새롭지만 사실은 새로운 것이 아닌 멀웨어 포착

[보안뉴스 주소형] ‘스테고로더(Stegoloader)’라는 새로운 멀웨어가 발견됐다. 그런데 사실 여기서 ‘새로운’이라는 표현이 조금 민망하다. 해당 멀웨어는 근 2년 전부터 활동했었지만 이제야 그것도 조금 가닥을 잡은 것이기 때문이다. 이들은 전달하려는 정보를 이미지 파일이나 MP3 파일 등에 암호화해 숨기는 심층암호 기술인 디지털 스테가노그라피(Steganography)를 악용하여 합법적인 사이트에서 다운 받을 수 있는 PNG 이미지 파일 뒤에 몰래 잠입하고 있는 것을 델 시큐어웍스(Dell SecureWorks)의 위협대응팀(Counter Threat Unit)이 포착했다.

디지털 스테가노그라피는 장시간 염탐술로 비밀정보를 숨기는 데 사용되는 기술인데 해당 멀웨어 개발자 눈에 꽂힌 것이다. 간단하면서도 침입 감지 및 방어 시스템과 같은 보안장치를 우회하는 데 매우 효과적이니 멀웨어를 만드는 사람 입장에서는 끌릴 수밖에 없었을 것. 지난해 블랙햇(Blackhat)에서 델 위협대응팀은 그렇게 탄생된 스테고로더의 패밀리 격이자 디지털 스테가노그라피 기술을 제대로 악용한 ‘러크(Lurk)’라는 멀웨어에 대해 발표하고 이 같은 유형의 멀웨어를 처음으로 세상에 알렸다.

“2014년 말, 델 위협대응팀 연구원들은 해당 기술을 사용하는 고지(Gozi) 트로이목마의 네버퀘스트(Neverquest) 버전을 또 찾아냈다. 이는 백업 명령어와 통제 서버(C2)에 몰래 숨어있었다.” 위협대응팀 연구원의 설명이다.

그렇게 스테고로더를 발견하고 보니, 연구원들은 이런 류의 멀웨어가 점차 대세가 될지 모른다는 생각이 들었다고 전했다.

“스테고로더는 우리가 찾아낸 디지털 스테가노그라피 기술 악용 멀웨어 가운데 벌써 세 번째다. 이는 멀웨어 계의 새로운 유행이 될 것으로 보인다. 탐지 매커니즘이 발전하고 있어 멀웨어 개발자들도 이를 우회할 수 있는 새로운 무기가 필요한 시점이기 때문이다”라고 연구원들을 말했다. 게다가 스테가노그라피는 수많은 감지 우회 기술 중 하나에 불과 한데다가 스테고로더 멀웨어는 모듈화까지 되어 있는 것으로 드러났다.

“스테고로더의 모듈식 디자인은 멀웨어의 능력을 필요에 의해 조절할 수 있다. 조사 및 리버스엔지니어링 분석 기간 중에는 멀웨어 기능을 제한하고 조사가 끝나면 다시 멀웨어를 풀로 재가동 하는 식으로 말이다. 따라서 결과에 혼란을 야기 할 수 있다”라고 연구원들은 보고 있다.

해당 모듈을 종류별로 살펴보면 노출되어 있는 시스템 IP 주소에 있는 정보를 수집하는 지오그래픽 로칼리제이션(geographic localization) 모듈, 브라우징 히스토리 모듈, 암호 탈취 모듈, 멀웨어 분석가 및 리버스엔지니어링에 의해 IDA 소프트웨어가  탈취되는 형태로 디자인된 모듈 등으로 다양하다. 뿐만 아니라 멀웨어의 핵심모듈의 성격은 유동적이며, 다른 모듈이 배치되기 전에 어떤 환경인지 먼저 점검까지 해준다.

“예를 들어 배치 모듈은 마우스 커서의 움직임을 모니터링 할 수 있다. 이는 GetCursorPos 기능 등과 같다. 그런데 만약 마우스가 기계적으로 위치를 옮기거나 전혀 움직이지 않는다면, 멀웨어는 아무런 악성 활동을 하지 않은 채 종료된다.”

지금까지 알아낸바로 해당 멀웨어를 한마디로 정리해보면 ‘기회주의자적인 성격을 강하게 띄고 있는 멀웨어’다. 익스플로잇 또는 스피어피싱을 사용하지 않고도 정보를 빼내고 있다. 이는 타깃공격이 아닌 불특정 다수를 대상으로 한 공격일 가능성이 높다는 의미라고 연구원들은 분석했다. 

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>