정용환 기자
피싱 사기를 위해 필요한 도구를 일체형으로 제공하는 범죄자 대상 불법 서비스 PhaaS(Phishing as a Service) 중 하나인 다르쿨라(Darcula)는 아이폰 사용자가 쓰는 메시징 서비스인 아이메시지(iMessage)를 활용해 피싱 사기를 벌인다. 이런 다르쿨라가 2만 개 이상 도메인을 사용해 유명 브랜드를 사칭하고 100개국 이상 스마트폰 사용자로부터 인증 정보를 탈취하고 있다고 지적되고 있다.
다르쿨라가 지닌 특징 중 하나는 피싱 메시지를 발송할 때 SMS가 아닌 구글 메시지나 아이메시지 등 RCS를 사용해 표적에 접근한다는 것. 확인된 바로는 우편, 금융, 정부, 세무, 통신사, 항공사, 공공사업에 이르기까지 다양한 서비스와 조직이 표적이 되고 있다.
다르쿨라는 사이버보안 기업 넷크래프트(Netcraft) 보안 연구원에 의해 2023년 여름 문서화된 PhaaS다. 다르쿨라는 최근 사이버범죄 분야에서 주목받고 있으며 몇 가지 주목할 만한 사건을 일으켰다는 지적이다.
다르쿨라를 사용한 사이버 공격에는 2023년 영국 내 애플과 안드로이드 기기를 대상으로 한 메시지 경유 피싱 사기와 미국 우체국을 사칭한 소포 사기 등이 있다. 기존 피싱 사기와 달리 다르쿨라는 자바스크립트, 리액트, 도커, 하버 등 최신 기술을 활용하고 있어 공격자가 다르쿨라를 재설치하지 않고도 지속적인 업데이트와 새 기능 추가가 가능하다.
다르쿨라에는 100개국 이상 브랜드와 기관을 사칭한 200개가 넘는 템플릿이 준비되어 있으며 랜딩 페이지는 고품질이며 정확한 현지어, 로고, 콘텐츠가 사용되고 있다는 평가다.
다르쿨라를 이용하는 공격자는 사칭할 브랜드나 기관을 선택하고 해당 피싱 사이트 템플릿을 선택한다. 이어 관리 대시보드를 도커 환경에 직접 설치하기 위한 셋업 스크립트를 실행한다.
다르쿨라는 오픈소스 컨테이너 레지스트리인 하버(Harbor)를 사용해 도커 이미지를 호스팅하고 피싱 사이트는 리액트(React)로 개발되고 있다. 보안 연구원에 따르면 다르쿨라는 피싱 사기용으로 등록된 도메인을 호스팅하기 위해 .top, .com 같은 최상위 도메인을 활용하고 있으며 3분의 1은 클라우드플레어에서 지원되고 있다.
다르쿨라가 사용하는 2만 개 도메인은 1만 1,000개 IP 주소에 맵핑되어 있으며 넷크래프트에 따르면 매일 새 도메인 120개가 추가되고 있다고 한다.
다르쿨라가 RCS를 사용해 표적에 피싱 사이트 URL을 보내는 이유는 RCS가 엔드-투-엔드 암호화를 지원해 안전한 메시징 서비스로 인식되기 때문. 다만 엔드-투-엔드 암호화가 적용되어 있어도 메시지 내용을 근거로 차단할 수는 없다. 다시 말해 RCS라도 피싱 사기 메시지를 막을 수는 없다.
넷크래프트 측은 SMS는 의심스러운 발신처 메시지를 차단해 사이버범죄를 억제하려 해 PhaaS가 RCS나 아이메시지 등 대체 프로토콜로 이전할 가능성이 높다고 지적했다. 이런 사이버 공격 대응을 위해 애플은 다수 수신자에게 대량 메시지를 보내는 계정을 차단하고 구글은 루팅된 안드로이드 기기 RCS 메시지 송수신을 제한했다. 하지만 공격자는 복수 애플 ID를 만들어 소수에게 메시지를 보내는 방식으로 이 제한을 우회하려 하고 있다.
더불어 아이메시지에는 메시지에 회신하면 포함된 URL을 열 수 있다는 보안 기능이 탑재되어 있다. 이 기능을 우회하기 위해 다르쿨라 사용자는 수신자에게 Y라고 회신하라 또는 1이라고 회신하라는 등 메시지를 보내는 것으로 전해졌다. 이에 사용자가 회신하면 메시지 내 URL을 열 수 있게 된다. 넷크래프트 측은 부정확한 문법, 철자 오류, 지나치게 매력적인 제안, 긴급 행동 촉구 등에 주의를 기울일 걸 권고했다. 관련 내용은 이곳에서 확인할 수 있다.
이석원 기자
이원영 기자
