• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

사이버 범죄자들의 자발적인 참여로 완성된 멀웨어, 사파이어스틸러 2023.09.01

어느 날 깃허브에 멀웨어가 무료로 올라왔다. 공격자들은 이것을 다운로드 받아 문제점들을 고치기 시작했다. 누가 시키지도 않았는데 자발적인 참여가 무섭게 이뤄졌다. 그러기를 반년, 이제 그 멀웨어는 완성형 위협이 됐다.

[보안뉴스 문가용 기자] 사이버 범죄자들이 오픈소스로 풀린 정보 탈취형 멀웨어인 사파이어스틸러(SapphireStealer)를 집중적으로 연구하고, 또 강화하는 중이다. 그러면서 이 사파이어스틸러의 변종들이 쏟아져 나오고 있다. 덕분에 데이터를 탈취하는 유형의 사이버 범죄가 훨씬 쉬워지고 있으며, 진입 장벽이 빠르게 낮아지는 현상이 발생하고 있다.

[이미지 = gettyimagesbank]


사파이어스틸러는 러시아어를 구사하는 해커인 로만 마슬로프(Roman Maslov)가 작년 처음 공개한 애플리케이션이다. 다크웹이 아니라 오픈 웹에 공개됐었는데, 그걸 해커들이 가져다가 만지고 뜯어고치기 시작했다. 그리고 새 버전들을 공공 리포지터리들에 올렸다. 일부 사용자들이 리포지터리에 피드백을 남겼다. 이것이 반영되고 사파이어스틸러 변종은 더 강력해졌다. 더 강력해지니 더 많은 해커들이 관심을 보였고, 개량에 참여했다.

시스코 탈로스(Cisco Talos) 팀의 위협 연구자인 에드문드 브루마긴(Edmund Brumaghin)은 “얼마나 많은 해커들이 크리덴셜을 훔치고, 토큰을 훔치고, 비밀번호를 훔치고 싶어하는지 너도 나도 사파이어스틸러 강화에 참여했다”며 “그런 후 사파이어스틸러는 매우 강력한 위협이 됐다”고 말한다.

사파이어스틸러?
2022년 12월 25일, 모든 사람이 선물을 받는 그 날, 사이버 범죄자들에게도 선물이 도착했다. 깃허브(GitHub)에서였다. 닷넷(.NET)을 기반으로 한 사파이어스틸러였다. 누구나 다운로드 할 수 있도록 공개됐다. 간단하고 명료했지만 효과적이었고, 해킹 기술을 가지고 있지 않은 사이버 범죄자라고 하더라도 이 사파이어스틸러를 가지고 각종 파일을 훔쳐낼 수 있었다. 그 어떤 종류의 정보라도 사파이어스틸러는 훔칠 수 있었고, 자신의 활동 흔적을 깔끔하게 지워내기까지 했다.

이것이 마슬로프가 공개한 최초의 사파이어스틸러였다. 많은 범죄자들이 관심을 보였다. 뛰어난 기능성에 많은 이들이 매료됐다. 하지만 완벽한 건 아니었다. 코드베이스가 과잉이라는 점이 지적됐다. 깔끔하거나 간략한 코드라는 묘사와 어울리지 않는 부분이 있었던 것이다. 뿐만 아니라 군데 군데 오타도 발견됐다. 이 때문에 작동이 제대로 되지 않는 기능도 있었다. 하지만 1월 중순부터 변화가 일어나기 시작했다.

연말연시 휴가철이 끝나자마자 갑자기 사파이어스틸러의 변종들이 나타났다. ‘과잉 코드’가 삭제됐고, 오타들이 고쳐졌다. 그런데도 변종들이 계속 나타났다. 핵심 기능들이 조금 더 다듬어졌고, 훔쳐낼 수 있는 파일의 종류가 늘어나기도 했다. 이메일 기능을 디스코드 API로 대체한 버전도 등장했고, 어떤 버전은 감염에 성공할 때마다 운영자의 텔레그램 채널로 이 사실을 알려주기도 했다. 심지어 훔친 데이터를 텔레그램으로 전송하는 버전도 나왔다.

그렇게 2023년 상반기가 지나갔다. 꾸준한 업그레이드로 사파이어스틸러는 훨싼 강력하고 훨씬 위험한 무기가 되어 있었다. 그런데도 무료였다. 더 많은 사람들이 사용하기 시작했고, 피해가 커지면서 누적되었다. 이제는 이 오픈소스 멀웨어가 대기업들을 위협할 수 있는 수준에까지 이르렀으며, 아직까지도 업그레이드가 진행되고 있다.

“사실 정보 탈위형 멀웨어는 꽤나 주의해야 할 위협이 맞습니다. 하지만 기업들은 조금 소홀히 다루려는 경향이 있습니다. 예를 들어 랜섬웨어보다는 덜 중요하게 취급하죠.” 브루마긴의 설명이다. “하지만 이런 정보 탈취형 멀웨어를 통해 얻은 정보는 이후에 올 후속 공격을 준비하는 데 큰 도움이 됩니다. 즉 정보 탈취형 멀웨어가 한 번 지나간 자리에 랜섬웨어라든가 삭제형 멀웨어 등 더 큰 위협이 올 가능성이 높다는 것이죠. 절대로 간과해서는 안 될 위협입니다.”

브루마긴은 “공격자들은 늘 정보에 목마른 부류라는 걸 기억해야 한다”고 강조한다. “정보를 불법적으로 가져가고, 그걸 다시 수익으로 전환할 수 있는 게 바로 사이버 범죄자들입니다. 지금 당장 내 정보를 누군가 가져간 게 아무런 흠집도 내지 못한다고 해서 웃어넘길 게 아닙니다. 그 정보를 바탕으로 새로운 공격이 준비되기 때문입니다. 그렇지 않다면 사파이어스틸러가 이렇게까지 많은 관심 속에 무료로 업그레이드 되지 못했을 겁니다.”

3줄 요약
1. 작년 크리스마스에 누군가 무료로 공개한 정보 탈취형 멀웨어, 사파이어스틸러.
2. 그런데 이 사파이어스틸러를 해커들이 앞다투어 개량하기 시작.
3. 지금은 무시 못할 강력한 정보 탈취용 무기로 완성됨.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>