랜섬웨어 공격자들이라면 보안을 좀 더 잘 알고 있을 IT 담당자들을 노리지 않을 것이라는 생각은 섣부르다. 오히려 IT 담당자이기 때문에 집중 표적이 되는 게 요즘이다. 공격자들이 발성을 전환시키면 우리도 그래야 한다.

[보안뉴스 문가용 기자] 해커들이 가짜 광고를 통해 사람들을 감염시키는 사례가 꾸준히 이어지는 중이다. 검색엔진을 통해 각종 IT 소프트웨어나 도구, 장비들을 검색하면 공격자들이 만들어둔 악성 광고 페이지가 제일 위쪽에 뜨고, 아무런 의심없이 여기에 접속하는 사용자들의 시스템에 멀웨어를 심는 수법이다. 이를 멀버타이징(malvertising) 공격이라고도 한다.


이런 공격은 구글이나 빙과 같이 유명한 검색 플랫폼에서 실행되고 있으며, 공격자들은 애니데스크(AnyDesk), 시스코 애니커넥트(Cisco AnyConnect), 트리사이즈 프리(TreeSize Free), WinSCP와 같은 인기 높은 소프트웨어들을 미끼로 삼는다. 피해자 입장에서는 신뢰할 만한 검색 사이트에서 검색해 나온 결과이니 신뢰하고 클릭해 들어갔고, 그래서 별 의심 없이 소프트웨어 설치 파일을 다운로드 받았을 뿐인데 사실은 엉뚱한 패키지들이 시스템에 저장되는 것이다.

보안 업체 소포스(Sophos)는 최근 이런 식으로 랜섬웨어 페이로드가 퍼지고 있는 것을 발견했다고 경고한다. 이 캠페인의 이름은 나이트로즌(Nitrogen)으로, 이미 북미 여러 기업과 단체들을 감염시키려 했다고 한다. 다만 아직까지는 성공 사례가 없는 것으로 알려져 있다. “흥미로운 건 나이트로즌 캠페인을 진행하는 자들이 IT 업계 사람들을 노리고 있다는 겁니다. 지금까지 공격이 시도된 곳은 대부분 IT 업체였습니다.” 소포스의 연구 팀장 크리스토퍼 버드(Christopher Budd)의 설명이다.

굳이 왜 IT 업계 혹은 IT 분야 종사자들을 노렸을까? “아무래도 요즘 모든 조직들이 IT 기술로 사업을 이뤄가고 있고, 그러므로 IT 분야의 사람들이 기업의 가장 민감한 정보를 다루고 있을 확률이 높기 때문인 것 같습니다. IT 담당자 한 사람만 잘 뚫어도 얻어낼 수 있는 게 많다는 게 공격자들의 생각인 것입니다.”

캠페인, 어떻게 진행되나
검색엔진에서 나이트로즌 공격자들이 설치해 둔 광고를 클릭하면 어떤 일이 벌어질까? 먼저는 공격자들이 만든 피싱 페이지로 접속된다. 당연하지만 이 페이지는 실제 소프트웨어의 판매 페이지와 거의 똑같이 생겼거나 정상적인 온라인 쇼핑 페이지처럼 보이도록 만들어졌다. 도메인 이름도 거의 비슷하다.

이런 페이지들에는 다운로드 버튼이 존재하고, 실제 피해자들 대부분 소프트웨어 다운로드가 필요해 검색엔진을 이용하고 피싱 페이지에 접속해 들어간 것이니 이 다운로드 버튼을 거리낌 없이 누른다. 그러면 악성 DLL 파일이 다운로드 되는데, 이 파일 안에는 피해자가 필요로 하는 소프트웨어의 진짜 설치 파일이 포함되어 있다. 옆에 다른 것들이 붙어 있어서 문제이긴 하지만 말이다.

그 다음, 방금 전 같이 다운로드 된 악성 파일은 공격자들이 통제하는 C&C 서버와 접속한다. 화면에 보기에는 정상적으로 소프트웨어 설치되는 것처럼 보인다. 악성 행위는 뒷단에서 이뤄진다. 연결에 성공하면 공격자의 서버로부터 추가 셸과 코발트 스트라이크 비컨(Cobalt Strike Beacon)이 피해자의 시스템으로 전달된다. 이로써 공격자는 공격 지속력도 갖추고 원격 장악력도 갖추게 된다. 그리고 이런 통로를 통해 결국 랜섬웨어가 전달된다.

나이트로즌, 무엇을 노리는가
IT 업계 종사자들은 일반인보다 해킹 공격에 좀 더 잘 알고 있는 편이다. 따라서 이들을 공격 표적으로 삼는 건 공격자로서 좋지 않은 선택이 될 수 있다. 버드는 “물론 IT 전문가들이니만큼 이상한 광고를 클릭하거나, 이상한 사이트에서 다운로드 버튼을 클릭할 확률 자체는 낮을 것”이라고 말한다. “하지만 단 한 명의 IT 담당자의 시스템에 침투하는 것이 일반 직원 열 명의 시스템에 들어가는 것보다 나을 때가 많습니다. 정확한 통계가 없어서 10명이라고 했는데, 실제로는 훨씬 많을 겁니다.”

IT 담당자들이 다루는 민감한 정보를 가지고 해커들은 무엇을 하려는 걸까? “랜섬웨어 공격자들은 기업의 민감한 데이터를 보유하고 있다는 사실 하나만으로도 피해 기업에 협박을 가하고 많은 돈을 뜯어냅니다. IT 담당자의 시스템에 누군가 접속하는 건 기업이 가장 싫어하는 상황입니다. 나이트로즌이 하고 있는 것이 바로 이것입니다. 정보를 가져간 후에 협박하는 것 말이죠.”

그렇기 때문에 IT 담당자들은 자신의 IT 지식과 경험을 너무 신뢰하면 안 된다고 버드는 강조한다. “안심하는 순간 방심하게 되고, 방심의 순간 공격이 성공합니다. 지금 랜섬웨어 공격자들이 IT 담당자들을 집중하여 노리고 있다는 것을 인지하고 평소보다 조금 더 조심해야 할 것입니다.”

그리고 버드는 한 가지 팁을 추가한다. “소프트웨어를 어디서 다운로드 받는지 검색하지 말고, 소프트웨어를 누가 개발하는지를 검색하세요. 그리고 그 개발사 공식 홈페이지를 찾아 들어가세요. 그렇게 하면 공격에 당할 확률이 확 줄어듭니다. 공격자들이 실제 개발사의 홈페이지를 침해하는 경우도 있겠지만, 그 수는 멀버타이징에 비해 현저히 낮습니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>