• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

업그레이드 된 정보 탈취 멀웨어 주피터, 이전보다 위험해져 2023.11.09

정보 탈취 멀웨어의 인기가 식을 줄 모른다. 그 인기를 타고 기존 멀웨어들이 업그레이드 되어 나타나기도 하는데, 주피터가 그러한 사례다. 이전보다 더 눈에 안 띄는 위협으로 변했다.

[보안뉴스 문가용 기자] 주피터(Jupyter)라는 멀웨어의 새로운 버전이 등장하면서 보안 업계의 관심이 쏠리고 있다. 2020년에 처음 등장해 크롬, 에지, 파이어폭스 등 여러 브라우저들을 공략해 사용자들의 정보를 훔쳐가는 멀웨어인 주피터가 이전보다 훨씬 더 강력해졌기 때문이다.

[이미지 = gettyimagesbank]


주피터는 옐로콕커투(Yellow Cockatoo), 솔라마커(Solarmarker), 폴라저트(Polazert)라는 이름으로도 불리는 백도어로, 피해자의 컴퓨터 이름, 사용자 권한, 쿠키, 웹 데이터, 브라우저 비밀번호 관리자 정보, 암호화폐 지갑, 원격 접근 앱 등 다양한 종류의 정보를 수집할 수 있다.

발전을 거듭하고 있는 위협
보안 업체 VM웨어 카본블랙(VMware Carbon Black)에 따르면 “최근 주피터의 새 버전이 파워셸 명령 조작 기술과, 정상적으로 서명된 악성 페이로드를 적극적으로 활용하는 방식으로 활동하기 시작했다”고 한다. 그 결과 10월부터 현재까지 새 주피터에 감염된 장비들이 기하급수적으로 늘어나는 중이라고 한다.

“가장 먼저 주의해서 살펴야 할 건, 이번 버전의 주피터는 여러 인증서들로 서명이 되어 있다는 겁니다. 이 때문에 악성 파일이 정상 파일처럼 보이게 됩니다. 피해자들의 시스템으로 접근하는 데 매우 편리해지는 것입니다. 이런 기능은 이전 버전에는 없었습니다. 덕분에 현재 주피터는 훨씬 막기도, 탐지하기도 어려운 존재가 됐습니다.”

보안 업체 모피섹(Morphisec)과 블랙베리(BlackBerry) 역시 이전부터 주피터를 추적해 왔는데 카본블랙과 마찬가지로 새 주피터를 두고 “구버전보다 훨씬 더 위협적으로 변했다”고 말한다. “주피터는 백도어이기도 했으며, 드로퍼이자 로더이기도 했습니다. 사용하기에 따라 유연하게 변할 수 있다는 것이죠. 그런데 이번에는 더 은밀해지기까지 했습니다. 반드시 눈여겨봐야 할 위협거리입니다.”

그렇다면 공격자들은 이 고급 위협을 가지고 어떤 정보를 탈취하고 있을까? 블랙베리가 관찰한 바에 따르면 암호화폐 지갑, VPN, RDP와 같은 정보가 주를 이룬다고 한다. “금전적인 정보 아니면 원격 접속과 관련된 정보에 공격자들이 높은 관심을 가지고 있다는 뜻이죠. 공격자들은 공격적으로 주피터를 유포하고 있으며, 이를 위해 여러 가지 방법을 동원하고 있기도 합니다. 악성 웹사이트를 호스팅하거나, 드라이브 바이 다운로드 기술을 활용하거나 피싱 및 SEO 포이즈닝 공격을 실시하기도 합니다.”

정보 탈취 멀웨어의 전성기
주피터는 VM웨어가 자사 고객사를 점검했을 때 가장 많이 나오는 멀웨어 중 하나다. 10위 안에 들어간다고 한다. 이는 현재 사이버 공간 전체적으로 정보 탈취 멀웨어가 크게 증가하고 있는 것과 궤를 같이 하는 현상이다. 팬데믹이 시작된 이후 원격 근무 체제가 유행하면서 정보 탈취 멀웨어가 유행하기 시작했으며, 이 유행은 아직도 끝나지 않았다.

보안 업체 레드카나리아(Red Canary)는 “2022년 한 해 동안 가장 많이 탐지된 멀웨어들 중에 레드라인(RedLine), 라쿤(Racoon), 비다(Vidar)가 높은 비중을 차지한다”고 설명하는데, “이 셋 다 정보 탈취 멀웨어”라고 정의한다. “공격자들이 집에서 근무하는 임직원들의 계정 정보와 크리덴셜에 많은 관심을 가지고 있습니다. 집에서 근무하고 있기 때문에 보안이 허술하고, 크리덴셜 하나만 있으면 회사 네트워크에 접속할 수 있게 된다는 점에 착안한 것으로 보입니다.”

레드카나리아는 “그 어떤 산업도 정보 탈취 시도로부터 자유롭지 못하다”며 “어떤 조직이라도 지금 증가하고 있는 정보 탈취 멀웨어에 대한 방비를 시작해야만 한다”고 권고한다. “정보 탈취 그 자체도 문제지만, 공격자들은 훔친 정보를 가지고 2차, 3차 공격을 무섭게 기획하기 때문에 더 문제가 될 수 있습니다.”

보안 업체 업틱스(Uptycs)의 경우도 “최근 정보 탈취 멀웨어의 증가 추세가 심상치 않다”고 말한다. “2023년 1사분기에 사용된 정보 탈취 멀웨어의 수는 2022년 1사분기에 비해 2배 이상 많았습니다. 그러면서 각종 계정 접속용 비밀번호는 물론 프로파일 정보, 자동 채우기 정보, 신용카드 정보, 암호화폐 지갑 정보, 시스템 정보 등이 외부로 새나가기 시작했습니다. 이 정보들은 다크웹의 보다 윤택하게 만들고 있습니다.”

3줄 요약
1. 정보 탈취 멀웨어 주피터, 새롭게 되어 나타남.
2. 특히 여러 인증서 활용해 멀웨어를 가짜로 서명하는 기능이 추가되어 골치.
3. 요즘 정보 탈취 멀웨어가 크게 유행하고 있어 경계 필요.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>