시스코 탈로스팀, 여러 기업들과 끈질긴 추적 끝에 이룬 성과
랜섬웨어인 앵글러로 인한 연간 피해규모 6,000만 달러 수준

[보안뉴스 주소형] 최근 급부상하고 있던 ‘앵글러 익스플로잇 킷(Angler Exploit Kit)’에 드디어 제동이 걸렸다. 이는 2013년에 사라진 블랙홀의 후계자로 불릴 정도로 악명 높은 익스플로잇 킷이다. 그런데 글로벌 네트워크 보안기업인 시스코(Cisco)의 탈로스(Talos)팀이 앵글러 익스플로잇 킷의 활동을 추적하여 이를 차단할 수 있는 방법을 찾아냈다. 앵글러는 테슬라크립트(TeslaCrypt)나 크립토월(CrytoWall)과 같은 랜섬웨어를 만들어 내는데 이로 인한 연간 피해규모가 6,000만 달러 수준이다.


이에 탈로스팀은 오픈DNS(OpenDNS)사 및 레벨 3 위협 리서치(Level 3 Threat Research)사들과 협력하여 앵글러의 원격 측정 데이터 조사에 나서 마침내 앵글러 익스플로잇 킷의 원천지를 발견했다고 밝혔다. 모든 공격은 라임스톤 네트워크(Limestone Network)라는 회사의 서버를 거쳐 작동되고 있다는 사실을 알아낸 것. 결국 라임스톤의 연구원들까지 앵글러 익스플로잇 킷 조사에 동참하여 앵글러 서버의 라이브 디스크 이미지들을 손에 넣을 수 있었다고 시스코는 설명했다.

지난 7월부터 그들은 익스플로잇 서버와 주기적으로 보안점검 및 관리를 해주는 일종의 건강한 서버를 비교 분석하여 앵글러의 활동 패턴을 파악했다. 앵글러가 인프라스트럭처에 몰래 숨어 다양한 프록시 서버를 사용하고 있다는 사실을 발견한 것. 총 147개의 프록시를 찾아냈다.

앵글러는 리퍼러(referer)를 사용하여 보안 팀을 따돌리는 등 보안기술을 우회하는 능력이 뛰어나다. 이유는 그들의 습성 때문이다. 보고서에 따르면 1만5,000개 이상의 사이트들이 익스플로잇 킷에 의해 악용되고 있는데 이 가운데 99.8%가 10번 이하로 사용되고 삭제되어 버린다. 즉 타깃을 잡고 공격한 후 바로 없어져 버려 이들을 잡아내는 것은 상당히 어려운 일이다.

한 개의 주요 요소가 앵글러 활동 50%를 좌지우지하고 있으며 이로 인해 야기되는 랜섬웨어로 인한 피해규모는 연간 3,000만 달러로 추정된다. 이는 앵글러로 인한 연간 피해 규모의 딱 절반인 액수다.

시스코는 호스팅 제공업체들에 연락하여 해당 서버들을 차단할 수 있는 조치를 취하고 앵글러 프록시 서버로 리다이렉트 되는 현상을 막아주는 업데이트를 실시했다. 또한 시스코는 이에 대해 서버를 감지 및 차단 점검을 해주는 스놀트 룰(Snort rule)까지 발표했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>