• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

올해의 POS 멀웨어 3총사 “더 강력해질 것” 2014.11.12

연말연시 특수는 해커들에게도 해당되는 듯 최근 바쁜 움직임

대응법 개발되면 그걸 뚫는 법 개발하고... 쳇바퀴가 따로 없네


[보안뉴스 문가용] 연말연시 쇼핑 시즌이 돌아옴에 따라 POS 멀웨어가 분주하게 진화하고 있다는 조사 결과가 발표되었다. 최신 기능을 탑재한 패키지도 출시되고 있고 기존 멀웨어가 가지고 있던 특장점이 더욱 강화되는가 하면 특정 공격에 특화되는 형태로 변신하기도 한다는 소식이다.

 

 ▲ 축포가 터질 때, 당신의 정보가 터질지도 모른다.

사이포트 랩스(Cyphort Labs)의 연구원들은 어제 POS 멀웨어 중 세 가지 종류를 낱낱이 해부한 결과를 발표했다. 특히 최근에 있었던 유출사고의 주범들이기도 한 이 멀웨어들은 블랙포스(BlackPOS), 프레임웍크포스(FrameworkPOS), 백오프(Backoff)다. 


“세 가지 종류의 멀웨어가 어떤 식으로 운영되고 있는지 관찰하다보면 두 가지 방향성을 발견할 수 있습니다. 하나는 타깃(Target)이나 홈데포(Home Depot)의 경우에서처럼 목표가 정해진 상태에서 이루어지는 공격이 있고 백오프처럼 불특정 다수를 향한 공격입니다. 목표가 정확한 공격의 경우 해커들은 그 특정 대상을 위한 맞춤형 공격을 설계하고 감행합니다. 불특정 다수를 향한 공격은 그렇지 않죠.”


프레임웍크포스나 블랙포스의 경우 특정 공격 대상을 정해두고 감행되는 공격을 위해 제작된 멀웨어다. 다양한 기능을 가지고 있는데 특히 지속적인 공격, 메모리 스캔, 과정 열거, 데이터 유출과 같은 공격을 잘 수행할 수 있는 기능이 눈에 띈다.


“아마 같은 사람이 만든 물건은 아닐 겁니다. 하지만 프레임웍크포스의 경우 기존의 POS 멀웨어 사건이 빈번하게 일어남에 따라 뒤늦게 여기에 뛰어든 후속주자의 것처럼 보입니다. 여기서 조금, 저기서 조금, 기존의 멀웨어를 따다가 붙여놓은 모양새거든요. 게다가 기본 골격은 기존의 것들과 전혀 차이가 없습니다.”

이렇듯 단계별 공격을 가능하게 해주는 편리한 멀웨어가 한 개의 패키지로 엮여서 출시되기까지는 수년의 연구와 노력이 있어야만 가능하다. 즉, 해커들의 연구가 엄청난 노력을 수반한다는 것이며 또한 누익스(Nuix)의 조시 그룬츠베이크(Josh Grunzweig)가 설명하듯 지불 시스템 소프트웨어 공격이 지난 수년 간 진행되었을 정도로 새로울 것이 없다는 뜻도 된다.


“올해는 사건사고가 그 어느 때보다 많았습니다. 아무 사고 없이 1주일을 버티지 못했을 정도로요. 즉 해커들에게는 다음 공격을 기획할 충분한 근거 자료와 연구 샘플이 생긴 것이죠. 이런 형태의 공격 자체가 사실 꽤나 오래 전부터 있어왔던 것입니다.”


처음 블랙포스가 세상에 등장했을 때 전문가들은 “그다지 고도화되지 못한 멀웨어”라고 평했다. 게다가 혼자서는 아무런 역할을 하지 못했고 2010년 발견된 mmon이라는 메모리 스크래핑 멀웨어가 꼭 같이 있어야 했다. 조시 그룬츠베이크는 “POS 멀웨어의 진정한 변화가 시작된 건 덱스터(Dexter) 계통의 멀웨어가 2012년 후반에 등장 하면서부터입니다”라고 설명한다.


“덱스터는 그 계통의 멀웨어를 송두리째 바꿔놓았습니다. 메모리 스크래핑, 키로깅을 비롯해 IE 인젝션을 통한 삭제 방지 등 그때까지 나왔던 멀웨어들이 하던 갖가지 기능들을 하나로 통합하기 시작했거든요. 하지만 덱스터가 가장 각광받았던 건 자체 C&C 서버를 가지고 있었기 때문입니다.”


덱스터가 지나간 자리에 길이 남았고, 그 길 위로 천여 개의 미국 기업들을 감염시킨 백오프가 지나갔다. “백오프의 가장 큰 장점은 보급이 굉장히 빨랐다는 겁니다.” 게다가 백오프가 끝이 아니다. 포티넷(Fortinet)에서 최근 실시한 조사에 따르면 강력하다는 백오프가 지금도 계속해서 변화하고 있다고 한다.


“기존에는 자바의 한 요소인 것처럼 위장해서 시스템을 감염시켰는데 이제는 미디어 플레이어인 것처럼 변장합니다. API의 해시 기능과 블랙리스트 과정에 나오는 이름들을 사용하기도 합니다. C&C 요소에도 발전이 있었죠. 그래서 감시망을 보다 더 잘 피하게 되었습니다. 그리고 최근엔 커스텀 패커 형태로 패키징되기까지 합니다.” 커스텀 패커 형태는 분석 과정을 더 어렵게 만든다는 장점이 있다는 게 포티넷 측의 설명이다.

@DARKReading

[국제부 문가용 기자(globoan@boannews.com)]


<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>