이모텟이 다시 등장한 것으로 보인다. 악명 높은 다운로더 멀웨어인 이모텟은 국제 공조로 폐쇄됐다가 최근 1년 반 만에 활동의 기지개를 폈다. 그것도 지난 번보다 업그레이드 된 모습이다. 곧 다시 기승을 부리게 될지 지켜봐야 할 일이다.

[보안뉴스 문가용 기자] 악명 높은 봇넷 멀웨어인 이모텟(Emotet)이 되살아났다. 2021년 1월 국제적인 공조로 폐쇄된 조직 및 공격 인프라가 약 1년 반 만에 부활한 것이다. 국제 사법 기관들의 공조로 사라진 멀웨어들은 거의 항상 되살아난다는 것이 다시 한 번 증명됐다.


이모텟은 2014년 뱅킹 트로이목마로서 처음 등장했다. 당시로서는 꽤나 드물었던 ‘서비스형 멀웨어(Malware-as-a-service, MaaS)’의 형태로 다크웹에서 제공됐고, 이 때문에 꽤나 큰 관심을 끌었다. 그러면서 이모텟은 점점 더 많은 기능을 탑재하기 시작했고, 결국은 다른 멀웨어를 피해자의 시스템에 심는 로더로서 더 활발히 활용됐다. 

이번에 되살아난 이모텟 버전은 기존 이모텟 공격이 활용하던 전략을 그대로 사용하고 있는데, 훔친 크리덴셜을 수집하고 활용하는 데에 있어 더 높은 효과를 보여주고 있다. 보안 업체 딥인스팅트(Deep Instinct)에 의하면 “공격자들은 하이재킹된 이메일 스레드를 활용하여 피해자들에게 악성 문서를 보내는데, 이 문서가 실행되면 악성 매크로가 발동된다”고 설명했다.

이것만이 아니라 이번 이모텟은 64비트 셸코드와 파워셸, 액티브 스크립트를 사용해 2017년 MS 제품에서 발견된 CVE-2017-11882 취약점을 익스플로잇 하기도 한다. 현재 이러한 공격은 주로 일본에 있는 사용자들을 겨냥하고 있는데, 일부 미국과 이탈리아에서도 피해자가 발견되기 시작했다. 이렇게 슬슬 피해자들이 하나 둘 발견된 건 이번 3월부터다.

딥인스팅트의 사이버 보안 고문인 척 에버렛(Chuck Everette)은 “작년 4사분기부터 이모텟 부활의 조짐이 보이기 시작해 면밀히 관찰해 왔다”고 말한다. “이모텟만이 아니라 여러 멀웨어의 변종들을 추적하고 있습니다. 이모텟은 관심을 받고 있는 여러 멀웨어 중 하나입니다.” 즉 조만간 다른 멀웨어의 변종 및 부활 소식이 있을 수 있다는 것.

이번에 발견된 멀웨어를 이모텟의 후예 혹은 변종으로 보는 것은 여러 가지 우회 테크닉이 기존 이모텟과 비슷하기 때문이다. "또한 활동 증가 패턴이 이모텟의 그것과 상당히 비슷하기도 합니다. 여러 가지 면에서 과거 이모텟과 유사성을 보이고 있는데, 당연하게도 과거의 그것과 다른 점들도 다분히 존재합니다. 그렇기 때문에 면밀히 관찰하고 있지요.”

그 차이점 중 하나는 공격의 흐름이 좀 더 부드러워졌고, 중간 단계가 사라졌다는 것이다. 공격의 효율성이 높아졌다는 뜻이다. 여기에 더해 HTTP를 버리고 HTTPS를 활용하기 시작했다. 그래서 공격자들의 악성 트래픽을 간파하는 게 더 힘들어졌다. 코드 난독화 기술도 추가해 공격 페이로드를 보호하기도 한다.

“이모텟 갱단은 전문가 집단입니다. 피싱 캠페인을 어떻게 진행해야 성공하는지도 알고 있고, 피해를 최대화 하고 자신들의 이득 역시 최대화 할 줄 압니다. 그런 상태에서 자신들의 공격 도구를 업그레이드 하여 나타난 겁니다. 이전보다 훨씬 까다롭고 방어하기 힘든 공격이 됐습니다. 하지만 이들의 가장 주된 전략은 여전히 피싱 이메일입니다. 결국 인간이 가장 취약한 방어 고리라는 걸 계속해서 쥐고 흔들겠다는 겁니다.” 에버렛의 설명이다.

그래서 에버렛은 “가장 훌륭한 방어 전략은 사람들을 계속해서 교육하는 것”이라고 말한다. “그리고 사람들을 대상으로 한 보안 교육에만 의존하지 않는 것”이라고 덧붙인다. “공격에 일가견이 있는 전문가들이 피싱 공격만 주구장창 한다? 그 만큼 교육으로 보완할 것들이 많다는 뜻입니다. 하지만 사람은 누구나 실수를 하죠. 그러므로 그런 실수를 최대한 막아 줄 기술을 도입하는 것도 중요합니다. 모니터링이나 이메일 보안 솔루션들 등 말이죠.”

그러면서 에버렛은 사이버 공격과 사이버 보안 모두 “효율의 싸움”이라고 설명한다. “공격자들은 최소한의 투자로 최대한의 효과를 거두기 위해 애씁니다. 그렇다는 건 누구나 완벽하게 방어할 필요가 없다는 뜻입니다. 남들보다 조금 더 어려운 표적이 되는 것으로 충분합니다. 효율을 추구하는 공격자들이 굳이 상대하기 어려운 당신을 계속 붙잡고 있을 이유는 없거든요.”

3줄 요약
1. 2021년 1월 국제 공조로 사라졌던 이모텟, 새로운 변종으로 나타남.
2. 공격의 흐름이 보다 부드러워지고 중간 단계 없어진 ‘고효율’ 멀웨어로 재탄생.
3. 하지만 이들의 가장 주력 공격 기법은 여전히 소셜 엔지니어링 및 피싱 메일.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>