2년 전 사상 최악의 취약점이라고 일컬어졌던 로그4셸이 여전히 쌩쌩히 살아있다. 특히 북한 공격자들의 손에서 이 오래된 취약점의 가치는 극대화 되고 있다. 반갑지 않은 조합이다.

[보안뉴스 문가용 기자] 북한 해커들이 로그4셸(Log4Shell) 취약점을 계속해서 익스플로잇 하고 있다는 조사 결과가 나왔다. 최근에는 로그4셸을 통해 새로운 원격 트로이목마 세 종을 퍼트리고 있다고 하며, 그 중 하나는 D라고 하는 독특한 프로그래밍 언어로 개발된 것으로 분석됐다. 문제의 해커는 안다리엘(Andariel)이다.


안다리엘은 오닉스슬리트(Onyx Sleet)나 플루토늄(Plutonium)이라는 이름으로도 불리는 공격 단체다. 라자루스(Lazarus)라는 악명 높은 해킹 조직과도 연계되어 있다. 안다리엘은 최초 접근을 성공시키고 공격 지속성을 확보하는 데 일가견이 있으며, 현 김정은 정권에 도움이 되는 정보를 수집하는 데 여러 가지 역할을 한다. 하지만 가끔씩 랜섬웨어 공격을 하기도 한다.

올해 3월부터 시스코의 탈로스(Talos) 팀은 이 안다리엘이 로그4셸을 통해 공격을 활발히 실행하는 걸 파악하고 추적해 왔다. 당시 주요 표적들은 남미 지역의 한 농업 조직, 유럽의 한 제조업체, 한국 물리 보안 업체의 미국 지사였던 것으로 파악됐다.

안다리엘은 이 세 조직을 공략하는 데 있어 새로운 멀웨어를 사용했는데, 아직 인지도나 인기도 면에서 저조한 수치를 보이고 있는 프로그래밍 언어인 D를 적극 활용한 것으로 나타났다. D는 C++에서 파생된 언어다. 탈로스의 닉 비아시니(Nick Biasini)는 “탐지 기술을 회피하기 위한 시도로 보인다”며 “이런 행보가 북한 공격자들의 중요한 특징”이라고 지적한다.

“공격 도구의 상용화가 너무 잘 되어 있는 시대죠. 누구나 다크웹에 들어가 쇼핑하듯 해킹 도구와 멀웨어를 골라 사용할 수 있습니다. 그래서 새로운 도구들이 이제는 좀처럼 나오지 않습니다. 다들 똑같은 도구를 나눠 쓰고 돌려 쓰죠. 그렇게 했을 때 공격자의 정체를 파악하기 힘들고 공격 준비 기간이 짧아진다는 장점이 있습니다. 그런데 라자루스만 유독 거꾸로 가고 있지요. 스스로 필요한 도구를 만들어 씀으로써 자기가 원하는 공격을 한다는 데 의의를 두고 있습니다.”

로그4셸, 항상 열려 있는 문
최근의 안다리엘은 VM웨어 호라이즌(VMware Horizon) 서버들에 있는 로그4셸 취약점을 익스플로잇 하는 공격을 주로 진행했다. 로그4셸은 2년 전에 발견된 ‘사상 최악의 취약점’으로, 공식 관리 번호는 CVE-2021-44228이며 CVSS 기준 10점 만점을 받은 위험한 취약점이기도 하다. 로그4j(Log4j)라는 자바 라이브러리에서 발견되고 있는데, 이 라이브러리가 없는 곳이 없을 정도로 광범위하게 사용되고 있어 로그4셸 문제는 점수 이상으로 심각하다.

이렇게나 위험한 취약점이 대대적인 관심을 끌며 등장한 지 2년이 지났는데, 지금 우리의 사이버 공간은 어떤 상황일까? 보안 업체 베라코드(Veracode)가 조사한 바에 의하면 로그4j를 사용하는 모든 애플리케이션들의 38%가 여전히 로그4셸 취약점을 내포하고 있다고 한다. 비아시니는 “대부분 사용자 조직들이 로그4셸 취약점을 다 찾아내지 못하고 있다는 게 가장 큰 문제”라고 보고 있다. “어디에 취약점이 있는지, 있기는 한지 파악도 못하고 있는데 패치를 할 수 있을 리 없습니다.”

안다리엘의 최근 공격
로그4셸을 통해 최초 접근에 성공한 안다리엘은 그 후 여러 가지 공격 도구를 활용하는 모습을 보여주었다. 공격 지속성을 확보하기 위해서는 헤이지로드(HazyLoad)가 사용됐는데, 이는 일종의 프록시 도구며, 안다리엘이 직접 개발한 것으로 보인다. 그 다음으로는 새로운 관리자 계정을 만들어 많은 권한을 가져가는데, 이를 통해 미미캐츠(Mimikatz) 등과 같은 추가 도구들을 다운로드 받아 설치한다. 자신들이 개발한 각종 공격 도구도 이 때 유포한다.

이들이 직접 만든 공격 도구들 중 눈에 띄는 건 나인랫(NineRAT)이다. 백도어이자 드로퍼로, 텔레그램을 C&C 서버로 활용한다. 그 다음은 디엘랫(DLRAT)으로, 추가 멀웨어를 피해자 시스템에 다운로드 받고 여러 명령을 실행하는 것이 주된 기능이다. 바텀로더(BottomLoader)라는 다운로더도 적극 활용된다. 이 도구들 모두 D로 만들어졌다는 점에서 특이하다.

비아시니는 “대부분의 멀웨어 탐지 도구들은 멀웨어들이 가진 보편적인 특징들을 잡아내는 데 특화되어 있다”며 “그래서 새로운 멀웨어나 커스텀 멀웨어에는 상대적으로 취약한 면모를 보인다”고 설명한다. “모두가 다크웹에서 비슷한 도구들을 사용하니까 이런 방어가 가능한 겁니다. 북한의 해커들이 찌르고 들어온 것이 바로 이 부분이죠. 그리고 잘 통합니다. 북한 해커들은 당분간 이런 전략을 고수할 것이라고 봅니다.”

3줄 요약
1. 북한의 안다리엘, D라는 생소한 언어로 만든 멀웨어 사용.
2. 요즘 해커들이 기성품을 적극 활용하는 것과 정 반대.
3. 최근 탐지 기술이 보편화 된 멀웨어의 특징을 잡아내는 것을 이해하고 있는 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>