우린 언제나 이모텟의 영향에서 벗어날 수 있을까. 10주년이 다 되어가는 오래된 멀웨어가 사라졌다 나타나기를 반복한다. 이번에도 3개월만에 살아났다. 2021년의 대규모 국제 공조가 언제 있었나 싶다.

[보안뉴스 문가용 기자] 악명 높은 멀웨어 운영 집단인 이모텟(Emotet)이 3개월 만에 다시 나타났다. 이모텟을 심으려는 의도로 만들어진 악성 이메일들이 3월 7일부터 유포되기 시작한 것이다. 이번 피싱 이메일들은 피해자들이 누군가와 주고 받았던 기존 이메일들에 대한 답장처럼 보이게끔 꾸며져 있었으며, 이 때문에 피해자들이 의심하기 어려웠다고 한다.


매우 큰 파일과 페이로드
문제의 이메일들에는 대부분 집으로 압축된 파일이 첨부되어 있다. 피해자가 이를 다운로드 받아 실행시킬 경우 워드 문서가 나타나며, 이 문서를 열어서 내용을 확인하려 할 경우 매크로를 활성화하라는 요청이 팝업 형태로 화면에 출력된다. 매크로가 활성화 된 후에는 이모텟의 새로운 버전이 외부 서버에서부터 다운로드 및 설치된다.

보안 업체 코펜스(Cofense)와 호넷시큐리티(Hornet Security)에 의하면 문제의 워드 문서와 악성 페이로드 모두 용량이 대단히 크다는 특징을 가지고 있다고 한다. 각각 500MB를 넘는 수준이다. 3월 7일부터 현재까지 유포된 모든 이메일과 첨부파일들 모두 비슷한 특징을 가지고 있다. “악성 링크로 대체되는 경우는 아직까지 한 번도 못 봤습니다. 전부 대용량 파일을 첨부하고 있었습니다.” 코펜스의 연구원 제이슨 무어러(Jason Muerer)의 설명이다.

호넷 측은 “대용량 파일이 첨부된 건 기존의 엔드포인트 탐지 대응 솔루션을 회피하기 위한 전략으로 보인다”는 의견이다. “보안 솔루션들 중 일부는 스캔할 파일이 클 경우 맨 앞의 일부만 검사하고 나머지 부분은 뛰어넘습니다. 이러한 일부 솔루션들의 특성을 간파한 전략이 아닐까 합니다. 이번 캠페인이 속도의 면에서 그리 우수하다고 하기 힘들지만 조만간 공격자들이 페이스를 올릴 것으로 예상합니다.”

죽여도 죽지 않는 멀웨어
이모텟은 2014년 처음 등장한 멀웨어다. 당시에는 뱅킹 트로이목마의 일종이었다. 하지만 시간이 흐르면서 이모텟의 원래 개발자들은 이모텟을 ‘다른 종류의 멀웨어를 다운로드해 설치하는 다운로더’로 바꾸어갔다. 참고로 이모텟의 원 개발자는 밀버그(Mealbug), 머미스파이더(Mummy Spider), TA542라는 이름으로 알려져 있다. 다운로더가 된 이모텟은 점차 공격자들 사이에서 널리 알려지게 되었으며, 류크(Ryuk), 콘티(Conti), 트릭봇(Trickbot)과 같은 멀웨어를 퍼트리는 데 활용됐다.

현재까지 이모텟은 주로 스팸 이메일이나 피싱 공격을 통해 퍼져 왔다. 첨부파일을 열라거나 링크를 클릭하라는 식의 전형적인 전략들이었다. 여기에 속으면 이모텟이 다운로드 돼 설치됐다. 활성화 된 이모텟은 피해자의 시스템에서 공격자와 통신을 유지하며 다른 종류의 멀웨어들을 다운로드 받는다. 정보 탈취 멀웨어가 될 수도 있고, 랜섬웨어가 될 수도 있고, 그 외 다른 여러 멀웨어가 될 수도 있다. 이모텟만 막으면 다른 멀웨어도 막을 수 있다는 이야기가 돌 정도로 이모텟은 극성을 부렸다.

2021년 초, 여러 나라들이 움직이기 시작했다. 대규모 국제 공조로 이모텟의 공격 인프라를 무력화시키는 데 성공했다. 당시 미국 사법부는 2020년 4월부터 2021년 1월까지 전 세계 160만여 대의 컴퓨터들이 이모텟에 침해됐다고 발표했었다. 피해를 입은 국가도, 산업도 다양했다. 하지만 당시에도 수개월 정도 잠잠히 있었을 뿐 이모텟은 다시 살아났다. 그리고 보란 듯이 이전과 같은 활동을 이어가고 있다. 심지어 이번처럼 스스로 휴식기를 가지며 나름의 페이스 조절을 하는 여유까지 선보이는 중이다.

2022년 10월 VM웨어의 보안 연구원들은 이모텟이라는 위협을 분석하며, 대규모 국제 공조가 성공한 이후에도 되살아난 원동력을 파헤쳤다. 그러면서 다음과 같은 결론을 내렸다.
1) 복잡하고 정교한 공격 사슬
2) 지속적으로 진화하는 난독화 기법들
3) 강화된 C&C 환경

새로운 활동의 시작, 하지만 같은 전략
무어러는 “이모텟은 원래 다양한 종류의 페이로드를 감염시키는 데 활용됐으나 이번 공격은 주로 랜섬웨어와 연계될 것으로 보인다”고 말한다. “아직까지는 이번 이모텟 캠페인이 새로운 전략을 채용하고 있는 것으로 보이지 않는 상황입니다. 여전히 이들은 이메일의 첨부파일을 통해 워드 파일을 보내며, 피해자들이 매크로를 활성화시키도록 유도하고 있습니다. 스팸과 피싱이 이모텟을 묘사하는 두 가지 단어임에는 변화가 없습니다.”

그래서 무어러는 “결국 이제까지 이모텟을 방어해 왔던 방식을 그대로 유지해야 한다"고 말한다. “이전보다 랜섬웨어에 좀 더 집중하려 한다는 것 외에는 대규모 변화는 없습니다. 여태까지는 우리가 익히 알아왔던 그 이모텟 그대로입니다.”

3줄 요약
1. 석 달 만에 나타난 이모텟, 최근 용량 큰 피싱 메일 대량 유포 시작.
2. 강화된 난독화 전략과 C&C 전략 덕분에 계속해서 살아남을 수 있는 멀웨어.
3. 이번 캠페인은 랜섬웨어에 크게 집중한 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>