러시아어를 기반으로 한 사이버 공격 캠페인이 웹3 생태계에서 진행되고 있다. 웹3 게임 개발자와 사용자들의 각별한 주의가 요구된다. 특히 암호화폐 지갑을 보유하고 있다면 더 그렇다.

[보안뉴스=엘리자베스 몬탈바노 IT 칼럼니스트] 한 러시아 해커가 게임 개발사들을 집중해서 공략하는 중이다. 가짜 웹3(Web4) 게이밍 프로젝트들을 활용해 개발자들을 속인 뒤 다양한 종류의 정보 탈취형 멀웨어를 퍼트린다. 맥OS나 윈도 환경을 가리지 않고 공격하기에 더 주의가 요구된다. 공격자의 최종 목적은 피해자들이나 개발사들을 속여 암호화폐 지갑에서 돈을 훔쳐내는 것이라고 보안 업체 레코디드퓨처(Recorded Future)는 분석하고 있다.

[이미지 = gettyimagesbank]

러시아 공격자들은 이미 존재하는 프로젝트 이름이나 브랜드 이름을 살짝만 바꾸는 식으로 개발자들을 속인다. 심지어 자신들이 사칭하는 프로젝트나 브랜드 이름으로 가짜 소셜미디어 채널까지 개설하는 등의 덫도 설치한다. 그렇기에 속기 쉽다는 게 레코디드퓨처의 설명이다.

“여기에 속아 이들이 게임 프로젝트라고 설명하는 것을 다운로드 받아 설치하면 게임이 설치되는 게 아니라 여러 가지 정보 탈취 멀웨어가 설치됩니다. 맥OS 환경에서는 아토믹(Atomic)이, 그 외 윈도에서는 라다만티스(Rhadamanthys)나 라이즈프로(RisePro) 등이 활용됩니다.”

이 캠페인의 특징은 공격자들이 웹3 기반 게임 생태계를 표적으로 삼아 노리고 있다는 것이다. “어쩌면 그런 부류들을 더 명확하게 공격하는 방법을 알고 있다든가, 웹3 생태계를 더 잘 알고 있다든가 하는 공격자들만의 이유가 있을 겁니다. 그것을 알아낼 수 있다면 좋겠지만, 없더라도 웹3에 관여하고 있고 암호화폐 지갑을 사용하고 있다면 주의해서 손해볼 것이 없습니다.”

덫 놓기
이번 캠페인의 경우 ‘트랩 피싱(trap phishing)’이라고 불리는 형태로 공격이 시작된다. 기존 웹3 프로젝트와 똑같은 프로젝트를 만들어 피해자들이 걸려들기를 기다린다는 뜻이다. “웹3 스마트 계약서 감사자 중 하나인 서티케이(CertiK)가 지난 1월 어스트레이션(Astration)이라는 프로젝트가 가짜 NFT나 고용 제안서를 사용해 게임 개발자들을 속이고 정보 탈취형 멀웨어를 뿌리고 있다는 내용의 경고를 발령했습니다. 그 때부터 조사를 시작했더니 러시아 공격자가 나왔습니다.”

어스트레이션은 정상적인 기존 프로젝트인 알터레이션(Alteration)에서 중간 글자 하나만 바꾼 것이었다. “당시 공격자들은 어스트레이션 소셜미디어 채널도 만들고 디스코드 서버도 운영했습니다. 그러면서 크게 두 가지 유형의 멀웨어를 퍼트렸습니다.”

비슷한 공격 행위가 더 있을 거라고 예상한 레코디드퓨처 측은 조사를 이어갔고, 다섯 개의 게임 관련 프로젝트에서 비슷한 시도가 있었다는 걸 알아냈다. 전부 악성 파일을 유포하고 있었는데, 하나의 C&C 서버에 연결되어 있었다. 아르곤게임(ArgonGame), 더스트파이터(DustFighter), 코스믹웨이리붓(CosmicWay Reboot), 크립테리움월드(Crypterium World), 미스아일랜드(Myth Island)라는 게임들의 이름을 살짝 바꾼 악성 프로젝트들이 덫으로 활용됐다.

위험 약화시키고 경계심 유지하기
피싱 공격은 가장 널리 사용되는 ‘최초 침투 전략’이다. 수년 째 그러하다. 기술로 막는 데에는 한계가 있으며, 사용자 개개인이 경계심을 유지하여 공격 시도를 알아채야 한다. 피싱 공격에는 패턴이 있고, 따라서 침해 지표라는 게 발생하기도 하는데, 이를 적극 공유한다면 피싱 공격 방어가 좀 더 수월해지고 피해가 줄어들 수 있다.

“피싱 공격을 방어하려면 반드시 사용자들을 교육시켜야 합니다. 이번 캠페인은 웹3 생태계를 노린 것이므로 웹3를 사용하고 있는 사람들이 교육의 대상이 되겠죠. 현재 소셜 엔지니어링이 진행되고 있고, 공격자들이 비슷한 프로젝트 이름을 가지고 덫을 놀고 있다, 그러니 유명 게임이라고 하더라도 거듭 확인한 후 사용하라고 말이죠. 특히 게임 개발자들이라면 웹3 프로젝트를 이용할 때 더욱 조심해야 할 것입니다.”

이번 캠페인과 연루되어 있는 정보 탈취형 멀웨어인 아토믹, 라다만티스, 라이즈프로 등을 탐지할 수 있도록 엔드포인트 방어 솔루션과 백신을 업데이트 하는 것도 필요한 일이라고 레코디드퓨처는 권장한다.

글 : 엘리자베스 몬탈바노(Elizabeth Montalbano), IT 칼럼니스트
[국제부 문정후 기자([email protected])]