이모텟이 다시 살아났다. 트릭봇을 심고, 랜섬웨어를 퍼트리며 악명을 떨쳤던 바로 그 드로퍼 말이다. 심지어 핵심 멀웨어 개발자도 그대로 활동하는 것으로 보인다. 씨를 말리려면 보다 광범위한 공조 노력이 필요하다.

[보안뉴스 문가용 기자] 이모텟(Emotet) 멀웨어가 돌아왔다. 지난 번보다 더 위험해진 채로다. 보안 업체 체크포인트(Check Point)에 의하면 약 10개월 전 사법 기관의 국제 공조로 무력화 된 이모텟이 11월 15일부터 다시 나타나기 시작했다고 한다. 이모텟 트래픽 양은 10개월 전 전성기에 비교해 50% 수준까지 올라온 상태로 현재 트릭봇(TrickBot)과 악성 스팸 메일을 통해 유포되는 중이다.


이모텟은 랜섬웨어가 유포되는 주요 통로로써 악명을 높여 왔다. 이모텟이 침투해 간 자리에 트릭봇이 들어가고, 트릭봇은 다시 랜섬웨어 페이로드를 다운로드 받는 식이었다. 수맣은 조직들과 사업체들이 이모텟에 감염된 후 랜섬웨어에 당했다. 체크포인트의 로템 핑클스타인(Lotem Finkelstein)은 “2018년부터 2020년까지 이모텟은 랜섬웨어의 성공을 견인해 왔다”며 “2021년 말에 이모텟이 부활했다는 건 2022년 랜섬웨어 공격이 보다 활발해질 것을 암시한다”고 말한다.

국제 공조로 이모텟 인프라가 심각하게 손상된 후에도 운영자들은 자신들의 ‘사업’을 포기하지 않았다. 잠적기 동안 오히려 이모텟을 업그레이드시킨 것이다. “이전 버전에서는 RSA라는 암호화 알고리즘이 사용되었는데, 최신 버전에는 타원 곡선 암호화 알고리즘(ECC)가 탑재되었습니다. 따라서 이모텟의 통신 내용을 복호화하는 게 더 어려워졌죠. 또한 악성 윈도 앱 인스톨러 패키지 형태로 퍼지는 새로운 전략도 갖추게 되었습니다.”

사실 이모텟의 부활에 대해 경고한 건 체크포인트만이 아니다. 지난 달에는 딥인스팅트(Deep Instinct)가, 이번 주에는 인텔471(Intel471)이 각각 이모텟이 새로운 기능을 가지고 돌아왔음을 알렸다. 인텔471의 경우 이모텟이 에포크4(Epoch4)와 에포크5(Epoch5)라고 하는 봇넷을 통해 퍼진다는 사실을 공개하기도 했다. 이전에는 이런 인프라와 이모텟은 엮이지 않았었다. 크립토래무스(Cryptolaemus)라는 보안 전문가 그룹 역시 이모텟을 추적해 “코발트 스트라이크(Cobalt Strike)의 비컨(Beacon) 모듈을 심고 있다”는 사실을 밝혀내기도 했었다.

핑클스타인은 “운영자가 바뀌었다고 볼 만한 증거들이 나오지 않고 있다”고 설명하며 “모든 정황으로 봤을 때 그 때의 그 운영자가 다시 나타난 것으로 보인다”고 말한다. “설사 새로운 운영진이 배후에 있는 것이라고 하더라도 일부는 예전 운영진들임이 분명해 보입니다. 이전 이모텟에서 부족했던 부분과 오류로 볼 수 있는 부분들을 정확히 짚어내 개선시켰거든요. 자신이 만들고 사용한 도구를 잘 이해하고 있다는 뜻으로 해석됩니다.”

결국 이모텟은 사법 기관의 폐쇄 작전과 운영진의 체포가 있더라도 공격 인프라 혹은 멀웨어는 다시 살아난다는 사실을 다시 한 번 증명하게 되었다. 이는 이모텟이 무력화 된 직후부터 예견된 일이기도 했다. 수많은 나라에서 동시에 작전이 이뤄지고, 이모텟을 찾아 제거하는 소프트웨어가 사용되었어도 부활을 막을 수는 없었다. 아무리 많은 나라들이 작전에 참여하더라도 세계 어느 곳에는 공격 인프라가 그대로 유지될 수 있기 때문이다. 100%를 없애는 게 아니라면 언젠가 되살아날 수 있는 게 멀웨어들의 특징이기도 하다.

“이모텟은 세계 곳곳에 만연히 퍼져 있는 인프라입니다. 모든 나라가 동시에 작전을 펼쳐서 한 번에 일망타진하지 않는 이상 완전히 없애는 게 불가능합니다. 핵심 중 핵심 인물을 체포해서 다시는 개발을 못하게 하는 것도 좋은 방법인데, 그런 자를 정확히 특정하여 체포까지 이뤄내는 건 쉽지 않은 일입니다. 하지만 성공했을 때의 효과는 꽤나 좋은 편입니다.” 핑클스타인의 설명이다.

이모텟과 매우 밀접하게 연결되어 활동하는 멀웨어 트릭봇(Trickbot) 역시 되살아난 기억을 가지고 있는 멀웨어 중 하나다. 2016년부터 활동하기 시작한 트릭봇은 현재 다른 멀웨어를 퍼트리는 데에 적극적으로 활용되고 있다. 사법 기관들은 2020년 10월에 이뤄진 국제 공조 작전을 통해 트릭봇을 무력화시키려 했으나, 현재는 멀쩡히 살아있고 아무 일 없었던 것처럼 활동하고 있다. 올해 5, 6, 10월 가장 많은 활동력을 보인 멀웨어로 기록되었으며, 지난 11개월 동안 14만 대가 넘는 시스템을 감염시켰다고 한다.

“이모텟과 트릭봇은 항상 바늘과 실 같은 관계였습니다. 서로가 서로를 피해자의 시스템에 심고, 그러면서 자신들의 목적을 달성해 왔죠. 결국 서로의 협력 관계가 이 둘의 사업 모델이기도 했습니다. 한쪽이 그대로 살아 있는 한 다른 한쪽도 계속해서 부활할 수 있을 것으로 보이며, 따라서 둘을 모두 100% 없애야 이모텟과 트릭봇이 사라질 수 있을 것으로 봅니다.”

3줄 요약
1. 이모텟, 10개월만에 업그레이드 되어 다시 나타남.
2. 국제 공조로 여러 나라에서 일제히 작전을 펼쳤지만 그 효과는 10개월.
3. 공격 인프라(봇넷)는 전 세계 곳곳에 있어 씨를 말리는 게 대단히 어려움.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>