2024-03-29 22:30 (금)
파이어아이, 사이버 범죄 그룹 ‘FIN6’의 결제 카드 정보 탈취 과정 다룬 보고서 발간
상태바
파이어아이, 사이버 범죄 그룹 ‘FIN6’의 결제 카드 정보 탈취 과정 다룬 보고서 발간
  • 장성협
  • 승인 2016.04.26 15:38
이 기사를 공유합니다

지능형 사이버 공격 방어 기술 업체인 파이어아이(지사장 전수홍)가 올해 초 인수한 인텔리전스 전문 기업 아이사이트 파트너즈와 함께 공동으로 조사한 내용을 바탕으로 ‘FIN6’라 명명된 사이버 범죄 그룹에 대한 보고서를 발간했다.
 
FIN6는 POS시스템을 공격, 결제 카드 정보를 탈취하는 공격 그룹이다.
 
파이어아이는 지난 해 자사의 침해조사전문 업체인 맨디언트를 통해 FIN6 그룹이 숙박 및 소매업체의 POS 시스템에서 수백 만개의 결제카드 번호를 탈취한 정황을 조사한 데 이어 올해 새로 인수한 아이사이트 파트너즈와의 파트너십을 통해 강화된 인텔리전스 역량으로 사이버 범죄자들의 협업 체계까지 밝혀냈다.
 
보고서를 통해 FIN6 그룹의 공격 경로, 이용 악성 코드 등 기술적인 공격 정보뿐 아니라 공격 그룹이 탈취한 정보를 암시장에서 거래한 정황까지 포착해 사이버 위협 과정 전체에 대한 가시성을 제공하고 있다.
 
보고서에 따르면, FIN6의 타깃 시스템 감염 과정에 대해서는 명확히 밝혀지지 않았지만, 악성코드 그랩뉴(GRABNEW)를 통해 피해 네트워크의 로그인 정보인 크리덴셜(credential)을 확보한 것으로 추측된다.
 
권한 확보 후에는 메타스플로잇(Metasploit) 파워셸 모듈을 이용해 셸코드를 다운받고 실행하거나 특정 포트로부터 다운받은 셸코드를 실행하는 로컬 리스너(local listener)를 설치한다.
 
마찬가지로, FIN6은 감염된 환경에 백도어를 생성하기 위해 하드택(HARDTACK)과 십브레드(SHIPBREAD)라는 두 가지 종류의 다운로더를 이용한다.
 
두 가지 툴은 모두 원격 CnC서버에 연결되도록 설정돼 있으며 셸코드를 다운해 실행하며 이렇듯 백도어를 통해 네트워크에 접근하면, FIN6은 권한상승을 위해 윈도우 크리덴셜 에디터(Windows Credential Editor)를 이용한다.
 
이 과정에서 공격 그룹은 다양한 호스트의 관리자 계정을 감염시키고자 CVE-2013-3660, CVE-2011-2005, CVE-2010-4398등과 같은 마이크로소프트 윈도우 취약점을 이용한다.
 
POS 시스템과 연결된 컴퓨터에 침투한 이후에 FIN6는 트리니티(TRINIRY)라는 POS 악성코드를 타깃 시스템에 유포해 결제 카드 정보를 탈취한다.
 
또한 정보 유출 규모는 침해 사례별로 다양하지만, FIN6는 2,000개의 시스템을 감염시키고 트리니티를 유포해 수 백 만개의 카드 정보를 탈취하는 등 엄청난 규모의 공격 역량을 보유하고 있다.
 
아이사이트 파트너즈의 인텔리전스에 따르면, 유출된 결제 카드 정보는 암시장인 카드숍(Card Shop)에 판매됐다.
 
보고서에서는 2014년부터 FIN6에 의해 유출된 피해자들의 카드 정보가 해당 암시장에 판매된 정황이 포착됐으며, 이는 사이버 공격에 의해 유출된 정보가 최종적으로는 전 세계 금융 사기꾼들 손아귀에 넘어갔다는 것을 의미한다고 전했다.
 
이 암시장은 다양한 사이버 범죄 포럼에 광고를 올리고, 사이버 범죄자들에게 정기적으로 수 백만 개의 유출 카드 정보를 제공하고 있다.
 
침해 사례마다 거래된 데이터의 양은 다르지만 어떤 침해 사례의 경우에는 천만 개가 넘는 카드 정보가 거래될 정도로 규모가 큰 시장이며 카드숍에는 FIN6뿐 아니라 다른 위협 그룹에 의해 유출된 카드 정보 역시 거래되고 있다.
 
또한, 파이어아이가 불법 암시장에서 판매되는 정보를 분석한 결과, 카드 정보 탈취를 통해 FIN6 그룹이 벌어들이는 수익률은 상당히 좋은 것으로 알려졌다.
 
예를 들어, FIN6의 공격에 의해 2000만 개의 카드 정보가 암시장으로 판매됐으며, 이 카드의 대부분이 미국의 카드 정보라고 했을 때, 당시 평균 21달러에 판매되던 미국 카드 정보 시세를 감안하면, 공격 그룹은 총 4억달러(한화 약 4600억원)의 수익을 올렸다고 추측할 수 있다.
 
전수홍 파이어아이 지사장은 “탈취한 카드 정보를 거래하는 지하 경제가 활성화됨에 따라, 공격 그룹이 사이버 공격을 통해 얻는 경제적 이익은 늘어나고 있다. 이런 높은 이익률은 또 다른 범죄로 이어질 수 있는 도화선이 될 수 있다는 점에서 위협적이다”라며 “파이어아이는 아이사이트 파트너즈 인수를 통해 강화된 인텔리전스 역량으로 결제 카드 정보 탈취 행위를 탐지했을 뿐 아니라 감염에서 수익 창출까지의 공격 과정을 가시화할 수 있었다. 앞으로도 파이어아이는 사이버 공격 그룹 및 과정에 대한 양질의 정보를 제공하고자 노력할 것”이라고 말했다.
 
★정보보안 대표 미디어 데일리시큐!★

<데일리시큐 장성협 기자> shjang@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★