파이어아이, 사이버 범죄 그룹 ‘FIN6’의 결제 카드 정보 탈취 과정 다룬 보고서 발간…암시장 ‘카드숍’에서 결제 카드 정보 거래

  • FIN6, 암시장 ‘카드숍’통해 유출된 카드 정보 거래…상당한 이익 올려…
  • 파이어아이, 아이사이트 파트너즈 인수를 통해 강화된 인텔리전스 역량으로 공격 그룹의 위협 전 과정에 대한 가시성 확보

2016년 04월 26일 - 지능형 사이버 공격 방어 기술의 선도업체인 파이어아이(지사장 전수홍, www.fireeye.kr)가 올해 초 인수한 인텔리전스 전문 기업 아이사이트 파트너즈와 함께 공동으로 조사한 내용을 바탕으로 ‘FIN6’라 명명된 사이버 범죄 그룹에 대한 보고서를 발간했다. FIN6는 POS시스템을 공격, 결제 카드 정보를 탈취하는 공격 그룹이다.

파이어아이는 지난 해 자사의 침해조사전문 업체인 맨디언트를 통해 FIN6 그룹이 숙박 및 소매업체의 POS 시스템에서 수백 만개의 결제카드 번호를 탈취한 정황을 조사한 데 이어 올해 새로 인수한 아이사이트 파트너즈와의 파트너십을 통해 강화된 인텔리전스 역량으로 사이버 범죄자들의 협업 체계까지 밝혀냈다. 파이어아이는 보고서를 통해 FIN6 그룹의 공격 경로, 이용 악성 코드 등 기술적인 공격 정보뿐 아니라 공격 그룹이 탈취한 정보를 암시장에서 거래한 정황까지 포착해 사이버 위협 과정 전체에 대한 가시성을 제공하고 있다.

보고서에 따르면, FIN6의 타깃 시스템 감염 과정에 대해서는 명확히 밝혀지지 않았지만, 악성코드 ‘그랩뉴(GRABNEW)’를 통해 피해 네트워크의 로그인 정보인 크리덴셜(credential)을 확보한 것으로 추측된다. 권한 확보 후에는 메타스플로잇(Metasploit) 파워셸 모듈을 이용해 셸코드를 다운받고 실행하거나 특정 포트로부터 다운받은 셸코드를 실행하는 로컬 리스너(local listener)를 설치한다. 마찬가지로, FIN6은 감염된 환경에 백도어를 생성하기 위해 하드택(HARDTACK)과 십브레드(SHIPBREAD)라는 두 가지 종류의 다운로더를 이용한다. 두 가지 툴은 모두 원격 CnC서버에 연결되도록 설정돼 있으며 셸코드를 다운해 실행한다. 이렇듯 백도어를 통해 네트워크에 접근하면, FIN6은 권한상승을 위해 윈도우 크리덴셜 에디터(Windows Credential Editor)를 이용한다. 이 과정에서 공격 그룹은 다양한 호스트의 관리자 계정을 감염시키고자 CVE-2013-3660, CVE-2011-2005, CVE-2010-4398등과 같은 마이크로소프트 윈도우 취약점을 이용한다.

POS 시스템과 연결된 컴퓨터에 침투한 이후에 FIN6는 트리니티(TRINIRY)라는 POS 악성코드를 타깃 시스템에 유포해 결제 카드 정보를 탈취한다. 정보 유출 규모는 침해 사례별로 다양하지만, FIN6는 2,000개의 시스템을 감염시키고 트리니티를 유포해 수 백 만개의 카드 정보를 탈취하는 등 엄청난 규모의 공격 역량을 보유하고 있다.

아이사이트 파트너즈의 인텔리전스에 따르면, 유출된 결제 카드 정보는 암시장인 카드숍(Card Shop)에 판매됐다. 보고서에서는 2014년부터 FIN6에 의해 유출된 피해자들의 카드 정보가 해당 암시장에 판매된 정황이 포착됐으며, 이는 사이버 공격에 의해 유출된 정보가 최종적으로는 전 세계 금융 사기꾼들 손아귀에 넘어갔다는 것을 의미한다고 전했다. 이 암시장은 다양한 사이버 범죄 포럼에 광고를 올리고, 사이버 범죄자들에게 정기적으로 수 백만 개의 유출 카드 정보를 제공하고 있다. 침해 사례마다 거래된 데이터의 양은 다르지만 어떤 침해 사례의 경우에는 천만 개가 넘는 카드 정보가 거래될 정도로 규모가 큰 시장이다. 카드숍에는 FIN6뿐 아니라 다른 위협 그룹에 의해 유출된 카드 정보 역시 거래되고 있다.

또한, 파이어아이가 불법 암시장에서 판매되는 정보를 분석한 결과, 카드 정보 탈취를 통해 FIN6 그룹이 벌어들이는 수익률은 상당히 좋은 것으로 알려졌다. 예를 들어, FIN6의 공격에 의해 2000만 개의 카드 정보가 암시장으로 판매됐으며, 이 카드의 대부분이 미국의 카드 정보라고 했을 때, 당시 평균 21달러에 판매되던 미국 카드 정보 시세를 감안하면, 공격 그룹은 총 4억달러(한화 약 4600억원)의 수익을 올렸을 것이라는 것이다.

전수홍 파이어아이 지사장은 “탈취한 카드 정보를 거래하는 지하 경제가 활성화됨에 따라, 공격 그룹이 사이버 공격을 통해 얻는 경제적 이익은 늘어나고 있다. 이런 높은 이익률은 또 다른 범죄로 이어질 수 있는 도화선이 될 수 있다는 점에서 위협적이다”라며 “파이어아이는 아이사이트 파트너즈 인수를 통해 강화된 인텔리전스 역량으로 결제 카드 정보 탈취 행위를 탐지했을 뿐 아니라 감염에서 수익 창출까지의 공격 과정을 가시화할 수 있었다. 앞으로도 파이어아이는 사이버 공격 그룹 및 과정에 대한 양질의 정보를 제공하고자 노력할 것”이라고 말했다.

FIN6의 사이버 공격 과정에 대해 상세히 다룬 보고서 전문은 파이어아이 홈페이지에서 다운받을 수 있다.

[그림1] FIN6의 결제 카드 정보 탈취 과정

 

###

파이어아이에 대하여
파이어아이는 사이버 공격 방어에 특화된 가상 머신(MVX) 기반의 보안 플랫폼을 개발한 보안솔루션 업체로, 지능형 지속위협(APT), 제로데이와 같이 기업과 정부 기관을 대상으로 발생하는 차세대 위협에 대응하는 실시간 위협 탐지 보안 솔루션을 제공하고 있다. 파이어아이의 보안 솔루션은 시그니처 기반의 방화벽, IPS, 안티바이러스 및 웹 게이트웨이가 탐지 할 수 없는 제로데이 공격이나 변종 공격을 행위 기반 분석을 통해 효율적으로 탐지하고 차단한다. 파이어아이의 위협 차단 플랫폼은 위협으로부터의 보호를 위해 시그니처 사용 없이 주요 위협 벡터 및 각기 다른 단계의 공격 실행 주기에 걸친 실시간의 역동적인 위협 방어 솔루션을 제공한다. 파이어아이 플랫폼의 핵심은 사이버 공격을 실시간으로 차단하기 위해 역동적인 위협 인텔리전스에 의해 보완된 가상 실행 엔진이다. 파이어아이의 솔루션은 전세계 67개 국가에 걸쳐 포브스 선정 글로벌 기업 2000개 중 680개 기업을 포함한 4,400개 기업에서 사용 중이다. 보다 자세한 사항은 www.fireeye.kr 에서 확인 할 수 있다.

파이어아이(FireEye), 에센셜(Essentials), 멀티벡터 가상실행(Multi-Vector Virtual Execution), MVX는 미국을 포함한 다른 국가들에서 상표 혹은 파이어아이 상표로 등록됐다. 다른 브랜드, 제품, 서비스명은 각 상표 소유주의 상표 혹은 서비스 마크이거나, 일 수 있다.

 

자료 문의

파이어아이 코리아         김세라 이사 / 02-559-0726 / sera.kim@fireeye.com

민커뮤니케이션                     대표메일 fireeye@mincomm.com

정민아 실장 / 010-6282-0677 / mina@mincomm.com

김준경 이사 / 010-7176-5424 / joon@mincomm.com

정유림 A.E / 010-9914-5529 / yurim@mincomm.com