인포스틸러와 관련된 보안 사고가 최근 2배 이상 늘어났다. 다크웹에서도 인포스틸러의 유행이 심상치 않다. 오래된 유행이 되돌아온 느낌인데, 이전보다 훨씬 개량되어 있고 교묘해졌으며, 산업화라는 동력까지 뒷받침 되고 있다.

[보안뉴스 문정후 기자] CISO들이라면 대부분 인포스틸러(infostealer)라고 하는 유형의 멀웨어에 익숙하다. 정보를 탈취하는 것을 전문으로 하는 이 멀웨어는 웹사이트에 깊숙하게 침투하여 조용히 크리덴셜을 낚아채고, 비밀번호를 가져가며, 각종 결제 관련 정보들까지도 훔쳐간다. 새로울 것 하나 없는 멀웨어이지만 최근 공격자들 사이에서 다시 각광을 받기 시작했다. 훔친 정보를 바탕으로 보다 확실한 공격을 실시하려는 자들이 많아졌기 때문이다.


보안 업체 업틱스(Uptycs)는 인포스틸러의 증가 추세가 심상치 않음을 느끼고 조사를 통해 관련 현황을 파악할 수 있었다고 한다. 윈도, 리눅스, 맥OS 환경을 노리는 다채로운 인포스틸러들이 다크웹에 존재하고 있으며, 활발히 거래되는 중이라고 한다. “작년 한 해 동안 인포스틸러의 수가 급격히 증가한 사실을 확인하고 놀랐는데, 2023년 1사분기에는 그런 2022년 1사분기보다 인포스틸러 사건이 2배 이상 늘어났습니다. 단순 증가 이상의 일이 벌어지고 있다고 볼 수 있습니다.”

문제는 인포스틸러의 수량이 증가하고 있다는 것만이 아니다. 이 인포스틸러라는 유형의 멀웨어를 중심으로 하나의 산업이 다크웹에서 형성되고 있다는 게 문제다. 인포스틸러를 활용하는 방법들이 늘어나고 있으며, 따라서 인포스틸러에 관심을 가지게 된 공격자들이 크게 증가하고 있고, 그러면서 인포스틸러 자체가 많아진 것이라, 한 때 유행으로 끝날 가능성은 낮아 보인다.

빠르게 진화하는 인포스틸러 시장
원래 인포스틸러는 단순한 멀웨어였다. 몇 가지 유형의 정보를 훔쳐내는 것만이 유일한 기능이었던 것이다. 하지만 시간이 지나면서 단순했던 멀웨어는 점점 복잡해지기 시작했고, 모듈을 통해 더 많은 기능들이 추가됐다. 최근에는 생성형 인공지능까지 접목해 인간을 흉내 내는 인포스틸러까지 나왔다. 빠른 발전을 통해 인포스틸러는 예전 모습을 전혀 찾을 수 없는 무기가 되어버렸다.

정보를 탐내는 공격자들의 열심과 욕심 만으로 최근 인포스틸러의 증가를 설명할 수는 없다. 업틱스는 “최근 등장한 웹 플랫폼들 때문”이라고 분석한다. 인포스틸러를 쉽게 만들고 유포할 수 있게 해 주는 웹 플랫폼들이 다크웹에 등장한 현상을 가리키는 말이다. “원래 인포스틸러를 만들려면 어느 정도 해킹 기술을 가지고 있어야 했습니다. 하지만 지금은 랩톱 하나와 현금 50달러만 보유하고 있으면 인포스틸러를 만들어 운영할 수 있습니다.”

최근 공격자들은 각종 거래를 하기 위해 텔레그램과 디스코드와 같은 암호화 기반 통신 플랫폼들을 애용한다. 여기서 별별 불법 아이템들이 팔리는데, 훔쳐낸 정보들도 포함되고 멀웨어도 섞여 있다. 인포스틸러를 살 수도 있고, 인포스틸러로 훔쳐낸 정보를 팔 수도 있다. 자생 가능한 생태계가 형성된 것이다. 게다가 텔레그램과 디스코드는 사용하기도 쉽고 간편하다. 모든 면에서 ‘해킹 범죄를 저지르는 데 필요한 장벽이 낮아졌다’고 말할 수 있다.

인포스틸러의 위험을 줄이기 위한 세 가지 전략
이런 현상이 지속된다면 - 아마도 지속될 것으로 보이지만 - 인포스틸러는 갈수록 많아지고 갈수록 고급화 될 것으로 보인다. 또한 더 많은 방식으로 활용되어 피해를 극대화시킬 것이 분명하다. 그러므로 인포스틸러에 대한 대책을 세워두는 것이 지금 시점에는 꼭 필요한 일이 아닐 수 없다. 이를 위한 세 가지 전략을 정리하면 다음과 같다.

1) 실시간 탐지 기능을 강화하라 : 취약점을 미리 찾아내고 공격자들이 익스플로잇 할 만한 구멍을 막아두는 행위는 보안을 위해서 꼭 필요한 일임이 분명하다. 하지만 최근 공격자들은 사용자들이 보유한 합법적인 크리덴셜을 훔쳐내 로그인 하는 방식으로 공격을 실행할 때가 많다. 구멍을 미리 찾는 방향의 능동적 보안으로는 한계가 있다는 뜻이다. 그렇기에 취약점만이 아니라 네트워크 전체와, 그 네트워크에 연결된 모든 장비를 아우르는 가시성을 확보하는 게 중요하다. 그리고 그 가시성을 바탕으로 인포스틸러의 행동 패턴을 미리 탐지할 수 있어야 한다.

2) 접근 제어 수단들을 활성화 하라 : 인포스틸러는 결국 데이터를 훔쳐내는 멀웨어다. 그러므로 데이터에 먼저 접근할 수 있어야 한다. 데이터에 대한 접근을 어렵게 만들면 만들수록 인포스틸러도 무력해진다. 다만 너무 어렵게 하면 회사의 정상적인 생산성에서 마찰이 있을 수 있다. 한 마디로 균형을 잘 잡아야 한다는 건데 데이터 접근에 관한 회사 정책 전체를 손봐야 할 수도 있는 일이다. 또한 민감한 정보가 저장되고 처리되는 망을 따로 분리하여 누군가 실수로라도 중요 정보를 노출시키지 않도록 하는 게 중요하다. 어느 정보가 민감한 정보이고 우선적으로 보호되어야 하는지 지정하고 분류하는 것도 CISO의 몫이다. 마지막으로, 암호화를 하지 않는다면 데이터 보안은 반쪽짜리 노력만이 될 뿐이다.

3) 취약점들에도 맥락이 있다 : 모든 사이버 위협들이 다 그렇지만 인포스틸러 공격들도 계속해서 진화한다. 요즘처럼 인포스틸러가 사업 아이템으로서 유통되기 시작하면 진화의 속도는 더 빨라진다. 더 나은 상품이 되어야만 시장에서 선택을 받을 수 있기 때문이다. 진화의 방향성은 오직 ‘기술’에 국한되어 있지는 않다. 시기에 따라 공격자들 사이에서 각광 받는 정보가 있고 그렇지 않은 정보가 있는데, 인포스틸러 개발자들은 이런 걸 잘 파악한다. 그래서 ‘최근 유행하는 정보를 빠르게 훔쳐내는 솔루션’이라는 식으로 광고를 하고 싶어하고, 그런 방향으로 멀웨어를 업그레이드한다. 그러니 방어하는 입장에서 이런 유행(즉 커다란 맥락)을 파악하는 게 중요하다. 어떤 데이터가 요즘 많이 공격 받는다는 걸 알면 전략 수립에 도움이 된다.

앞으로 한 걸음
인포스틸러와의 전쟁은 사이버 공격과 방어에도 일정한 주기와 패턴이 존재한다는 걸 보여준다. 2년 전만 해도 우리는 랜섬웨어가 들끓을 줄만 알았지 인포스틸러가 대대적인 유행이 될 줄은 몰랐다. 너무나 과거의 유행이었기에 누구도 인포스틸러에 대하여 경고하지 않았다. 지금에 와서야 인포스틸러가 유행할 수밖에 없는 흐름이 보이지만, 이미 유행이 시작된 뒤다.

보안은 늘 해커들보다 한 걸음만 앞서가면 된다고 다들 말한다. 맞는 말이다. 하지만 그 한 걸음 차이를 내는 게 너무나 어렵다. 인포스틸러를 예측하지 못한 것처럼 말이다. 그러니 우리는 보다 더 넓은 시야를 확보하기에 힘써야 하고, 공격자들 사이에 생겨나는 유행의 조짐에 더 민감해져야 한다.

글 : 가네시 파이(Ganesh Pai), CEO, Uptycs
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>