위피레콘 멀웨어라는 새 멀웨어가 발견됐다. 스모크로더를 통해 유포되는데, 사용자의 위치 정보를 60초에 한 번씩 파악해 어디론가 전송한다. 누군가 대규모 공격을 준비 중인 것으로 보인다.

[보안뉴스 문가용 기자] 위피레콘(Whiffy Recon)이라는 이름의 새로운 멀웨어가 발견됐다. 스모크로더(SmokeLoader)라는 봇넷을 통해 유포되고 있으며, 와이파이 스캐닝 기능을 가지고 있어 피해자의 물리적 위치를 추적할 수 있다는 특장점을 가지고 있다고 한다.


위피레콘이라는 이름은 ‘와이파이’에서부터 나왔다. 영어에서는 와이파이를 ‘와이파이’라고 읽지만 많은 유럽 국가들과 특히 러시아에서는 ‘위피’라고 읽는다. 위피레콘은 시스템을 침해한 후 제일 먼저 와이파이 카드와 동글을 탐색한다. 그런 후 스캔을 통해 근처의 와이파이 AP를 찾는다. 이러한 스캔 행위를 60초마다 한 번씩 한다고 보안 업체 시큐어웍스(Secureworks)는 밝히고 있다.

“이렇게 AP들을 자주 스캔하고, 그렇게 해서 얻어진 정보들을 바탕으로 공격자들은 침해 시스템의 물리적 위치를 꽤나 정확하게 계산할 수 있게 됩니다. 이렇게 계산된 위치 값은 공격자들에게 전송이 됩니다. 다만 배후의 공격자들에 대하여서는 아직까지 정확히 밝혀진 바가 없습니다.”

후속 공격
시큐어웍스의 위협 분석 책임자인 레이프 필링(Rafe Pilling)은 “60초마다 AP 정보를 스캔하는 기능이 있는 게 사실이긴 하지만 그렇게 해서 얻어진 정보를 저장하는지, 아니면 어딘가로 전송만 하고 삭제하는지는 아직 확실하지 않다”고 말한다. “하지만 피해자가 위피레콘에 감염된 장비를 들고 계속해서 돌아다닐 경우, 공격자는 꽤나 정밀하게 피해자의 이동 장소와 루틴, 스케줄 등을 확인할 수 있는 건 확실해 보입니다.”

보안 업체 GRIT의 수석 분석가 드류 슈미트(Drew Schmitt)는 “누군가의 이동 패턴을 파악한다는 건 매우 위험한 후속 공격으로 이어질 수 있는 발판이 된다”고 경고한다. “특정 조직이나 정부 기관, 기업에 소속된 누군가를 특정하게 해 주기도 하고, 그 사람의 생활 패턴이나 근무 특성 같은 것도 유추할 만합니다. 해당 장비가 보안에 민감한 지역에 입장하는 시간을 알게 된다면 정보 탈취에도 큰 도움이 되지요. 위치가 바뀌는 패턴을 꾸준히 파악할 수 있다는 건 효과적인 추가 공격을 가능하게 합니다.”

보안 업체 태니엄(Tanium)의 기술 부문 책임자인 숀 서버(Shawn Surber)는 “이 새로운 멀웨어가 주로 어느 산업을 공략하는지는 공개되지 않았으나 사실 위치를 꾸준하게 추적하는 것은 산업의 종류를 막론하고 공격자들에게 큰 도움이 된다”고 짚는다. “데이터를 훔치거나, 정찰을 하거나, 감시를 하거나, 물리적 공격을 하거나, 무엇을 하든 위치를 추적해서 누적시키면 공격 성공 가능성을 높일 수 있습니다.”

그렇기 때문에 위피레콘이 국가의 후원을 받는 공격 조직이 개발했거나 사용하고 있는 멀웨어일 가능성이 낮지 않다고 서버는 생각한다. “최근 이란의 APT35라는 조직도 이스라엘 매체들에서 근무하는 일부 표적들을 감시하기 위해 그들의 위치 정보를 꾸준하게 파악한 전적이 있습니다. 왜 그렇게 했는지는 아직 잘 모르지만, 방송국이나 매체 운영에 물리적 피해를 주기 위해서인 것으로 추정됩니다.”

스모크로더, 멀웨어의 유포 인프라
공격자들은 제일 먼저 소셜엔지니어링 공격을 실시한다. 이메일이 주로 사용되는 것으로 보이는데, 이메일에는 악성 집 아카이브가 첨부되어 있다. 이 파일은 사용자들의 눈을 현혹시킬 미끼용 문서 하나와 자바스크립트 파일 하나로 구성되어 있다. 자바스크립트 파일은 스모크로더라는 멀웨어를 실행시키며, 이 스모크로더는 또 다른 멀웨어를 다운로드 받아 설치한다. 동시에 감염시키기에 성공한 엔드포인트를 C&C 서버에 등록시킨다.

이로써 공격자들은 서버를 통해 피해자 장비를 관리하고, 또 원격에서 뜻대로 접근할 수 있게 된다. 보통은 스모크로더로 감염시키는 것까지만 진행하고 아무런 작업도 진행하지 않는다. 그렇게 함으로써 들키지 않는 것인데, 그러다가도 퍼트릴 멀웨어가 생기면 발동하여 활동을 시작한다. 즉 슬립 모드 상태로 후속 공격을 기다리는, 일종의 멀웨어 유포 네트워크를 형성하는 게 바로 스모크로더라는 것이다. 운영자는 이러한 공격 인프라를 확장시켜놓은 후 다른 공격 조직들에 대여해 주기도 한다.

필링은 “이런 봇넷 인프라를 통해 다양한 멀웨어가 유포되는 건 흔한 일”이라고 설명한다. “스모크로더 역시 그러한 대여용 공격 인프라 중 하나입니다. 그렇기 때문에 매번 스모크로더를 통한 공격이 발생했을 때 배후 세력을 일일이 확인하기가 어렵습니다. 매번 대여자가 달라지기 때문이죠. 이번 위피레콘도 마찬가지입니다.”

슈미트는 “누군가 스모크로더를 대여한 후 위피레콘을 유포하고 있는 것으로 보인다”며 “표적들을 상세하게 관찰함으로써 공격 범위를 효과적으로 줄이려는 것으로 추정된다”고 말한다. “그렇다는 건 위피레콘 사태가 이제 막 시작되는 공격일 가능성이 높다는 뜻입니다. 추후에 어떤 공격으로 이어질지 유심히 지켜봐야 할 것입니다.”

3줄 요약
1. 피해자 장비의 위치 정보를 60초에 한 번씩 계산해 보내는 멀웨어 발견됨.
2. 사용자의 위치를 끊임없이 파악함으로써 효과적인 정찰 수행 가능.
3. 이 멀웨어를 유포하고 있는 건 스모크로더라는 봇넷.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>