• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

멀웨어에서도 복고 열풍? 유행은 돌고 돈다 2014.10.06

기존 기능에 새로운 기능 덧입어 더 강력해지기도

대형 멀웨어 및 봇넷이 잠깐 뜸해진 틈을 노려 등장


  ▲ 이 오빠, 다시 뜬다. 언제일지는 모르지만.

[보안뉴스 문가용] 2013년은 2007년에 생긴 고전 멀웨어인 제우스 트로이목마가 부활한 해였다. 원래 제우스는 이메일 스팸을 주로 활용하는 멀웨어였으나 작년에는 피싱 이메일, 페이스북 링크, MMS 메시지 등 다양한 무기를 장착한 채 돌아왔다. 맥아피 연구소는 작년 ‘복고 멀웨어의 부활’이라는 주제로 보고서를 작성한 바 있는데, 이 보고서를 통해 제우스는 물론 2012년 중반부터 완전히 사라졌던 쿱페이스(Koobface) 웜이 대형 소셜 네트워크 사이트들에서 2013년 초반에 완전히 부활했다는 사실을 집중 조명한 적이 있다.


최근 정보보안 전문가들은 피싱으로 시작되는 드라이브바이 공격을 막는 데에 집중을 해왔다. 하지만 변화가 빠른 해커들답게 전문가들이 방어진을 치자 공격을 진화시켰다. 첫 단계에서는 멀웨어가 전혀 필요 없는 데이터 입력 피싱 공격이 가능해진 것이다. 정상 메일을 보내되 거기에 링크를 하나 삽입하고, 그 링크를 통해 악성 사이트로 사용자를 유인하는데, 이 악성 사이트는 주로 합법적으로 운영되는 사이트를 그대로 베껴 만든 것이기 때문에 사용자가 분간하기에 매우 어렵다. 그러니 사용자가 아무 의심 없이 로그인 정보를 입력하게 되고, 이는 고스란히 해커의 손으로 넘어간다.


팔로 알토 네트웍스는 최근 이런 고전 익스플로잇 기술이 어떤 식으로 새롭게 응용되고 있는지에 대한 보고서를 발표했다. 팔로 알토의 보고서는 특히 FTP, RDP, NetBIOS, UDP 등 엔드포인트와 직접 커뮤니케이션이 가능하며 사람들이 흔히 사용하는 네트워크 애플리케이션들에 집중하고 있다. 팔로 알토는 UDP의 경우 봇넷의 C&C 채널로서도 활용되는 정황을 파악할 수 있었다. 여기에 가장 많이 얽힌 봇넷은 제로액세스(ZeroAccess)였다. 제로액세스 봇넷 자체는 예전에도 등장했던 것이지만 UDP를 활용하는 방법 자체는 이번에 새롭게 파악된 것이다.


작년 말경, RDP가 해킹당한 뉴스가 또 한 차례 보안업계를 들썩였다. 브라이언 크렙스(Brian Krebs)가 사이버범죄자들의 포럼인 마코스트닷넷(Mokost.net)에서 부실하게 설정된 RDP 서버 6천여개에 대한 로그인 정보를 빌려준다는 게시글이 뜬 것을 보도한 것이다. 이는 해커들이 브루트포스 공격을 감행한 결과물로 보인다. 이 사건은 정확히 ‘해킹’ 사건이라고 말하기는 어렵다. 로그인 ID와 암호가 전부 ‘합법적으로 생성’된 것이기 때문에 시스템에서는 로그인 자체를 거부할 수가 없었기 때문이다.


탐조등을 더 샅샅이 훑어야할 때

위에 언급한 RDP 사건의 경우 로그인 ID와 암호가 정상적으로 생성된 것이기 때문에 아무런 경고가 발생하지 않았다. 다시 강조하지만 시스템이 ‘해킹’으로 인식하지 않았던 것이다. 하지만 엔드포인트에서는 데이터의 수상한 흐름이 분명히 있었고, 조직들에서 이 이상한 행위에 대한 감지를 제대로 했다면 경고 메시지를 뒤늦게라도 발송할 수 있었을 것이다. UDP 레이어에서 발견된 제로액세스 봇넷도 마찬가지다. 결국 엔드포인트에서 발생하는 수상한 행동들이 침입 여부를 판단하는 중요한 기준이 되어야 하며 보안업계는 여기에 좀 더 신경을 써야 한다.


피시랩(Phishlab)의 연구실에서는 이번 달 고지 프라니말카(Gozi Prinimalka) 트로이목마의 새로운 버전인 보트랙(Vawtrak)에 대한 보고서를 발표했다. 고지 프라니말카는 2000년대 중반에 등장했다 사라진 멀웨어로 최근 공격면과 방식을 훨씬 넓힌 채로 부활했다는 내용이었다.


이런 한물간 트로이목마들은 “고급 웹 인젝션(Advanced Web injects)”이라는 새로운 핵심 기능을 가지고 샤이록(Shylock)이나 스파이아이(Spy Eye)와 같은 대형 봇넷이 잠깐 뜸해진 사이에 범죄 시장에 등장했다. 이중 보트랙은 초기에는 금융기관을 주로 노렸으나 최근 들어 소매상, 게임 포털, 소셜 네트워크, 분석 회사 등을 노리고 있으며 미국, 영국, 터키, 슬로바키아, 호주 등 다양한 국가에서 활동을 하고 있기도 하다.


공공연한 비밀이지만 사이버 범죄 조직과 정부는 굉장히 조직적으로 움직이고 있으며 공동의 이익을 위해 물밑에서 손잡고 일하기도 한다. 공격자들은 배경도 좋다. 이런 상황에서 방어의 효율성을 높이려면 전문가로서 위협 정보를 공유하는 것이 최선이다. 그러면서 차세대 보안 제품이 등장할 때까지 버텨야 한다. 정상적인 행위를 오랜 시간 관찰하고 기록할 수 있다면, 더 나아가 분석까지 마칠 수 있다면 비정상적인 행위를 분별해내는 것이 훨씬 쉬워질 것이다. 즉 아직까지 우리가 방어를 제대로 하지 못하는 건 시간이 아직 충분히 흐르지 않아서이기도 하다. 흐르는 시간을 마땅히 해야 할 일로 채우다보면 분명 더 나은 해결책이 나올 것이다.


글 : 안토니 디 벨로(Anthony Di Bello)

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>