활동가와 언론인을 표적으로 삼은 해킹 대행 캠페인

전 세계 스마트폰 사용자를 위협하는 글로벌 해킹 대행 피싱 캠페인

광범위한 사이버 보안 조사를 통해 전 세계 iOS 및 Android 기기를 표적으로 삼는 해킹 대행 피싱 작전이 활발히 진행 중임이 밝혀졌습니다. BITTER APT 그룹의 소행으로 지목된 이 캠페인은 정부 관리, 언론인, 활동가 등 고가치 표적으로부터 Apple ID 자격 증명과 기타 서비스 로그인 정보를 탈취하기 위해 약 1,500개에 달하는 사기성 도메인을 배포했습니다. 공격자들이 접근 권한을 획득하면 민감한 iCloud 백업과 개인 통신 내용에 접근할 수 있게 되어, 단순히 도난당한 비밀번호 하나가 완전한 정보 수집 작전으로 이어질 수 있습니다.

이 캠페인의 규모와 표적 선정 방식은 중요한 사실을 시사합니다. 이것은 기회주의적 사이버 범죄가 아닙니다. 실제 세계에서 가치 있는 통신 정보와 신원을 보유한 사람들을 겨냥한, 조직적이고 지속적인 공격입니다.

BITTER APT는 누구이며 무엇을 원하는가

APT는 고도지속위협(Advanced Persistent Threat)의 약자로, 구체적인 목표와 상당한 자원, 그리고 장기적인 인내심을 갖추고 활동하는 위협 행위자 유형을 말합니다. BITTER APT는 수년간 보안 연구원들에 의해 추적되어 왔으며, 일반적으로 남아시아 및 동남아시아에서의 스파이 활동을 목적으로 한 작전과 연관된 것으로 알려져 있습니다. 다만 이번과 같은 캠페인은 더 넓은 국제적 활동 범위를 보여줍니다.

해킹 대행 모델은 또 다른 차원의 우려를 불러일으킵니다. 단일 정부나 조직만을 위해 활동하는 것이 아니라, 특정 개인에 대한 정보 수집을 원하는 의뢰인에게 자신들의 역량을 판매하는 방식입니다. 민감한 사안을 취재하는 언론인, 강력한 이해관계에 맞서는 활동가, 기밀 정부 정보를 보유한 관리들이 바로 이러한 의뢰인들이 감시 비용을 지불하는 표적 유형입니다.

약 1,500개에 달하는 가짜 도메인의 사용은 특히 주목할 만합니다. 그 정도 규모의 사기성 인프라를 구축하고 유지하는 데는 상당한 투자가 필요하며, 이는 이 작전을 의뢰한 자에게 해당 표적들이 얼마나 큰 가치를 지니는지를 반영합니다.

피싱 공격의 작동 방식

이 수준의 정교함을 갖춘 피싱은 대부분의 사람들이 알아보는 법을 익힌, 문장이 어색한 사기 이메일과는 거리가 멉니다. BITTER APT의 작전은 합법적인 Apple ID 로그인 페이지와 기타 서비스 포털을 정교하게 모방한 가짜 웹사이트를 활용했습니다. 표적은 일상적인 보안 경고나 계정 알림처럼 보이는 메시지를 받고, 그럴듯하게 복제된 사이트로 이동한 뒤, 자신이 공격자에게 직접 자격 증명을 넘겨주고 있다는 사실을 인식하지 못한 채 정보를 입력하게 됩니다.

Apple ID의 경우, 그 결과는 App Store 계정 접근 권한을 잃는 것에 그치지 않습니다. Apple ID 자격 증명은 수년치 메시지, 사진, 연락처, 위치 기록, 앱 데이터를 담고 있을 수 있는 iCloud 백업을 열어줍니다. 해당 자격 증명을 손에 넣은 공격자는 기기 자체를 침해할 필요 없이, 단순히 로그인하여 자동으로 백업된 모든 내용을 다운로드하면 됩니다.

Android 사용자들도 Google 계정과 기기 및 애플리케이션 전반에 걸쳐 개인 데이터를 집계하는 기타 서비스를 표적으로 한 자격 증명 탈취를 통해 유사한 위험에 노출됩니다.

이것이 여러분에게 의미하는 바

대부분의 독자는 정부 관리나 탐사 언론인이 아니지만, 그렇다고 이 기사가 무관한 것은 아닙니다. 이번 조사에서 몇 가지 중요한 점을 짚어볼 필요가 있습니다.

첫째, 고가치 표적을 위해 구축된 피싱 인프라는 일반 사용자도 피해자로 만들 수 있습니다. Apple이나 Google 서비스를 모방하도록 설계된 가짜 도메인은 방문자가 누구인지 확인하지 않습니다. 이러한 사이트를 접하게 된다면, 여러분의 자격 증명도 다른 누구의 것과 마찬가지로 위험에 처하게 됩니다.

둘째, iCloud 및 클라우드 백업이 주요 공격 표면으로 노출된 것은 계정 보안이 곧 기기 보안임을 상기시켜 줍니다. 강력한 암호로 휴대폰을 보호하는 것은, 공격자가 브라우저에서 클라우드 계정에 로그인하여 저장된 모든 내용에 접근할 수 있다면 거의 의미가 없습니다.

셋째, 언론인, 연구원, 변호사, 의료 종사자, 활동가 등 이러한 캠페인으로부터 가장 큰 위험에 처한 사람들은 민감한 환경에서 물리적 보안에 적용하는 것과 동일한 수준의 진지함으로 디지털 보안을 다루어야 합니다.

지금 당장 취해야 할 실질적인 조치:

• Apple ID, Google 계정, 민감한 데이터를 저장하는 모든 서비스에 이중 인증을 활성화하세요. 이 한 가지 조치만으로도 자격 증명 기반 공격의 난이도를 크게 높일 수 있습니다.
• 비밀번호 관리자를 사용하여 모든 계정에 고유하고 강력한 비밀번호를 설정하세요. 여러 서비스에 걸친 자격 증명 재사용은 단일 침해로 인한 피해를 극적으로 확대시킵니다.
• Apple, Google 또는 기타 신뢰할 수 있는 서비스에서 온 것처럼 보이더라도, 계정 자격 증명 확인을 요청하는 일방적인 메시지에는 의심을 품으세요. 이메일이나 메시지의 링크를 클릭하는 대신 공식 웹사이트로 직접 이동하세요.
• 클라우드 계정에 백업되는 항목을 검토하고, 모든 내용이 반드시 백업되어야 하는지 고려해 보세요.
• 모바일 운영 체제를 최신 상태로 유지하세요. 보안 패치는 이와 같은 캠페인이 악용하려 할 수 있는 취약점을 해소합니다.

BITTER APT 캠페인은 모바일 기기가 단순한 부차적 표적이 아닌, 정교한 위협 행위자들의 주요 표적이 되었음을 명확히 보여줍니다. 사용되는 피싱 기법은 경각심을 자극하는 것이 아니라 그것을 우회하도록 설계되어 있습니다. 안전하게 보호받으려면 공격이 설득력 있어 보일 때에도 작동하는 습관을 구축해야 합니다. 최고 수준으로 설계된 공격은 그렇게 보이도록 만들어지기 때문입니다.

오늘 계정 보안 설정을 검토하는 데는 15분도 채 걸리지 않으며, 언젠가 여러분의 자격 증명이 표적이 된다면 그것이 의미 있는 차이를 만들어낼 수 있습니다.