보안성이 높은 텔레그램 표적 악성코드가 나타났다.
시스코 탈로스 인텔리전스팀은 종단간(E2E) 암호화 메신저 텔레그램에서 캐시(Cache)와 키(Key) 파일을 수집하는 악성코드를 발견했다. 탈로스팀은 해당 악성코드를 '텔레그랩(TeleGrab)' 이라 부른다. 4월 첫 번째 버전이 나타났으며 두 번째 변종도 보고됐다.
텔레그랩은 스마트폰에서 쓰는 모바일 텔레그램 메신저가 아닌 PC 버전에 영향을 끼친다. 텔레그램 PC버전은 종단 간 암호화 기능을 쓰는 비밀채팅을 제공하지 않는다. 텔레그램 PC버전은 한 번 로그인 하면 계속 로그인된 상태다. 공격자는 텔레그램 PC버전의 취약한 기본 세팅과 비밀채팅이 안 되는 것을 악용해 캐시 데이터와 메시지 등을 빼돌렸다.
첫 번째 텔레그랩 악성코드는 브라우저 자격증명과 쿠키, 시스템에서 발견되는 텍스트 파일 등을 훔쳤다. 두 번째 변종에는 텔레그램이 설치된 PC의 캐시와 키 파일, 비디오게임 서비스 '스팀' 로그인 정보를 빼돌렸다. 상당수 사용자는 한 개 로그인 정보로 여러 사이트에 접속한다. 공격자는 스팀 로그인 정보를 활용해 다른 사이트에 부정 접속을 시도한다.
악성코드는 텔레그램 캐시 데이터를 수집, 압축해 전송한다. 공격자는 피해자 연락처와 이전 채팅 내용에 접근할 수 있다. 탈로스팀은 해당 악성코드가 텔레그램 세션을 가로채기(하이재킹)하는 게 특이하다고 분석했다. 텔레그램 자체 취약점을 이용하는 게 아니라 기본 세팅과 기능을 활용한다.
탈로스팀은 악성코드 제작자를 '라쿤 해커(Racoon Hacker)'란 이름을 사용하는 사람으로 추정했다. 라쿤 해커는 러시아어를 모국어로 쓰고 파이톤(Python) 프로그래밍 언어에 능숙하다. 악성코드 제작환경은 러시아어나 우크라이나어가 쓰는 CP-1251 문자 인코딩 체계를 쓴다. 탈로스팀은 유튜브와 웹에서 라룬 해커가 올린 동영상과 악성코드 사이에 연관성을 발견했다.
탈로스는 “대형 범죄 집단에 의해 만들어지는 거대 봇 네트워크와 비교했을 때 이런 위협은 미치는 영향이 작을 것으로 생각된다”면서 “하지만 실제로 이런 작은 공격은 레이더에 감지되지 않으면서 수천개 자격 증명에 피해를 입힌다”고 지적했다.
이어 “시간이 지속돼 피해자가 늘어나고 사용자 프라이버시에 영향을 미친다”면서 “공격자는 얀덱스와 지메일, 구글 등에 빼돌린 로그인 정보로 접속해 정보를 빼낸다”고 덧붙였다.
김인순 보안 전문기자 insoon@etnews.com
