This is the Trace Id: 573f6d27eea53d7d5389ec5c22373a4f

사기에 대한 과감한 조치: Storm-1152 저지

공유
다양한 아이콘이 있는 다채로운 원의 배열.

개요

2023년 3월, Microsoft의 한 주요 고객사는 고객사 시스템 중단으로 이어진 일련의 스팸 사이버 공격을 겪었습니다.

원인은 무엇이었을까요? 잠재 사용자에게 테스트 평가판으로 제공되는 이 고객사 서비스의 이점을 얻을 목적으로 대거 생성된 사기성 Microsoft Outlook 및 Hotmail 계정이었습니다. 이러한 가짜 계정은 해당 서비스에 대한 비용을 지불할 의도가 전혀 없었습니다. 결과적으로 고객사는 Microsoft Outlook 및 Hotmail 주소를 사용하는 모든 신규 계정 가입을 차단했습니다.

실제로 이 공격의 배후에는 Microsoft에서 Storm-1152라고 부르는 단체인 베트남 소재의 대규모 사기 기업이 있었습니다.

Storm-1152는 불법 웹 사이트와 소셜 미디어 페이지를 운영하며 잘 알려진 여러 기술 플랫폼에서 본인 확인 소프트웨어를 우회할 수 있는 사기성 Microsoft 계정과 도구를 판매했습니다. Storm-1152의 서비스는 범죄자가 온라인에서 다수의 범죄 및 악용 행위를 저지르는 데 필요한 시간과 노력을 줄여줌으로써 사이버 범죄의 관문 역할을 합니다. 이 단체는 총 약 7억 5천만 개의 사기성 Microsoft 계정을 판매용으로 생성하여 수백만 달러의 불법 수익을 얻었으며, 이들의 범죄 활동에 대항하기 위한 회사들의 비용 증대를 초래했습니다.

여러 단체가 Storm-1152 계정을 사용하여 랜섬웨어, 데이터 탈취 및 강탈에 가담한 것으로 드러났습니다. 여기에는​ Octo Tempest, Storm-0252, Storm-0455 등이 포함됩니다. Storm-1152는 계정 판매 사업을 통해 온라인에서 가장 큰 사이버 범죄 서비스 제공업체 중 하나가 되었습니다.

Microsoft는 2022년부터 이러한 악의적 활동의 증가를 추적해 왔으며 이러한 사기성 계정의 생성을 방지하고 관련하여 관찰된 패턴을 감지하기 위한 기계 학습 알고리즘의 사용을 늘렸습니다. 그러나 2023년 봄에 Microsoft와 파트너 플랫폼의 악용이 증가하면서 변곡점을 맞이하게 되었습니다. 보다 공격적인 조치가 필요했으며 Microsoft와 파트너 Arkose Labs가 함께하는 다기능 팀이 구성되었습니다.

조치 직후에 가입 트래픽이 약 60% 감소한 것이 관찰되었습니다. 이러한 감소는 나중에 Microsoft의 알고리즘이나 파트너가 악의적인 것으로 식별하고 이후에 Microsoft 서비스에서 일시 중단시킨 60% 이상의 가입 건과 거의 일치합니다. 

함께 노력한 결과로 Microsoft의 DCU(디지털 범죄 전담반)는 2023년 12월 첫 번째 법적 조치를 취해 Storm-1152가 서비스 판매에 사용했던 웹 사이트를 압류하고 폐쇄했습니다. 조치 직후에 가입 트래픽이 약 60% 감소한 것이 관찰되었습니다. 이러한 감소는 나중에 Microsoft의 알고리즘이나 파트너가 악의적인 것으로 식별하고 이후에 Microsoft 서비스에서 일시 중단시킨 60% 이상의 가입 건과 거의 일치합니다. 7월 23일, Microsoft는 12월 소송 이후 이 단체가 구축하려고 시도한 새로운 인프라를 저지하기 위해 두 번째 민사 소송을 제기했습니다.

이 새로운 위협 보고서는 해당 조치가 어떻게 진행되었는지에 대한 내막을 설명하고 사이버 위협 해결을 위한 업계 전반에 걸친 협력의 중요성을 강조합니다. 이 사례는 업계가 법적 경로를 사용하여 다른 단체를 저지하고 온라인에서 개인을 안전하게 보호할 수 있는 방법을 보여주는 예입니다. 또한 지속적인 저지의 중요성을 역설하며 사이버 범죄자가 전술을 바꾼다 하더라도 법적 조치가 여전히 효과적인 방법임을 알려줍니다. 결국 가장 중요한 것은 어떤 작전도 단 한 번으로 끝나지 않는다는 점입니다.

Storm-1152의 발견 및 식별

2023년 2월, MSTIC(Microsoft 위협 인텔리전스 센터)의 선임 보안 연구원인 Matthew Mesa는 대규모 피싱 작전에 Microsoft Outlook 계정이 사용되는 패턴이 증가하는 것을 관찰했습니다. Mesa의 역할은 이메일 작전을 분석하고 의심스러운 활동을 찾는 것입니다. 그는 계속해서 사기성 계정의 사용이 증가하는 것을 보면서 "이 모든 계정이 서로 연관되어 있을 수 있을까?"라고 자문했습니다.

그는 즉시 새로운 위협 행위자 프로필인 Storm-1152를 생성하고 활동을 추적하기 시작했으며 발견 사항을 Microsoft의 ID 팀에 보고했습니다. Microsoft 남용 방지 및 사기 방어 팀의 책임 제품 관리자인 Shinesa Cambric도 이 악의적 활동을 추적해 왔으며, Microsoft 소비자 서비스의 가입 프로세스를 보호하는 데 사용되는 CAPTCHA 챌린지를 무효화하려고 하는 자동화된 계정(봇)이 증가하는 것을 발견했습니다.​

"우리 팀은 소비자 환경과 기업 환경 모두에 중점을 두고 있습니다. 즉, 매일 수십억 개의 계정을 사기와 남용으로부터 보호하고 있다는 말이죠." Cambric은 설명합니다. "우리의 역할은 위협 행위자 방법론을 이해하여 공격을 피하고 시스템에 대한 액세스를 막는 것입니다. 우리는 항상 예방, 즉 나쁜 행위자를 시작 단계에서부터 저지할 수 있는 방법에 대해 생각하고 있습니다."

그녀의 주의를 끌었던 것은 해당 활동과 관련된 사기 행위의 증가였습니다. 여러 당사자(Microsoft 파트너 및 Microsoft 공급망 일부)가 연락하여 봇이 생성한 Microsoft 계정으로 인한 피해를 보고했을 때 Cambric은 조치에 돌입했습니다.

Cambric의 팀은 사이버 보안 방어 및 봇 관리 제공업체인 Arkose Labs와 함께 해당 단체의 사기성 계정을 식별하고 비활성화하기 위해 노력했으며, Microsoft MSTIC 및 ACTIR(Arkose 사이버 위협 인텔리전스 연구 전담반)의 위협 인텔리전스 동료들과 작업 세부 정보를 공유했습니다.

"우리의 역할은 위협 행위자 방법론을 이해하여 공격을 피하고 시스템에 대한 액세스를 막는 것입니다. 우리는 항상 예방, 즉 나쁜 행위자를 시작 단계에서부터 저지할 수 있는 방법에 대해 생각하고 있습니다." 
Shinesa Cambric 
Microsoft 남용 방지 및 사기 방어 팀의 책임 제품 관리자 

"처음에 우리의 역할은 악의적인 계정 생성으로부터 Microsoft를 보호하는 것이었습니다." Arkose Labs의 최고 고객 책임자인 Patrice Boffa는 설명합니다. "그러나 Storm-1152가 한 단체로 식별되자 우리는 많은 위협 인텔리전스를 수집하는 작업에도 착수했습니다."

Storm-1152 알아보기

금전적 이익을 목표로 하며 성장하고 있는 Storm-1152는 서비스형 사이버 범죄(CaaS) 제품을 내세우며 유난히 잘 조직되고 전문성을 띠는 모습으로 두각을 나타냈습니다. 합법적인 회사인 것처럼 운영되는 Storm-1152는 양지에서 당당하게 불법 CAPTCHA 해결 서비스를 실행했습니다.

"여러분은 이 조직이 악의적인 조직이라는 사실을 몰랐다면 다른 SaaS 회사와 다를 바 없다고 생각했을 것입니다." 
Patrice Boffa
Arkose Labs 최고 고객 책임자

Boffa는 "여러분은 이 조직이 악의적인 조직이라는 사실을 몰랐다면 다른 SaaS 회사와 다를 바 없다고 생각했을 것입니다."라고 말하며 Storm-1152의 AnyCAPTCHA.com이 공개 웹 사이트를 갖추고 PayPal을 통해 암호화폐 결제를 받았으며 심지어는 지원 채널까지 제공했다고 덧붙였습니다.

이 서비스는 봇을 사용하여 CAPTCHA 토큰을 대량으로 수집한 후 고객에게 판매했습니다. 고객은 해당 토큰이 만료되기 전에 부적절한 목적(나중에 사이버 공격에 사용할 사기성 Microsoft 계정 대량 생성 등)으로 토큰을 사용했습니다. 사기성 계정 생성 시도는 매우 신속하고 효율적으로 진행되었으며 Arkose Labs 팀은 이 단체가 자동화된 기계 학습 기술을 사용하고 있다고 결론을 내렸습니다. 

Boffa는 "우리의 완화 조치에 대한 이 단체의 적응 속도를 경험했을 때 이들의 공격 중 상당수가 AI를 기반으로 한다는 것을 알게 되었습니다. 우리가 봐 온 다른 공격자들과 비교할 때 Storm-1152는 AI를 혁신적인 방식으로 활용했습니다."라고 말했습니다. Arkose Labs와 Microsoft 팀은 증가하는 탐지 및 예방 조치에 맞춰 적응하기 위한 방법으로 비즈니스 전술이 변화하는 모습을 관찰할 수 있었습니다.

처음에 Storm-1152는 범죄자가 다른 기술 회사의 보안 방어를 우회할 수 있는 서비스를 제공하는 데 중점을 두었으며 Microsoft가 가장 큰 피해자였습니다. Storm-1152는 사기성 계정을 생성하기 위해 방어를 우회하는​​ 서비스를 제공했으며, 탐지가 있었다는 사실을 감지한 후에는 새로운 서비스를 제공했습니다. 이 단체는 계정 생성 방어를 우회하는 도구를 제공하는 대신, 봇이 수집한 자체 CAPTCHA 무효화 토큰을 사용하여 재판매를 위한 사기성 Microsoft 계정을 생성하는 쪽으로 방향을 전환했습니다.

"Storm-1152에서 관찰된 모습은 전형적입니다." Boffa는 말합니다. "위협 행위자를 잡을 때마다 그들은 다른 것을 시도합니다. 그들보다 앞서가는 것은 계속해서 잡힐 듯 잡히지 않는 술래를 잡는 것과도 같습니다."

Storm-1152에 대한 법적 소송 구축

2023년 3월, 사기 행위가 정점에 이르렀을 때 Cambric과 Mesa는 Microsoft의 DCU(디지털 범죄 전담반)와 협력하여 추가로 취할 수 있는 조치에 대해 논의했습니다.

Microsoft의 외부 단속 기관인 DCU는 일반적으로 가장 심각하거나 끈질긴 행위자만 추적합니다. DCU는 주로 범죄 수사 의뢰 및/또는 민사 소송을 통한 활동 저지(비즈니스 비용 증가 초래)에 중점을 둡니다.

Microsoft DCU의 사이버 범죄 단속 팀장 변호사인 Sean Farrell, Microsoft DCU의 사이버 범죄 단속 팀 조사 부문 수석 관리자인 Jason Lyons, 책임 사이버 조사관인 Maurice Mason은 함께 모여 추가 조사를 진행했습니다. 이들은 Microsoft의 외부 변호사와 협력하여 법적 전략을 설계하고 Microsoft의 여러 팀과 Arkose Labs가 수집한 위협 인텔리전스로부터 인사이트를 얻으며 민사 소송을 제기하는 데 필요한 증거를 수집했습니다.

Lyons는 그때를 회상하며 이렇게 말합니다. "DCU가 개입할 당시에는 이미 많은 작업이 완료되어 있었습니다. ID 팀과 Arkose Labs는 이미 계정을 식별하고 비활성화하는 데 있어 상당한 양의 작업을 수행한 상태였으며, MSTIC에서 사기성 계정을 특정 수준의 인프라에 연결할 수 있었기 때문에 DCU 법적 소송에서 좋은 결과를 거둘 것이라고 생각했습니다."

계속해서 밀어붙일 가치가 있는 사건의 구성에 기여하는 몇 가지 요소에는 민사 소송에 사용될 수 있는 법률, 관할권, 개인의 이름을 공개하려는 회사의 의지 등이 포함됩니다.

Lyons는 이러한 요소를 고려하는 것을 분류 프로세스에 비유했습니다. DCU는 분류 프로세스를 통해 사실과 정보를 조사하여 모든 것이 좋은 결과의 소송을 구성하는 데 도움이 되도록 했습니다. "우리는 우리가 하는 일을 놓고 생각했을 때 우리의 시간과 에너지를 행동을 취하는 데 투자할 것인지 자문합니다." 그는 말합니다. "그로 인한 영향이 우리가 투입해야 하는 자원만큼의 가치가 있을 것인지 묻죠." 이 경우 대답은 '예'였습니다.

Mason은 Storm-1152의 서비스형 사이버 범죄 활동의 특성을 파악하는 임무를 맡았습니다. Mason은 "제 역할은 Storm-1152가 어떻게 이러한 사기성 계정을 다른 위협 행위자 단체에 판매했는지 추적하고 Storm-1152의 배후에 있는 개인을 식별하는 것이었습니다."라고 설명합니다.

Microsoft와 Arkose Labs는 소셜 미디어 페이지 및 결제 식별자에 대한 심층 검토를 포함한 조사 작업을 통해 Storm-1152의 배후에 있는 개인인 Duong Dinh Tu, Linh Van Nguyễn(Nguyễn Van Linh이라고도 함), Tai Van Nguyen을 식별할 수 있었습니다.

조사 결과에 따르면 이들 개인은 불법 웹 사이트의 코드를 조작 및 작성했고, 비디오 튜토리얼을 통해 제품 사용 방법에 대한 자세한 단계별 지침을 게시했으며, 해당 사기성 서비스를 사용하는 사람들을 지원하기 위해 채팅 서비스를 제공했습니다. 이후 이 단체의 기술 인프라에 대한 연결성이 추가로 밝혀졌고 팀은 미국 기반 호스트임을 정확히 찾아낼 수 있었습니다.

"DCU에서 이러한 조치를 따르는 이유 중 하나는 이러한 사이버 범죄의 영향을 저지하기 위함입니다. 우리는 소송을 제기하거나 체포 및 기소로 이어지는 범죄 수사를 의뢰함으로써 이를 수행합니다."
Sean Farrell 
Microsoft 사이버 범죄 단속 팀장 변호사

Farrell은 사건을 진행하기로 한 결정에 대해 다음과 같이 말합니다. "우리는 운이 좋았습니다. 인프라와 범죄 서비스를 구축한 행위자를 식별한 팀의 훌륭한 작업이 있었기 때문이죠.

DCU에서 이러한 조치를 따르는 이유 중 하나는 이러한 사이버 범죄의 영향을 저지하기 위함입니다. 우리는 소송을 제기하거나 체포 및 기소로 이어지는 범죄 수사를 의뢰함으로써 이를 수행합니다. 행위자를 식별하고 미국에서 법적 소송을 통해 신원을 공개할 수 있을 때 매우 강력한 메시지가 전달되는 것 같습니다."​​

Storm-1152의 재출현 및 2차 법적 조치​​

팀은 2023년 12월에 취한 저지 조치 이후 인프라 사용이 즉시 감소하는 것을 목격했지만 Storm-1152는 RockCAPTCHA라는 새 사이트와 고객을 돕기 위한 새로운 방법 비디오를 시작하며 다시 등장했습니다. RockCAPTCHA는 Arkose Labs의 CAPTCHA 보안 조치를 무효화하기 위해 특별히 설계된 서비스를 제공하며 Microsoft를 표적으로 삼았습니다. 7월의 조치로 인해 Microsoft는 이 웹 사이트를 제어하고 공격자들에게 또 다른 타격을 줄 수 있었습니다.

Arkose ACTIR(사이버 위협 인텔리전스 연구 전담반)도 Storm-1152가 서비스 재구축을 시도하는 방법을 자세히 조사했습니다. 이들은 Storm-1152가 활동을 난독화하고 탐지를 회피하기 위해 AI(인공 지능) 활용을 강화하는 등 보다 정교한 전술을 사용하는 것을 관찰했습니다. 이러한 부활은 위협 환경에서 발생하는 변화를 보여주며 AI 기술에 정통한 공격자가 가진 고급 수준의 능력을 보여줍니다. 

Storm-1152가 AI를 통합한 주된 영역 중 하나는 회피 기술과 관련되어 있습니다. Arkose Labs는 이 단체가 AI를 사용하여 실제 인간이 한 것 같은 서명을 합성적으로 생성하는 것을 확인했습니다.

Vikas Shetty는 Arkose Labs의 제품 책임자이며 위협 연구 전담반인 ACTIR을 이끌고 있습니다. "AI 모델을 사용하면 공격자가 실제 인간이 한 것 같은 서명을 출력하는 시스템을 학습시킬 수 있으며, 이는 대규모 공격에 사용될 수 있습니다." Shetty는 말했습니다. "이러한 서명의 복잡성과 다양성으로 인해 기존의 탐지 방법으로는 따라잡기가 어렵습니다."

또한 Arkose Labs는 Storm-1152가 석사 과정 학생, 박사 과정 학생, 베트남 및 중국과 같은 국가의 교수를 포함하여 AI 엔지니어를 모집하고 고용하려고 시도하는 것을 관찰했습니다.

Shetty는 이렇게 말했습니다. "이러한 개인은 급여를 받고 정교한 보안 조치를 우회할 수 있는 고급 AI 모델을 개발합니다. 이러한 AI 엔지니어의 전문 지식 덕분에 모델의 효과성뿐만 아니라 진화하는 보안 프로토콜에 적응할 수 있는 능력이 보장됩니다."

사이버 범죄 활동을 유의미하게 저지하는 데는 사이버 범죄자가 어떻게 활동하고 새로운 기술을 사용하는지 계속해서 추적하는 것과 같이 끈질긴 태도를 유지하는 것이 중요합니다.

Farrell은 이렇게 말합니다. "우리는 계속해서 끈질기게 범죄자들이 돈을 벌기 어렵도록 하는 조치를 취해야 합니다. 이것이 우리가 이 새로운 영역에서 주도권을 잡기 위해 두 번째 소송을 제기한 이유입니다. 우리는 온라인에서 고객과 개인에게 해를 끼치려는 활동을 용납하지 않겠다는 메시지를 보내야 합니다."

교훈과 향후 시사점

Storm-1152에 대한 조사 및 저지 조치 결과를 되돌아보며 Farrell은 이 사건이 Microsoft와 영향을 받는 기타 회사에 미치는 영향뿐만 아니라 서비스형 사이버 범죄 에코시스템의 일부인 이러한 작전의 영향을 줄이려는 Microsoft의 노력을 생각할 때 중요하다고 말합니다.

대중을 향한 강력한 메시지

"우리가 맬웨어 공격과 국가 단위 작전에 매우 효과적으로 사용했던 법적 수단을 적용할 수 있다는 사실을 보여준 결과 공격자의 활동이 크게 완화되거나 교정되었습니다. 소송을 제기한 후 꽤 오랜 시간 동안 거의 0으로 떨어졌죠."라고 Farrell은 말합니다. "이를 통해 우리는 진정한 억지력을 가질 수 있다는 것을 알았고, 대중이 그로부터 얻는 메시지는 그 영향뿐만 아니라 온라인 커뮤니티의 더 큰 이익을 위해 중요하다는 것을 알았습니다."

ID의 새로운 액세스 벡터

또 다른 중요한 관찰점은 위협 행위자가 엔드포인트를 손상시키려는 시도에서 벗어나 ID를 노리는 모습을 보이는 일반적인 변화입니다.  대부분의 랜섬웨어 공격에서 위협 행위자는 도난당하거나 손상된 ID를 초기 공격 벡터로 활용하고 있습니다.
Mason은 이렇게 말합니다. "이러한 추세는 ID가 향후 인시던트에 대한 초기 액세스 벡터로 어떻게 자리잡을 것인지를 보여줍니다. CISO는 조직을 모델링할 때 ID에 대해 좀 더 진지한 입장을 취하는 것이 좋습니다. 먼저 ID 측면에 더 집중한 다음 엔드포인트로 시선을 옮기세요."

필수적인 지속적 혁신

Storm-1152의 재출현과 AI 기반 전략은 사이버 위협의 진화하는 특성을 강조합니다. 회피와 챌린지 해결을 위한 AI의 정교한 사용은 기존 보안 조치에 심각한 과제를 안겨 줍니다. 조직은 이러한 위협에 앞서기 위해 고급 AI 기반 탐지 및 완화 기술을 통합하여 발맞춰 적응해야 합니다.
"Storm-1152 사례는 AI에 정통한 공격자가 사용하는 정교한 전술에 대응하기 위해서는 사이버 보안의 지속적인 혁신이 중요하다는 점을 강조합니다." Shetty는 말합니다. "이러한 단체가 계속 진화함에 따라 이들로부터 보호하기 위해 설계된 방어 수단도 진화해야 합니다."

우리는 앞으로도 계속해서 새로운 보안 문제에 직면할 것이라는 점을 알고 있지만 이번 조치를 통해 배운 점에 대해서는 긍정적인 평가를 내립니다. 방어 커뮤니티의 일원으로서 우리는 공동선을 위해 함께 협력하는 것이 더 좋으며, 사이버 범죄에 맞서 지속적인 공공 및 민간 부문의 협력이 여전히 중요하다는 것을 알고 있습니다.

Farrell은 말합니다. "위협 인텔리전스, ID 보호, 조사, 기여, 법적 조치 및 외부 파트너십의 노력이 결합된 이 조치에서 보인 팀 간 협력은 우리가 어떻게 움직여야 하는지를 보여주는 훌륭한 사례입니다."

관련 기사

사이버 범죄의 관문이 되는 서비스 저지

Microsoft는 Arkose Labs의 위협 인텔리전스 지원을 받아 Storm-1152라고 불리는 가장 주요한 사기성 Microsoft 계정 판매 및 생성 조직을 저지하기 위해 기술적 및 법적 조치를 취하고 있습니다. Microsoft는 상황을 주시하고 있고, 주의를 기울이고 있으며, 고객을 보호하기 위해 행동에 나설 것입니다.
자세한 정보

기술 지원 사기 퇴치를 위한 Microsoft, Amazon 및 국제 법 집행 기관의 협력

Microsoft와 Amazon이 처음으로 힘을 합쳐 인도 전역의 불법 기술 지원 콜 센터를 폐쇄시킨 방법을 알아보세요.
자세한 정보

병원을 혼란에 빠뜨리고 생명을 위협한 해커에 대항한 이야기

크랙이 발생한 Cobalt Strike 서버를 중단하고 사이버 범죄자의 활동을 더욱 어렵게 만들기 위한 Microsoft, 소프트웨어 기업 Fortra, Health-ISAC 간 합동 작전의 비하인드 스토리를 알아보세요.
자세한 정보

Microsoft Security 팔로우