• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 범죄 단체 핀8, 새로운 백도어 확보해 활동 재개 2021.08.26

정치적 목적 없이 오로지 돈만 노리는 공격자 단체인 핀8이 활동을 시작했다. 이번에는 사도닉이라는 새로운 도구까지 갖췄다. 최초 침투 방법은 아직 덜 분석됐지만, 한 번 침투에 성공하면 핀8에게 필요했던 ‘유연성’을 더해준다고 한다. 그래서 큰일이다.

[보안뉴스 문가용 기자] 금전적인 이득을 거두려고 움직이는 사이버 범죄 단체 핀8(FIN8)이 새로운 멀웨어를 들고 나타났다고 보안 업체 비트디펜더(Bitdefender)가 발표했다. 이 멀웨어는 기본적으로 백도어의 일종이며, 사도닉(Sardonic)이라는 이름으로 불리고 있다.

[이미지 = utoimage]


비트디펜더의 위협 연구 국장인 보그단 보테자투(Bogdan Botezatu)는 “사도닉 덕분에 핀8 공격자들은 공격을 진행하면서 빠르게 필요한 기능을 추가할 수 있게 된다”고 설명한다. 새 기능이 필요할 때마다 멀웨어를 전체적으로 업데이트 할 필요가 없다는 것으로, 핀8의 발걸음을 가볍게 만드는 데 큰 도움을 주고 있다는 게 보테자투의 설명이다.

핀8이 현재까지 주로 사용하던 공격 도구들은 ‘정적’이었다. 즉 한 번 피해자 시스템에 심은 멀웨어를 원격에서 바꾸거나 조작하는 게 힘들었다는 뜻이다. 그렇게 하려면 또 다시 공격을 처음부터 실시해 새로운 멀웨어를 심어야 했다. 사도닉은 모듈 구성으로 개발되었기 때문에 번거롭지 않게 기능 추가가 이뤄질 수 있다고 보테자투는 설명한다. “게다가 모듈들이 메모리 내로 직접 주입되기 때문에 탐지 확률을 크게 떨어트리기도 합니다.”

이런 유연성 때문에 핀8은 자신들이 침투한 환경에 빠르게 적응할 수 있게 된다. “유연성이 높아졌다는 건 공격자들에게 있어 대단히 좋은 소식입니다. 피해자의 환경을 제대로 파악하지 못한 채 들어가는 공격은 어떤 의미에서 도박과 같기 때문입니다. 맞으면 좋고 틀리면 헛수고가 되는 일을 크게 줄일 수 있게 해 주는 것이 ‘유연성’입니다. 게다가 세상의 모든 시스템과 네트워크는 다 조금씩 다르게 설정되어 있다는 걸 생각하면 사도닉이 공격 효율을 얼마나 높여주는지 상상할 수 있습니다.”

핀8은 2016년 초기부터 활동을 시작한 것으로 알려진 범죄 단체다. 당시에는 PoS 단말들을 주로 노렸었다. 그 때는 PoS 단말을 겨냥한 공격이 크게 유행했었는데, 대부분의 공격자들은 단말기 자체에 ‘카드 스키밍’ 멀웨어, 즉 소비자가 긁는 카드의 정보를 가로채는 기능의 멀웨어를 심었다. 하지만 핀8은 단말과 연결되어 있어 카드 정보가 처리되는 백엔드 시스템을 노리는 차별점을 보여주었다.

핀8은 최초 침투를 위해 주로 스피어피싱 공격을 실시하는 편이다. 하지만 비트디펜더가 최근 찾아낸 사도닉 공격의 최초 침투 경로는 아직 명확히 밝혀지지 않은 상태다. 공격자들이 사용자 계정 두 개를 침해했고, 이를 바탕으로 네트워크에 접속했다는 것 정도까지만 파악하고 있다. “침투 후 핀8은 네트워크를 한 동안 정찰했습니다. 그리고 윈도의 WMIC 유틸리티를 활용해 횡적으로 움직였지요.”

공격이 진행되는 과정 중에 핀8은 향상된 버전의 배드해치(BADHATCH)라는 백도어를 사용하기도 했었다. 그 동안 핀8이 미국, 캐나다, 이탈리아, 남아프리카공화국 등의 조직들을 공격할 때 사용했던 백도어다. 사도닉 백도어를 설치하는 것이 항상 성공하는 것은 아니었는데, 실패할 때 배드해치를 사용하는 듯 했다고 한다.

“사도닉은 주로 피해자의 네트워크를 정찰하고 정보를 수집할 때, 횡적으로 움직일 때, 중요한 장비나 네트워크 세그먼트로 도달할 때까지 권한을 높여야 할 때 사용됩니다. 즉 공격자가 지속적으로 접속하고 유연하게 움직일 수 있게 해 주는 도구였죠. 하지만 사도닉 설치 시도는 여러 번 실패하기도 했습니다. 그럴 때 배드해치가 대체제로 선택되는 것 같습니다.”

비트디펜더는 사도닉이 이미 충분히 위협적인 멀웨어이지만 아직 완성된 건 아니라고 보고 있다. “공격자가 원격에서 입력할 수 있는 명령어 자체의 가짓수는 많은데, 그 명령어를 구현할 수 있는 기능이 빠져 있는 경우가 종종 발견되고 있습니다. 제목만 있고 내용은 아직 빈 칸인 채로 있는 겁니다. 공격자들이 이 부분을 앞으로 채워 넣을 것으로 예상됩니다.”

3줄 요약
1. 돈을 노골적으로 노리는 공격 단체 핀8, 새로운 무기 들고 등장.
2. 새 무기의 이름은 사도닉으로, 모듈 구성을 하고 있어 핀8에게 부족했던 유연성을 키워줌.
3. 이미 충분히 위협적인데, 아직 한창 개발이 진행되고 있는 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>