악성코드를 대신 배포해 주는 새로운 서비스, DaaS는 무엇인가
악성코드를 대신 배포해 주는 새로운 서비스, DaaS는 무엇인가
다크웹에 심상치 않은 서비스가 등장한 것으로 보인다. ‘서비스형 배포(Distribution-as-a-Service, DaaS)’라고 보안 업체 체크포인트(Checkpoint)는 이름을 붙인 채 추적하고 있다. 공격자들은 거대한 공
www.boannews.com
- DaaS(서비스형 배포)의 등장
- DaaS는 악성코드(멀웨어)를 배포하기 위한 공격 인프라를 대여해주는 서비스
- 보안 업체 체크포인트가 발견한 스타게이저고스트(Stargazers Ghost) 네트워크를 통해 운영
- 3000개 이상의 깃허브(GitHub) 계정을 활용한 대규모 공격 인프라로, 실제 규모는 더 클 가능성 존재
- 스타게이저고스트의 특징
- 유령 계정 정성 관리
- 깃허브 계정들이 정상적으로 보이기 위해 꾸준히 활동
- 정상적인 코드를 올리거나 깃허브 커뮤니티와의 상호작용을 통해 신뢰를 구축
- 단계별 세분화 공격
- 멀웨어 배포 과정을 여러 단계로 나누고 각 단계에 별도 계정을 활용
- 계정이 일부 차단되더라도 빠르게 대체 가능
- 자동화된 인프라 관리
- 계정 및 리포지터리의 유지·복구를 자동화해 운영의 연속성 보장
- 유령 계정 정성 관리
- 대표적인 공격 사례
- 아틀란티다스틸러(Atlantida Stealer) 캠페인
- 디스코드와 같은 플랫폼에서 악성 깃허브 링크를 통해 사용자 유도
- 단계별로 PHP, 비주얼베이직 스크립트, 파워셸 코드로 이어지는 복잡한 공격
- 약 4일간 1300명 이상의 피해자 감염
- 라이즈프로(RisePro) 캠페인
- 라이즈프로 크랙 버전을 미끼로 사용
- 러시아어 기반 통계를 통해 공격 성과를 모니터링
- 약 2주간 1050명 이상 감염
- 아틀란티다스틸러(Atlantida Stealer) 캠페인
- DaaS의 작동 방식과 수익 모델
- 다크웹 포럼에서 깃허브 계정을 활용한 공격 인프라 광고
- 계정의 생성 기간, 평판 등에 따라 가격 책정
- 100개 계정 이용 시 10달러, 고품질 계정 1개당 2달러
- 체크포인트는 네트워크가 최소 10만 달러 이상 수익을 올렸을 것으로 추정
- 보안 위협과 대응 방안
- 깃허브 플랫폼의 보안 문제
- 계정 및 리포지터리의 역할 분담으로 탐지 회피
- 깃허브의 기존 보안 장치만으로는 근본적 대응 어려움
- 공급망 공격의 확산
- 정상 소프트웨어 배포 경로에 악성 요소 삽입
- 깃허브와 같은 코드 공유 플랫폼이 주요 타겟
- 사용자의 보안 의식 필요성
- "진짜 같아 보이는 것"을 주의 깊게 확인하지 않으면 쉽게 피해 발생
- 단축 URL, 다운로드 링크 등 클릭 전 신중한 검토 필요
- 깃허브 플랫폼의 보안 문제
- 결론
- DaaS는 악성코드 배포의 새로운 시대를 열었으며, 더 정교하고 자동화된 공격이 예상
- 보안 플랫폼과 사용자는 협력하여 공격 인프라 식별 및 차단 기술을 강화해야 함
- 다크웹을 통한 공격 도구의 상업화는 전 세계적인 보안 위협을 심화시킬 가능성이 큼
'Kant's IT > Issue on IT&Security' 카테고리의 다른 글
| 반세기 넘긴 C 언어, 아직도 현역인 이유 (0) | 2025.01.24 |
|---|---|
| 점검해야 할 사이버보안 기술 5가지 (0) | 2025.01.24 |
| 2025년 보안 트렌드: CCTV 보안과 AI 기술 확대 (1) | 2025.01.24 |
| 클라우드 비용 관리: 지속적인 최적화의 중요성 (0) | 2025.01.24 |
| 금융위, 혁신금융서비스 신규 지정 및 SaaS 활용 규제 완화 (0) | 2025.01.24 |