PyPI에 스페인어를 기반으로 한 공격 단체가 나타나 멀웨어를 퍼트리고 있다. 그런데 그들의 방식이 전혀 교묘하지 않다. 오히려 자신들이 나쁜 짓을 하고 있다고 온 세상에 소리를 지르고 있어 의아하다.

[보안뉴스 문가용 기자] 파이선 생태계에서는 가장 거대한 리포지터리인 PyPI에서 대놓고 정보 탈취 멀웨어를 홍보하고 있는 멀웨어 개발자들이 발견됐다. 이들은 자신들의 행위를 굳이 숨기려 하지도 않고 있었다. 보안 업체 소나타입(Sonatype)이 제일 먼저 이를 찾아냈고, 배후 세력을 사일렉스스쿼드(SylexSquad)라고 지칭했다. 이들이 판매하고 있는 멀웨어의 이름은 리버스셸(reverse-shell)이다.


“공격자들이 이렇게까지 노골적일 수 있다는 사실이 가장 놀라웠습니다.” 소나타입의 개발자인 댄 콘(Dan Conn)의 설명이다. “사일렉스스쿼드는 잡혀도 상관 없다는 태도이거나 안 잡힐 자신이 강하거나, 둘 중 하나인 듯 합니다. 뻔뻔하다 못해 도발적이기까지 합니다.”

데이터 탈취 멀웨어, 리버스셸
소나타입의 전문가들은 사일렉스스쿼드가 홍보하는 악성 패키지를 처음 발견했을 때 너무 깜짝 놀라서 잠시 멍하니 있었다고 한다. 이름 자체가 리버스셸이었기 때문이다. “아무리 안 잡힐 자신이 있고, 아무리 뻔뻔해도 그렇지 다크웹과 거리가 먼 공공 리포지터리에서 멀웨어를 유포하는데 이름을 이렇게까지 직설적으로 짓는다는 걸 어떻게 이해해야 할지 감도 잡지 못했습니다.”

리버스셸은 공격자가 피해자의 시스템에 접근하는 데 사용하는 멀웨어의 종류다. 즉 공격자들은 랜섬웨어를 PyPI에 올리며 이름을 ‘랜섬웨어’라고 붙인 것이나 다름이 없다.

일단 놀란 마음 다잡고 소나타입의 전문가들은 이 대담한 이름의 리버스셸을 분석했다. 그랬더니 리버스셸 이상의 멀웨어였다는 사실이 드러났다. 특히 WindowsDefender.py라는 파일에서 이 멀웨어의 진면목이 드러났다. “이 파일 안에는 여러 가지 함수들이 포함되어 있습니다. 여러 악성 기능들이 담겨 있지요. 그런데 함수 이름들이 악성 행위를 고스란히 표현하고 있습니다.”

이 파일 안의 함수 이름은 다음과 같았다.
1) get_login_data()
2) get_web_history()
3) get_downloads()
4) get_cookies()
5) get_credit_cards()
6) ImAGeGrab.grab()
이런 정보들을 훔친 리버스셸은 훔친 데이터들을 공격자가 운영하는 디스코드 채널로 전송한다.

또 다른 파일인 setup.py에도 소나타입의 전문가들은 집중했다. 이 파일 안에는 스페인어로 된 안내문이 잔뜩 들어 있었다. “깃허브 리포지터리를 복사하고 파일을 실행하라”라거나 “깃허브 리포지터리의 URL을 바꾸라”라거나 “변경된 리포지터리의 복제본 주소를 입력하라” 등의 내용을 담고 있다. 소나타입은 이것으로 미루어 이 리버스셸이 고객들을 대상으로 판매되는 ‘서비스형 멀웨어’의 일종인 것으로 추정하고 있다.

왜 굳이 이렇게까지 노골적으로?
공공 리포지터리에 이렇게 적나라한 이름으로 멀웨어를 올린다는 것에는 이유가 있을 것으로 콘은 보고 있다. “어쩌면 이목을 끌려는 것일 수 있습니다. 해커들에게 있어 ‘명성’이라는 것은 대단히 중요한 자산이거든요.” 하지만 이것은 추측일 뿐, 정확한 사실은 아니라고 콘은 덧붙였다.

한편 PyPI와 깃허브 등 공공 리포지터리를 악용하는 공격자들의 수가 꽤나 빠르게 늘고 있다는 점을 소나타입은 지적한다. “공공 리포지터리에서 악성 파일을 호스팅 할 경우 공격자들은 꽤나 편리하게 파일을 관리할 수 있게 됩니다. 자유롭게 파일을 지우거나 업그레이드 할 수 있게 되고, 심지어 페이로드에 대한 버전 제어도 마음껏 할 수 있게 되죠. 개발자들에게 공공 리포지터리가 많은 이득을 가져다주듯, 사이버 공격자들에게도 공공 리포지터리는 많은 가치를 가지고 있습니다.”

게다가 멀웨어를 빠르게 유포할 수 있다는 장점도 무시할 수 없다. “리포지터리라는 특성 상 코드가 널리 퍼질 수 있지요. 게다가 공공 리포지터리는 신뢰도가 높아서 여러 백신을 통과할 수 있기도 합니다. 공격자들이 자신의 악의와 수법을 이렇게 노골적으로 드러낸다는 건 이런 리포지터리의 장점들을 포기한다는 거나 다름이 없는데요, 그렇기 때문에 더더욱 그들의 행위를 잘 이해할 수 없습니다. 앞으로 명확한 의도가 더 드러날 수 있어 계속 모니터링을 해야 할 듯 합니다.”

3줄 요약
1. PyPI라는 대형 리포지터리에 등장한 악성 공격자들.
2. 이름부터 리버스셸인 정보 탈취형 멀웨어를 들고 나타남.
3. 이해하기 힘든 대담함, 앞으로 더 지켜봐야 의도 파악 정확히 될 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>