브라우저 업데이트인 척 ‘멀웨어’ 배포중
프루프포인트, 가짜 브라우저 업데이트 이용한 사이버 위협 관련 연구 발표

[보안뉴스 박은주 기자] 보안을 유지하는 방법으로 ‘PC의 운영체제 및 프로그램 업데이트’는 빠지지 않는 항목이다. 이는 업데이트 항목에 포함된 보안패치를 적용하기 위함으로 신종 바이러스에 예방주사를 맞는 것과 같은 맥락이다. 패치되지 않은 취약점은 사이버 위협자의 공격에 속수무책으로 당하게 된다. 그러나, 최근 업데이트를 하는 척 사용자를 속여 멀웨어를 배포하는 사이버 위협이 발생하고 있다.


프루프포인트 사이버 위협 팀의 연구 결과 최근 가짜 브라우저 업데이트를 이용한 사이버 위협이 증가한 것으로 드러났다. ‘TA569’이라는 공격 그룹이 5년 이상 가짜 브라우저 업데이트를 이용해서 ‘속골리시(SocGholish) 멀웨어’를 배포해왔다. 최근 들어 다른 위협 행위자들도 유사한 수법을 적용하고 있다는 것을 발견한 것.


프루프포인트는 멀웨어 배포를 노린 가짜 브라우저 업데이트를 이용한 사이버 위협 클러스터 4종 이상 추적하고 있다고 밝혔다. 그중 공격 그룹 TA569는 5년 이상 가짜 브라우저 업데이트를 이용해서 속골리시(SocGholish) 멀웨어를 배포해왔는데, 최근 들어 다른 위협 행위자들도 유사한 수법을 적용하는 움직임이 포착됐다.

각 위협 행위자는 자체적인 방법으로 유인책과 페이로드를 전달하지만, 화면 구성(theme)은 동일한 사회공학적 수법에 기반하는 것이 확인됐다. 가짜 브라우저 업데이트를 관리하는 위협 행위자는 자바스크립트(JavaScript) 또는 HTML 코드를 사용했다. 관리 중인 도메인으로 트래픽을 이동시키고, 이를 통해 피해자가 사용하는 웹 브라우저에 그럴듯한 브라우저 업데이트 웹사이트로 덮어쓰게 된다. 이후 악성 페이로드가 자동 다운로드 된다. 또는 사용자가 ‘브라우저 업데이트’를 내려받으라는 팝업 메시지를 수신하는 동시에 페이로드가 전달되는 방식이다.

프루프포인트는 페이로드를 포함한 다양한 멀웨어 배포 목적으로 가짜 브라우저 업데이트를 이용한 사이버 위협 행위가 급증했다는 사실을 파악했다. TA569는 보안이 취약한 웹사이트를 침투해 가짜 브라우저 업데이트가 멀웨어 배포의 효과적인 수법이라는 사실을 확인했다. 이를 학습한 새 위협 행위자가 자신만의 방법으로 응용해서 이 수법을 악용하기 시작했다는 결론이다.

이와 같은 유사 수법으로 정보도용 도구와 원격접속도구(RAT) 등을 사용하고 있을 가능성이 제기된다. 랜섬웨어 초기 액세스 브로커(initial access broker)로 쉽게 방향을 틀 수도 있다. 프루프포인트는 최선의 대비책은 ‘심층방어’라고 제시했다. 각 기업 조직은 Emerging Threats Ruleset 등 네트워크 감지 체계를 도입하고, 엔드포인트 방어를 활용해야 한다고 설명했다. 추가로, 사용자 교육을 통해 침해 활동을 파악하고 의심될 경우 보안팀에 신고해야 한다고 말했다.

프루프포인트 사이버 위협 연구팀은 “가짜 브라우저 업데이트는 데이터 도용과 컴퓨터 원격제어, 랜섬웨어로까지 이어지는 수많은 멀웨어에 활용되어 온 것으로 알려져있다. 공격자가 고안한 기법과 사회공학을 교묘하게 결합한 공격 방식으로, 정보 보안에 대한 인간의 욕망을 이용해 무고한 피해자를 양산하고 있다”고 우려를 표했다.
[박은주 기자(boan5@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>