[디지털데일리 이상일기자] 파이어아이(www.fireeye.kr 지사장 전수홍)가 판매시점관리(POS)시스템을 공격, 결제 카드 정보를 탈취하는 공격 그룹인 ‘FIN6’ 사이버 범죄 그룹에 대한 보고서를 발간했다. 

파이어아이는 지난 해 자사의 침해조사전문 업체인 맨디언트를 통해 FIN6 그룹이 숙박 및 소매업체의 POS 시스템에서 수백 만개의 결제카드 번호를 탈취한 정황을 조사한 데 이어 올해 새로 인수한 아이사이트 파트너즈와의 파트너십을 통해 사이버 범죄자들의 협업 체계까지 밝혀냈다.

파이어아이는 보고서를 통해 FIN6 그룹의 공격 경로, 이용 악성 코드 등 기술적인 공격 정보뿐 아니라 공격 그룹이 탈취한 정보를 암시장에서 거래한 정황까지 포착해 사이버 위협 과정 전체에 대한 가시성을 제공하고 있다. 

보고서에 따르면, FIN6의 타깃 시스템 감염 과정에 대해서는 악성코드 ‘그랩뉴(GRABNEW)’를 통해 피해 네트워크의 로그인 정보인 크리덴셜(credential)을 확보한 것으로 추측된다. 권한 확보 후에는 메타스플로잇(Metasploit) 파워셸 모듈을 이용해 셸코드를 다운받고 실행하거나 특정 포트로부터 다운받은 셸코드를 실행하는 로컬 리스너(local listener)를 설치한다.

마찬가지로, FIN6은 감염된 환경에 백도어를 생성하기 위해 하드택(HARDTACK)과 십브레드(SHIPBREAD)라는 두 가지 종류의 다운로더를 이용한다. 두 가지 툴은 모두 원격 CnC서버에 연결되도록 설정돼 있으며 셸코드를 다운해 실행한다.

이렇듯 백도어를 통해 네트워크에 접근하면, FIN6은 권한상승을 위해 윈도 크리덴셜 에디터(Windows Credential Editor)를 이용한다. 이 과정에서 공격 그룹은 다양한 호스트의 관리자 계정을 감염시키고자 CVE-2013-3660, CVE-2011-2005, CVE-2010-4398등과 같은 마이크로소프트 윈도 취약점을 이용한다.  

POS 시스템과 연결된 컴퓨터에 침투한 이후에 FIN6는 트리니티(TRINIRY)라는 POS 악성코드를 타깃 시스템에 유포해 결제 카드 정보를 탈취한다. 정보 유출 규모는 침해 사례별로 다양하지만, FIN6는 2000개의 시스템을 감염시키고 트리니티를 유포해 수 백 만개의 카드 정보를 탈취하는 등 엄청난 규모의 공격 역량을 보유하고 있다.  

전수홍 파이어아이 지사장은  “파이어아이는 아이사이트 파트너즈 인수를 통해 강화된 인텔리전스 역량으로 결제 카드 정보 탈취 행위를 탐지했을 뿐 아니라 감염에서 수익 창출까지의 공격 과정을 가시화할 수 있었다. 앞으로도 파이어아이는 사이버 공격 그룹 및 과정에 대한 양질의 정보를 제공하고자 노력할 것”이라고 말했다. 

<이상일 기자>2401@ddaily.co.kr