자, 이게 무슨 일이냐면요. 수년간 우리는 피싱 사기, 특히나 늘 스트레스받는 여행객들을 노린 사기 메일의 홍수 속에서 허우적대고 있었잖아요. 사이버 범죄자들이야 늘 똑같은 레퍼토리 – 가짜 송장, 수상한 배송 알림 – 를 반복할 거라고 다들 예상했죠. 하지만 여행 및 숙박 산업에 유독 집착하는 악명 높은 공격자, TA558이 판을 좀 흔들기로 한 모양입니다. 팬데믹 때문에 여행이 뜸했던 기간 동안에는 잠시 숨을 죽였던 듯한데, 비행기와 호텔이 다시 북적이기 시작하자 복수라도 하듯, 훨씬 더 교묘한 속임수로 돌아왔다는 겁니다.
예전에 봤던 단순한 악성 링크는 이제 잊으세요. 이들은 더 이상 장난 수준이 아닙니다. 2018년의 구식 수법을 다시 꺼내 들고는, 글쎄요, 멀웨어로 보기 좋게 덧칠을 해왔습니다. Proofpoint의 분석에 따르면, 이번 최신 캠페인은 가짜 예약 확인 메일을 이용하는데요. 핵심은 이렇습니다. 메일 안의 링크가 단순히 악성 웹사이트로 연결되는 게 아니라는 거죠. 맙소사, 이건 그냥 디지털 덫이거든요. RAR과 ISO 파일입니다. 이건 할아버지의 지퍼 파일과는 차원이 달라요. 클릭해서 압축을 풀고, 여기저기 만지다 보면 결국 악성 멀웨어 덩어리를 풀어놓는, 딱 하나로 압축된 꾸러미입니다. 마치 멋진 여행 브로슈어인 줄 알았는데, 알고 보니 시한폭탄이었던 셈이죠.
문제는 이것입니다. Proofpoint는 TA558이 2022년부터 URL 사용에 더욱 박차를 가했으며, 2018-2021년 5건에 비해 무려 27건의 캠페인을 벌였다고 지적합니다. 그리고 이 URL들이요? 종종 ISO나 RAR 같은 컨테이너 파일로 이어졌고, 그 안에는 실행 파일이 숨어 있었습니다. 그러니까, 예약 링크를 클릭하고, 파일을 풀라는 메시지에 응하고, 뻥! AsyncRAT 같은 아주 교활한 원격 제어 트로이 목마에 컴퓨터가 감염되는 겁니다.
일정표를 멀웨어 감염 상태로 업그레이드하세요
물론 이게 완전히 예상 밖의 일은 아닙니다. TA558에게는 역사가 있습니다. 2018년에는 오래된 마이크로소프트 워드 취약점(CVE-2017-11882)을 악용하거나 원격 템플릿 URL을 사용해 희생자를 낚았습니다. 그다음엔 파워포인트 첨부 파일, 매크로가 포함된 문서, 템플릿 삽입 기술도 선보였죠. 2019년경부터는 영어권 사용자를 대상으로 하는 미끼를 던지며 공격 범위를 넓히기 시작했습니다. 2020년 초반은 그들에게 완전한 기회의 장이었는데, 1월 한 달에만 무려 25건의 캠페인이 쏟아졌죠. 정말 바빴습니다.
하지만 왜 이제 와서 RAR과 ISO 파일로 전환한 걸까요? 2021년 말과 2022년 초부터 마이크로소프트가 오피스 제품의 기본 매크로 실행을 차단한 것이 가장 큰 원인으로 보입니다. 늘 쓰던 문이 잠기면, 창문을 찾기 마련이죠. TA558에게 ISO와 RAR 파일이 바로 그 새로운 창문인 셈입니다.
캠페인 속도가 눈에 띄게 증가했습니다. Loda, Revenge RAT, AsyncRAT 등 다양한 멀웨어를 유포했으며, URL, RAR 첨부 파일, ISO 첨부 파일, 오피스 문서 등 다양한 유포 방식을 사용했습니다.
그렇다면 어떤 종류의 멀웨어를 이야기하는 걸까요? 대부분 원격 제어 트로이 목마(RAT)입니다. 이건 디지털 세계의 사립 탐정과 같아요. 공격자가 몰래 돌아다니며 데이터를 훔치고, 더 나아가 더 많은 악성 소프트웨어를 다운로드할 수 있게 해주죠. 디지털 장난질의 전체 생태계인 셈입니다.
이 모든 과정에서 핵심 동기는 변하지 않았습니다. 바로 돈입니다. Proofpoint는 TA558이 금전적인 동기로 움직인다고 확신하며, 훔친 데이터를 운영 자금으로 사용하고 궁극적으로 현금을 빼돌립니다. 그리고 위험에 처한 건 여행 분야의 기업만이 아닙니다. 휴가나 호텔을 예약한 사람이라면 누구나 잠재적으로 영향을 받을 수 있습니다. 그러니, 꿈에 그리던 휴가가 그냥 사이버 보안 악몽으로 변할 수도 있다는 말이죠.
TA558의 역사
최소 2018년부터 TA558은 여행, 숙박 및 관련 산업에 골칫거리였습니다. 주로 라틴 아메리카를 겨냥했지만, 때로는 북미와 서유럽까지 그물코를 넓히기도 했습니다. 이들의 수법은 일관되게 사회 공학적 이메일을 사용하는 것이었습니다. 포르투갈어나 스페인어로 작성된 이 메일들은 보통 가짜 호텔 예약 정보를 담고 있었고, 제목이나 첨부 파일 이름은 간단하지만 이제는 상당히 불길한 “reserva(예약)”였습니다.
초창기에는 마이크로소프트 워드의 수식 편집기 취약점(CVE-2017-11882)을 악용하여 Loda나 Revenge RAT 같은 RAT를 다운로드했습니다. 2019년에는 매크로가 포함된 파워포인트 슬라이드와 템플릿 삽입을 통해 다양화했습니다. 2020년 초반에는 활동이 최고조에 달하며 놀라울 정도로 규칙적으로 캠페인을 쏟아냈고, 주로 매크로가 포함된 오피스 문서나 알려진 오피스 취약점을 이용했습니다. 그리고 이제, 그들은 또다시 진화했습니다. 익숙한 수법 대신 더 현대적이고 – 아마도 더 악랄한 – 유포 경로를 선택한 것이죠.
이러한 진화는 절망의 신호일까요, 아니면 단순한 영리한 적응일까요? 여행 수요 증가와 예약 경쟁이 치열해지는 상황을 볼 때, 후자일 가능성이 높습니다. 언제나처럼 돈을 따라가는 거죠. 그렇다면 여기서 누가 이득을 볼까요? 일단 AsyncRAT와 TA558이 퍼뜨리는 다른 멀웨어 제작자들이 있겠네요. 당연히 위협 행위자들 자신도요. 그리고 어쩌면, 그렇게 부를 수 있다면, 이러한 캠페인을 분석하고 우리 모두에게 경고하는 보안 연구자들도 있겠죠. 하지만 일반 여행객이나 정신없는 호텔 예약 담당자에게는 분명히 좋은 소식이 아닙니다. 디지털 시대에 여행 예약을 하는 것조차도 고위험 도박이 될 수 있다는 것을 분명히 상기시켜 줍니다.
개발자에게 왜 중요할까요?
개발자, 특히 여행 산업을 위한 웹 애플리케이션이나 서비스를 개발하는 사람이라면, 강력한 입력값 검증과 안전한 파일 처리가 얼마나 중요한지 이 사건이 보여줍니다. 사용자 업로드 파일 유형에만 의존하는 것은 재앙을 불러오는 지름길입니다. 한번 생각해 보세요. 예약 포털이 일반적인 압축 파일을 받는다면, TA558과 같은 위협에 문을 열어주는 셈입니다. 엄격한 검사를 구현하고, 가능하다면 서버 측에서 첨부 파일을 처리하기 전에 검사하는 것이 무엇보다 중요합니다. 또한, 백엔드 스크립트가 PowerShell이나 배치 파일 실행에 쉽게 노출되지 않도록 보장하는 것이 핵심입니다. 이건 단순히 범죄자를 잡는 것을 넘어, 악의를 전제로 하고 이를 방지하는 복원력 있는 시스템을 구축하는 문제입니다.
여기서 실제로 돈 버는 사람은 누구일까요?
잡설은 그만두고, 이 복잡한 계획에서 누가 이득을 보는지 봅시다. 우선, TA558 배후의 어두운 그림자들과 AsyncRAT와 같은 멀웨어 개발자들이 있습니다. 그들은 훔친 데이터를 불법 시장을 통해 판매하거나, 초기 침해 이후 발생할 수 있는 랜섬웨어 공격을 통해 수익을 창출합니다. 둘째, 이러한 캠페인 이후 도구와 서비스에 대한 수요 증가가 확실한 보안 소프트웨어 판매업자들이 있습니다. 참으로 암울한 순환입니다. 위협이 등장하고, 방어가 구축되고, 새로운 위협이 그 방어를 악용하는 모든 것이 공포와 보호에 기반한 산업을 연료로 삼습니다. 최종 사용자, 즉 여행객이나 숙박 업체는 직접적으로든 간접적으로든 거의 항상 그 대가를 치르게 됩니다.
TA558이 RAR 및 ISO 파일로 전환한 것은 진화하는 보안 조치에 대한 직접적인 대응입니다. 이것은 군비 경쟁이며, 그들은 기꺼이 적응할 의향이 있음을 보여줍니다. 팬데믹 이후 회복에 이미 어려움을 겪고 있는 여행 산업은 이제 극복해야 할 또 다른 중요한 사이버 보안 장애물을 안게 되었습니다. 그리고 소비자로서 우리는? 글쎄요, 예약 확인 메일을 두 번 확인하는 일이 더욱 중요해졌습니다.
