[디지털데일리 김보민기자] 지난 8월, 모바일 메신저 텔레그램(Telegram) 최고경영자(CEO) 파벨 두로프가 파리 외곽 공항에서 체포됐다. 각종 범죄에 텔레그램이 악용되고 있지만, 플랫폼 운영사가 사태를 방치하고 있다는 이유였다.

추후 두로프 CEO는 보석금을 내 석방됐고, 서비스 개선안까지 발표하며 꼬리를 내린 모습을 보였다. 개선안에는 이용자 위치를 노출할 위험이 있는 '근처 사람들' 기능을 삭제하고, 익명 블로그 서비스 내 일부 기능을 비활성화하겠다는 내용이 포함됐다.

이후 사회관계망서비스(SNS) 엑스(X·옛 트위터)에는 "텔레그램을 악용하려는 이들이 방해하지 못하게 하겠다"는 자찬의 글이 올라왔지만, 보안 업계는 안심할 수 없다는 목소리를 내고 있다. 텔레그램을 활용한 사이버 공격이 여전히 기세 좋게 활개치고 있기 때문이다.

위협 인텔리전스 분석에 특화된 안랩 ASEC(AhnLab SEcurity intelligence Center)은 사이버 위협 중 특히 피싱이 진화하는 과정에서 텔레그램이 역할을 하고 있다고 진단한다. 공격 방식이 교묘해진 만큼, 그 어느 때보다 개인과 기업 차원에서 보안 울타리를 강화할 필요성이 커졌다는 의미다.

◆ 침투 정보 거래하기 딱 좋네...공격자들의 '텔레그램 사용법'

양하영 안랩 ASEC 실장은 <디지털데일리>를 만나 최근 1~2년 사이 이메일 피싱 기법이 변하기 시작했다고 설명했다. 양 실장은 "그동안은 공격자가 따로 구축한 웹 서버로 아이디와 비밀번호(패스워드)가 유출되는 경우가 다수였다면, 지금은 텔레그램 봇(Bot)을 통해 유출이 되는 형태로 동향이 바뀌고 있다"고 말했다.

통상 이메일 피싱은 가짜 로그인 페이지를 통해 사용자 계정 정보를 탈취하는 방식으로 이뤄진다. 이렇게 뺏긴 정보는 이후 추가 공격에 사용될 수 있는데, 이 과정에서 공격자가 별도 사이트를 구축하는 대신 텔레그램을 대안으로 쓰기 시작한 것이다. 양 실장은 "사용성 측면에서 편리한 부분이 있다"며 "최초 침투에 필요한 정보를 텔레그램 자체에 데이터베이스(DB)화한 뒤, 이를 실제 돈으로 거래하는 목적에 활용하고 있다"고 설명했다.

ASEC에 따르면 한국은 텔레그램을 무대로 삼은 정보 유출 사례에서 적지 않은 비중을 차지하고 있다. 양 실장은 "한국은 텔레그램 자체보다 앞단에서 이뤄지는 피싱 이메일 공격에 취약하다고 볼 수 있다"며 "한국의 경우 연말정산처럼 특수한 시기가 있는 만큼, 표적이 되는 경우가 많다"고 부연했다.

연말정산은 이메일 피싱에 취약한 시기로 꼽힌다. 특정 정부 부처나 기관을 사칭해 악성요소가 포함된 링크와 첨부파일을 누르도록 하거나, 개인정보를 입력하도록 하기 때문에 알면서도 당하는 경우가 다수다. 국세청 사칭이 잊을 만하면 돌아오는 이유도 여기에서 찾을 수 있다.

그러나 피싱은 1차 공격에서 끝나지 않기 때문에 각별한 주의가 필요하다. 양 실장은 "피싱 공격은 개인 이메일 계정이 탈취되고, 이메일 함을 열람했다고 해서 끝이 나지 않는다"며 "클라우드 서비스 사용자가 늘어난 만큼, 기업에서 관리하고 있는 주요 문서가 유출될 가능성도 배제할 수 없다"고 말했다.

특히 정보기술(IT) 환경을 촘촘히 세우지 못할 경우 더욱 표적이 될 수 있다고 봤다. 양 실장은 "영세 업체나 소규모 소프트웨어 벤더의 경우 구글 계정을 회사 업무에 쓰고 있고, 이를 구글 드라이브와 연동하기도 한다"며 "털린 이메일 계정이 구글 드라이브, 그리고 기업 내부에 이어져 있다 보니 연쇄 피해가 일어날 수 있다"고 강조했다. 이어 "다중인증(MFA)에 대한 부분이 적용이 되지 않은 곳도 많아, 보안을 강화하는 측면에서 이를 설정하는 노력이 요구되는 시점"이라고 제언했다.

◆ 알고리즘도 제멋대로 바꾸는 공격자…'SEO포이즈닝' 주의

이처럼 사용자 정보를 빼가는 방식은 다양해지고 있다. 특히 코로나19를 계기로 재택이나 원격 근무를 채택해는 경우가 늘어나면서, 공격자들이 사용자 정보를 앗아갈 구간 또한 많아지고 있다.

정보탈취형 악성코드 인포스틸러(Infostealer)가 대표적인 예다. 공격자는 불특정 콘텐츠와 파일이 오가는 웹하드, 블로그 등에 인포스틸러를 은닉한 불법 및 크랙 소프트웨어를 유통하기도 한다. 이렇게 탈취된 개인정보가 다른 해커에 넘어갈 경우, 랜섬웨어 공격을 통한 금전 요구 등 다른 피해가 발생할 수도 있어 주의가 요구된다.

양 실장은 "인포스틸러는 'SEO(Search Engine Optimization) 포이즈닝' 기법을 사용한다"고 강조했다. SEO 포이즈닝은 구글, 마이크로소프트(MS) 빙과 같은 검색 포털에 사용자가 '무료 다운로드' 키워드를 검색하면 포털 상단에 악성 요소를 노출하도록 하는 공격 기법이다. 음원 변환 도구(툴)이나 윈도 정품 인증에서 주로 사용되는 기법이다.

양 실장은 "검색 엔진이 가지고 있는 알고리즘을 최적화해, 자신이 만든 페이지를 내세우는 방식"이라며 "사용자가 피싱 페이지를 눌러 특정 프로그램을 다운로드하면, 그 속에 정보 유출과 관련된 인포스틸러가 포함돼 감염을 일으킨다"고 설명했다.

문제는 악성코드 여파가 여기서 멈추지 않는다는 점이다. 양 실장은 "사용자는 자동 로그인 기능을 많이 사용하는데, 이는 구글이나 엣지에서 자동 입력한 아이디와 패스워드를 브라우저에서 관리하게 한다"며 "악성코드는 해당 정보를 가져갈 수 있다"고 꼬집었다.

원격 근무를 채택한 기업일 경우, 피해 범위는 더욱 늘어날 수 있다. 양 실장은 "가상사설망(VPN)을 이용해 회사 업무망으로 원격 접속할 때도 똑같은 브라우저를 쓰게 되는데, 이때 공격자가 회사 내부에 침투해 기업 내부 정보를 유출하는 피해도 확인된 바 있다"고 부연했다.

보안 인식을 높여 의심스러운 환경에 노출되지 않도록 하는 것이 선행돼야 하는 이유다. 양 실장은 "인증된 사이트가 아니면 무료로 소프트웨어를 받지 말아야 한다"며 "아울러 자극적인 내용의 동영상을 제공하는 P2P 파일공유 사이트도 주의해야 한다"고 제언했다.

◆ 사이버 위협, 중요한 건 '원인 찾기'…"맞춤형 서비스 준비"

그러나 대다수 기업들은 사이버 공격이 발생하더라도 '원인'을 찾는 데 많은 자원을 투입하지 못하고 있다. 원인을 찾아 해결책을 마련하는 것보다, 당장 랜섬웨어 공격을 해결할 방법이나 다크웹에 올라온 내부 정보를 내릴 방안만 모색하는 데 집중하는 실정이다.

눈으로 확인할 수 있는 위협에만 몰두한 기업이 다수라는 취지다. 양 실장은 "3월에 피해가 발생했는데 같은 해 8~9월에 또다시 감염을 겪은 기업이 있었다"며 "근본적인 요인을 해결하지 못했기 때문"이라고 강조했다. 이어 "(공격이 발생하면) 공격자와 거래를 하거나 포맷을 해 정상화하는 방법에만 관심을 쏟는 경우가 많다"고 분위기를 전했다.

안랩 ASEC은 이러한 기업을 돕기 위한 행보를 이어가고 있다. 그간 안티바이러스 제품 V3를 시작으로 악성코드 탐지에 초점을 둬 왔다면, 이제는 위협 인텔리전스 조직으로 탈바꿈하고 있다. 포렌식 조직까지 포함해 현재 4개 팀이 운영되고 있고, 인원은 60여명에 달한다. 국내 보안기업 중 이례적인 규모다.

양 실장은 ASEC의 분석 내용이 기업의 '사전 대응'에 기여하도록 힘을 가할 방침이다. 눈에 보이는 위협만 처리하는 사후 대응식이 아닌, 사전에 위협 요인을 탐지하고 조치를 취할 수 있도록 정보를 제공한다는 구상이다.

현재 시너지가 두드러지고 있는 영역은 위협인텔리전스 플랫폼 '안랩 TIP'다. 해당 플랫폼은 공격자 전략 및 전술, 침해지표(IOC), 통계 자료, 포렌식 보고서 등 위협 인텔리전스 정보를 제공하고 있다.

안랩의 솔루션과 연계돼 최신 보안 위협에 대응하기 위한 위협 인텔리전스 서비스를 제공하기도 한다. 대표적으로 차세대 위협탐지및대응 솔루션 '안랩 XDR'과 연동돼 위협 요인에 대한 우선순위를 파악하고 관리하도록 정보를 제공하고 있다. 아울러 보안 오케스트레이션, 자동화및대응 제품 '안랩 SOAR', 샌드박스형 APT 대응 솔루션 '안랩 MDS', 엔드포인트 위협 탐지 및 대응 솔루션 '안랩 EDR' CPS 보안 중앙 모니터링 및 통합관리솔루션 '안랩 ICM', 관제 포털 등에 연동이 가능하다.

ASEC은 추후 맞춤형 서비스를 구현해 편의성을 높일 예정이다. 양 실장은 "위협에 대한 정보가 많다 보니, 자신이 속한 산업군에 특화된 내용을 맞춤형으로 보기를 바라는 경우가 있다"며 "금융이나 건설 산업에 특화된 맞춤형 위협을 보는 방식"이라고 말했다. 이어 "나아가 내부 자산만 보고 싶어 하는 경우도 있다"고 덧붙였다.

양 실장은 "현재는 글로벌 위협을 비롯해 여러 정보를 가져오는 데 집중했다면, 앞으로는 맞춤형 형태의 서비스로 가야 될 것으로 생각한다"며 "이 방향으로 사업 계획을 구상 중"이라고 말했다.

Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지