뉴스29. 해킹조직 블랙파일, 콜센터처럼 속여 기업 계정 탈취…유통·호텔업계 겨냥한 공격 확산

기사 요약:

신규 해킹 그룹 블랙파일(BlackFile)이 유통·호텔 업계를 대상으로 금전 목적의 데이터 탈취 공격을 벌이고 있습니다. 이들은 정교한 악성코드 대신 IT 지원팀을 사칭한 전화(사회공학 기법)를 통해 직원의 계정 정보와 MFA(다단계 인증) 코드를 가로챕니다. 침투 후에는 정상적인 클라우드 서비스(세일즈포스, 쉐어포인트 등) 기능을 악용해 기밀 데이터를 유출하며, 이를 빌미로 금전을 요구하거나 '스와팅(허위 신고)'과 같은 극단적인 압박 수단을 동원하고 있습니다.

 

1. IT 지원팀을 사칭해 직원에게 전화를 걸어 "인증 설정 갱신이 필요하다"며 속이며, 정상 로그인 화면과 똑같이 만든 피싱 사이트로 유도해 ID, 비밀번호, 일회용 인증번호(OTP)를 실시간으로 가로채는 방식을 사용했다.

 

2. 확보한 계정으로 로그인한 뒤, 공격자의 기기를 새로운 다단계 인증(MFA) 장치로 등록해 상시 접속 통로를 만듭니다. 조직도를 훑어 권한이 높은 관리자나 임원 계정을 파악하고 추가 공격을 이어갑니다.

 

3. 세일즈포스나 쉐어포인트 같은 업무 시스템에서 '기밀', '내부', 'SSN' 등의 키워드로 검색해 민감 자료를 탐색했으며, 마이크로소프트 Graph API 등 기업에서 실제로 쓰는 정상적인 데이터 전송 기능을 활용해 탐지를 피하며 데이터를 외부로 빼돌리는 등의 악행을 저질렀다.

 

4. 탈취한 데이터를 다크웹에 일부 공개하며 협박했는데, 협상에 응하지 않을 경우 임직원을 대상으로 허위 긴급 신고(스와팅)를 하는 등 강력한 심리적 압박을 가해 금전을 요구했다.

 

개인 의견:

이러한 기사를 읽을 때면, 다중인증 등의 방식이 무조건적으로 공격자들의 공격을 막아주는 방어막 역할을 제대로 하지 못한다고 느낀다. 또한, 이용자들의 편의를 위해 사용하는 세일스포스와 같은 SaaS가 공격에 한번 뚫리게 되면 더 큰 피해를 가져온다고 본다. 앞으로도 이용자들의 편의와 보안 사이에서의 문제점들이 계속해서 대두될 것 같다.

 

<용어 정리>

MFA (다단계 인증): 아이디/비밀번호 외에 스마트폰 OTP나 문자 인증 등 두 가지 이상의 수단으로 본인을 확인하는 보안 절차

SSO (Single Sign-On): 한 번의 로그인으로 여러 개의 서비스나 시스템을 이용할 수 있게 해주는 통합 인증 체계

Graph API: 마이크로소프트 365 서비스(메일, 달력, 파일 등)의 데이터에 접근하고 관리할 수 있게 해주는 개발 도구

스와팅 (Swatting): 경찰이나 특수 기동대(SWAT)가 출동하도록 허위로 강력 범죄 신고를 하여 피해자를 곤경에 빠뜨리는 행위

샤이니헌터스 (ShinyHunters): 과거 대규모 데이터 탈취로 유명했던 해킹 조직으로, 블랙파일과 유사한 수법을 사용

SaaS(Software as a Service): 서비스형 소프트웨어 ex) 세일스 포스, 쉐어 포인트

 

뉴스 링크: https://www.dailysecu.com/news/articleView.html?idxno=206449