에너미봇이라는 3개월짜리 신생 멀웨어가 전 세계 기업들을 소리 소문 없이 위협하고 있다. 이들은 해킹 무기와 익스플로잇 취약점 능력을 빠르게 최신화 하면서 사용자들의 고질적인 ‘느린 패치 습관’을 찌르고 있다.

[보안뉴스 문가용 기자] 에너미봇(EnemyBot)이라고 하는 사물인터넷 봇넷의 확산세가 심상치 않아 보안 업계로부터 경고가 나오기 시작했다. 켁섹(Keksec)이라는 해킹 그룹이 운영하는 이 봇넷은 리눅스를 표적으로 삼고 있고 지난 3월에 처음 발견됐다. 가프짓(Gafgyt)과 미라이(Mirai)와 소스코드 측면에서 상당한 유사점을 보이고 있으며, 그렇기 때문에 디도스 공격에 특장점을 가지고 있다. 그 외에 큐봇(Qbot)과도 비슷한 점을 다소 내포하고 있다.


최근 에너미봇은 사업 환경에서 인기 리에 사용되는 애플리케이션 및 플랫폼인 VM웨어 워크스페이스 원(VMware Workspace ONE), 어도비 콜드퓨젼(Adobe ColdFusion)에서 발견된 취약점들이나 워드프레스 플러그인, PHP 스크립트케이스(Scriptcase) 등의 취약점들을 익스플로잇 하는 식으로 퍼져가고 있다고 한다. 제로데이가 아니라 원데이 취약점, 즉 이미 공개된 취약점을 익스플로잇 한다는 뜻이다. 사용자들의 패치 적용에 긴 시간이 걸린다는 걸 잘 알고 있기에 가능한 일이다.

에너미봇이 주로 익스플로잇하고 있는 앱/장비 및 취약점들은 다음과 같다.
1) 로그4셸(Log4Shell) : CVE-2021-44228, CVE-2021-45046
2) F5 BIG IP 장비들 : CVE-2022-1388
3) 스프링 클라우드 게이트웨이(Spring Cloud Gateway) : CVE-2022-22947
4) 토토링크(TOTOLink) A3000RU 무선 라우터 : CVE-2022-25075
5) 크레이머 VIA웨어(Kramer VIAWare) : CVE-2021-35064
6) PHP 스크립트케이스 : CVE에 미등록
7) 어도비 콜드퓨전 11 : CVE에 미등록

에너미봇의 특장점은 디도스 공격 능력이긴 하지만, 그 외에도 다른 위협적 요소들을 갖추고 있다. 새로운 코드를 다운로드 받아 피해자의 시스템에서 실행시킬 수도 있고, 취약점 목록을 따로 가지고 있고, 이것을 업데이트 할 수도 있어 위에 언급되지 않은 새로운 원데이 취약점을 익스플로잇 할 잠재력까지 갖추고 있다. VM웨어 워크스페이스 원의 취약점인 CVE-2022-2294가 공개되고서 하루 만에 에너미봇의 무기가 된 것을 이러한 사례로 볼 수 있다.

보안 업체 디맨드베이스(Demandbase)의 CISO인 션 말론(Sean Malone)은 “에너미봇의 무서운 점은 취약점 정보를 매우 빠르게 흡수한다는 것”이라며 “단순히 이러한 특성만으로도 치명적인 위협거리로 간주하기에 부족함이 없다”고 말한다. “새로운 취약점 소식이 발표되면 켁섹은 이를 에너미봇에 재빨리 반영합니다. 패치가 개발되고 적용되는 것보다 훨씬 빠른 속도를 보입니다. 어떤 앱이나 어떤 장비라도 어느 시점에는 반드시 익스플로잇 가능한 취약점을 보유하게 된다는 것을 너무 잘 이해하고 있는 것으로 보이며, 그것을 공략하기 위해 움직이는 것으로 보이기도 합니다. 취약점 대응에 있어 속도전 양상을 이끌어내는 것이죠. 현대 기업들의 가장 아픈 부분이기도 하고요.”

현재까지 분석에 따르면 켁섹은 매우 유연하고 자원도 풍부한 해킹 단체다. 2016년부터 활동해 왔으며, 봇넷을 만들어 다른 사이버 공격 그룹에 대여하는 사업을 주로 하고 있다. 예전부터 취약점 익스플로잇에 특화되어 있었고, 리눅스와 윈도, 안드로이드 등 여러 가지 환경을 공략할 줄 알았다. 뿐만 아니라 파이선을 기반으로 자신들만의 멀웨어도 제작할 기술력까지 갖췄다. 디도스 공격도 하지만 암호화폐 채굴과 정보 탈취 공격도 자주 한다.

그 동안 켁섹은 자신들의 무기고를 꾸준히 확대해 오기도 했다. 이는 취약점 정보를 최대한 빨리 반영하는 이들의 행태를 봤을 때 오히려 당연한 것이기도 하다. 그리고 이러한 특성 때문에 시간이 지날수록 더 큰 위협으로 수많은 기관과 기업들을 위협할 것 또한 쉽게 예상할 수 있다. 게다가 문제를 더 심각하게 만드는 요인도 존재한다.

AT&T 랩스(AT&T Labs)에 의하면 “멀웨어의 기초가 되는 소스코드가 깃허브에 공유된 상황”이라고 한다. 누구나 이를 가져다가 자신들만의 에너미봇을 만들 수 있게 된 것이다. “켁섹이 아니더라도 에너미봇을 운영할 수 있게 됐죠. 마치 미라이가 소스코드 공개 이후 다양한 버전으로 재탄생해 지금까지도 나오는 것처럼 말이죠. 이렇게 멀웨어 소스코드가 한 번 풀리면 변종들이 셀 수 없을 만큼 등장하곤 합니다.”

3줄 요약
1. 3월부터 등장한 에너미봇, 성장세가 무서운 수준.
2. 익스플로잇 하는 원데이 취약점의 종류가 빠르게 늘어나고 있다는 게 가장 위협적.
3. 게다가 소스코드까지 풀리는 바람에 각종 변종 등장할 것이 예상됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>