• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

온라인에 배트맨 출현? 정체와 의도는 오리무중 2016.02.11

금융가에서 극성인 드리덱스, 드디어 적수를 만났나
드리덱스 대신 백신 제품 다운로드 되도록 조작... 제조사도 어리둥절

[보안뉴스 문가용] 온라인에 배트맨이 나타났다. 상대는 최근 금융권에서 악명을 떨치고 있는 드리덱스(Dridex) 뱅킹 트로이목마와 그 멀웨어를 활용하고 있는 이블 코퍼레이션(Evil Corp.). 아직 이 배트맨의 정체는 알려지지 않았다. 다만 이블 코퍼레이션이 드리덱스를 연결시킨 악성링크의 자리에 백신을 대신 연결시켜놓고 홀연히 사라지고 있어 관심을 끌고 있다.


최근 이블 코퍼레이션이란 해커 조직은 드리덱스라는 멀웨어를 활용해 각종 금융관련 범죄를 일으키고 있다. 특히 악성링크를 피해자들에게 보내 클릭 시 드리덱스가 다운로드 되도록 하는 수법을 자주 사용하는데, 누군가 이 악성링크를 클릭하면 드리덱스가 아니라 백신 툴이 다운로드 되도록 바꿔놓고 있다는 사실이 발견되었다. 이때 활용되고 있는 백신 툴이 아비라(Avira)라는 독일제 제품인데, 아비라 측도 이 소식에 어리둥절한 모습이다.

게다가 이 홍길동 같은 인물 혹은 단체는 ‘승리자(owner)’, ‘제압자(pwner)’, ‘주인장(host)’과 같은 불분명한 지칭어를 메시지처럼 남기고 있어, 드리덱스 멀웨어 그룹과 벌이는 전쟁 같은 수수께끼는 더욱 미궁으로 빠지고 있다. 아비라는 일단 “우리는 아니다”라고 강력히 주장하고 있으며 “솔직히 왜 하필 우리 제품인지도 모르겠다”는 입장이다. 여기에 덧붙여 아비라의 멀웨어 전문가인 모리츠 크롤(Moritz Kroll)은 “멀웨어를 전문으로 하는 해커의 소행일 가능성이 높다”는 입장이다.

드리덱스는 금융권에서 성행하고 있는 트로이목마로 처음 발견된 건 2014년의 일이다. 하지만 박멸은커녕 꾸준히 업데이트 되면서 여러 가지 제거 시도를 이겨왔다. 보통 악성 워드 파일 및 MS 오피스 제품의 매크로를 악용해 퍼지는 것으로 잘 알려져 있다. 또한 바클레이, 산탄데르, RBS, HSBC, 도이치뱅크, 웰스파고 등 유명한 유럽 은행의 고객들을 노리는 것으로도 유명하다. 드리덱스 멀웨어가 하는 일은 결국 은행 고객들의 온라인 뱅킹 로그인 정보를 훔쳐서, 그것을 가지고 여러 가지 사기 거래를 하는 것이다.

물론 여러 국제 공조 작전을 통해 드리덱스 서버를 차단시킨 적이 없던 것도 아니다. 지난 10월 FBI와 영국의 사법 및 경찰 기관들은 드리덱스의 봇넷 인프라와 서버를 확보하고 폐쇄시킨 바 있다. 그러나 비웃기라도 하는 듯 드리덱스는 얼마 지나지 않아 더 업그레이드 된 모습으로 금융가를 휩쓸기 시작했던 것이다. IBM은 새로워진 드리덱스가 더 거칠고 사나와졌다고, 그 심각성에 대해 경고까지 발한 바 있다.

이런 드리덱스에 누군가 슬며시 반기를 든 것. 그것도 드리덱스와 마찬가지로 불법적인 방법을 사용해서 말이다. “생각해보면 재밌죠. 드리덱스 서버를 처음 폐쇄시킨 날 승리를 축하하는 온갖 기사들이 매체마다 환호를 질러댔어요. 그런데 드리덱스가 거의 곧바로 부활했다는 소식을 싣는 건 기피하더라고요. 아마 그런 매체의 불균형하고 공정하지 못한 헤드라인 선정 기준 및 백지 배분율에 누군가 불만을 품었을 수도 있어요. 정부가 언론 플레이에만 능하니 내가 직접 나서야겠다, 고 말이죠.”

그러나 온라인 세계에 이런 식의 ‘의적 활동’이 발견된 건 이번이 처음이 아니다. 지난 10월 시만텍(Symantec)은 Linux.Wifatch라는 ‘착한 멀웨어’에 대해 보고한 적이 있다. 이 ‘착한 멀웨어’는 가정용 마치 보통의 멀웨어처럼 피해자의 시스템에 몰래 설치되어 가정용 라우터의 불안전한 인터넷 연결을 좀 더 강력하게 만들어주고 이미 설치된 멀웨어가 있다면 제거해주는 기능을 가지고 있었다. 시만텍은 “화이트 해커 혹은 해킹 단체가 수십 만대가 넘는 가정용 라우터에 해당 멀웨어를 심은 것으로 보인다”고 예상했었다.

하지만 Linux.Wifatch나 이번 아비라 백신 제품이나 굳이 멀웨어처럼 배포하고 있는 자들의 정체에 대해선 아직까지 알려진 바가 없다. 그러므로 이들의 이런 선한 것처럼 보이는 행동들을 아직까지는 온전히 다 믿을 수 없다는 의견이 대다수다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>