리자가 보낸 것처럼 위장하고

The Tech Edge문가용 기자