Pawn Storm (폰스톰)이 개방형인증을 이용해 소셜엔지니어링에 공격

게시일: 2017-04-27 l 작성자: Feike Hacquebord (Senior Threat Researcher)

Pawn Storm (이하 폰스톰) 은 2004년 만들어진 공격적인 스파이 그룹이다. 최근 조사 자료에 따르면 폰스톰은 다른 스파이 그룹들과는 다른 방법과 전략을 이용해 타겟을 정보를 빼낸다. 특히 위험한 인증 정보 피싱 캠페인을 잘 쓰기로 유명하다. 2016년에는 민주당 전당 대회 (DNC), 독일의 정당인 기독교 민주 연합 (CDU), 터키 정부와 의회, 몬테네그로 의회, 세계 반 도핑 기구 (WADA), 알 자지라 등 많은 단체에 인증 정보 피싱 공격을 했다.

이 글은 폰스톰이 소셜엔지니어링 체계에서 개방형인증을 어떻게 악용했는지에 대해 논한다. 2015년과 2016년 사이에 무료 웹메일을 이용하는 유저들이 타겟이 되었다.

어떻게 개방형 인증이 이용되었는가?

개방형인증은 유저들이 소셜미디어나 게임사이트, 무료 웹메일 서비스 등 온라인 계정에 로그인 할 때 서드파티 어플리케이션을 인증해 주는 방식이다. 이 방식의 최대 장점은 서드파티 어플리케이션이 인증을 하기 위해 토큰을 받기 때문에 유저들이 비밀번호를 제공할 필요가 없다는 것이다.

하지만 이런 장점이 유저들에게 간편한 절차를 제공하고 다른 방식에도 유용하게 쓰일 수 있는 반면 동시에 다른 위험 요소 또한 가지고 있다. 해커들은 서비스 제공자들이 보통 개방형인증 사용을 위한 어플리케이션 인증을 하기 전에 실행 하는 백그라운드 체크를 실시하는데, 이를 통해 해커들은 소셜엔지니어링 체계 통합이 가능해진다. 몇몇 인터넷 서비스 제공자는 개방형인증을 이용한 서드파티 어플리케이션을 다운받기 위한 절차로 이메일 주소와 웹사이트만 물어보기도 한다. 이러한 간단한 절차로 인해 폰스톰과 같은 스파이 그룹이 공격을 쉽게 할 수 있는 것이다.

그림 1. 폰스톰의 개방형인증 이용 과정

폰스톰의 개방형인증 공격 파헤치기

개방형인증 공격에 당한 유저는 아래와 같은 메시지를 받는다.

그림 2. 폰스톰이 보낸 가짜 이메일

이렇듯 지메일에서 온 공식 이메일처럼 위장해서 유저가 “Google Defender”라고 지칭하는 어플리케이션을 다운받도록 유도한다. 유저가 설치 링크를 클릭하면 아래 사진과 같은 구글 계정 페이지로 넘어가게 된다.

그림 3. “Google Defender” 를 다운 받기 위한 승인 인증

모든 개방형인증 절차가 서비스 제공자에게 이루어 졌기 때문에 이 단계는 실제 구글 계정 페이지로 연결이 된다. 하지만 다운받은 어플리케이션 자체는 피싱 사기 어플리케이션 인 것이다.

“Google Defender”는 실제로 폰스톰이 만든 서드파티 어플리케이션이다. 개방형인증을 위한 스크린 절차를 이용한 후 폰스톰이 만든 악성 어플리케이션은 다른 평범한 어플리케이션들과 마찬 가지로 실행된다. 만약 유저가 사기 이메일에 넘어가 “허용” 버튼을 누르게 되면 개방형인증을 통해 서비스 제공자는 토큰을 받게 되고, 그로 인해 폰스톰은 피해자의 메일박스에 반영구적으로 접근 할 수 있는 권한이 생긴다.

폰스톰은 지메일 뿐만 아니라 야후 유저 또한 타겟으로 삼았다. 아래는 2015년도에 사용된 “맥아피 이메일 보안”을 제공한다는 가짜 야후 이메일이다.

그림 4. 야후 사칭 이메일

“맥아피 이메일 보안 체험” 버튼을 누르면 실제 야후 계정 페이지로 넘어가게 된다.

그림 5. 서드파티 어플리케이션에 개방형인증 접근 승낙 과정

그러나 다운받은 어플리케이션은 야후나 실제 맥아피의 제품이 아닌 폰스톰이 개발한 가짜 어플리케이션 이다. 이 방식 또한 “허용” 버튼을 누르는 순간 폰스톰이 개방형인증의 토큰을 받게 되고 그로 인해 피해자나 서비스 제공자의 취소가 있기 전까지 피해자의 메일박스를 접근 할 수 있게 되는 것이다.

폰스톰은 계속해서 이와 같은 방식으로 2015년 11월부터 12월 중순 까지 유저들을 대상으로 미끼를 던졌다.

그림 6. 폰스톰이 야후에 보낸 인증 사기 개요 도표.
파란색은 폰스톰이 개방형인증을 이용해 공격한 것이고 빨간색은 다른 방식의 이메일 공격 전략.정

개방형인증은 온라인상에서 사용자 경험을 더 강화했다. 예를 들면, 소셜네트워크가 유저의 웹메일 주소록에 접근하는 것을 허용함으로써 유저가 같은 소셜 네트워크에서 친구를 찾기가 더 편리해졌다. 서비스 제공자가 이러한 기능을 추가함과 동시에 개방형인증에 대한 보안 또한 강화 했다고 여겨지는 것은 당연하지만, 유저들은 항상 모르는 어플리케이션이나 서비스 사용에 주의를 해야한다. 또한 소셜미디어나 무료 웹메일 등에 메일박스 접근을 허가한 어플리케이션들을 정기적으로 확인해야 한다. 만약 수상한 어플리케이션이 발견된다면 바로 개방형인증을 차단해야 한다.

아래는 현재까지 알려진 폰스톰이 만들어낸 가짜 어플리케이션 목록이다.

  • Google Defender
  • Google Email Protection
  • Google Scanner
  • Delivery Service (Yahoo)
  • McAff Email protection (Yahoo)

폰스톰에 관한 더 자세한 내용은 여기를 클릭하면 확인 가능 합니다.


원문: Pawn Storm Abuses Open Authentication in Advanced Social Engineering Attacks