악명 높은 은행 트로이목마 드리덱스, 서버에 취약점 있어
드리덱스, 활용 범위도 늘고 지역도 늘어... 남미와 아프리카서 급증

[보안뉴스 문가용] 스페인의 보안 전문업체인 부구루(buguroo)가 최근 드리덱스(Dridex)라는 악명 높은 은행 트로이목마의 C&C 인프라에서 익스플로잇이 쉬운 취약점을 발견, 멀웨어의 정확한 사용법을 조사했다. 그 결과 알고 있었던 것보다 훨씬 높은 활용도가 드러났다고 한다.


드리덱스는 온라인 뱅킹 세션을 하이재킹해서 피해자의 계좌에서 범인의 계좌 혹은 사기 계좌로 돈을 인출시키는 것으로 유명한데, 이번 분석 결과 이젠 그것도 옛말이었다고 부구루의 CTO인 파블로 드 라 리바 페레주엘로(Pablo de la Riva Ferrezuelo)는 설명한다. “은행 로그인 정보를 훔치는 건 기본이고 자동이체시스템에도 침투하여 신용카드 정보까지도 훔쳐내더군요.”

이뿐만이 아니다. “피해자들은 특정 국가나 지역에 국한되지 않았습니다. 남미지역이나 아프리카에도 피해자가 있었으니까요. 드리덱스가 호주, 영국, 미국을 필두로 영어권 국가에서 주로 활동한다고 알려져 왔는데, 그것 또한 이제 과거의 특징이 되어버렸습니다.” 게다가 최근 가장 잘 나가는 랜섬웨어인 록키(Locky) 마저도 드리덱스 인프라에서 발견되었다.

부구루가 이번에 드리덱스 인프라에 역으로 침투하여 10주 동안 밝혀낸 바에 의하면 드리덱스는 1) 100개가 넘는 국가에서 활동 중이며 2) 900개가 넘는 조직 및 기관의 신용카드 정보를 모았고 3) 백만 개가 넘는 신용카드의 정보가 드리덱스의 공격에 활발히 활용되고 있다. 또한 4) 최근에는 남미에서 피해가 빠르게 확산되고 있으며 5) 그 뒤를 중동과 아프리카가 바짝 쫓고 있어 이제 드리덱스는 전 세계적인 문제가 되어가고 있다는 것 또한 밝혀졌다.

드리덱스가 처음 관심을 모은 것은 2014년의 일로 당시에는 영국의 중소기업을 겨냥한 피싱 캠페인에 사용되는 멀웨어에 불과했다. FBI가 빠르게 발견해 미국 기업 및 은행들에 경보가 발령되기도 했다. 또한 2015년 10월에 미국과 영국이 합동으로 드리덱스 서버를 폐쇄하고 주요 관련인물들을 체포하는 성과를 올리기도 했다. 그러나 그런 대대적인 국제 수사 공모가 일어나고 한 달도 채 되지 않아 드리덱스는 부활했다.

“현재까지 조사한 바에 따르면 드리덱스는 지금 은행 계좌정보를 넘어 신용카드 정보에까지 손을 뻗치고 있습니다. 저희가 발견한 드리덱스용 C&C 서버의 취약점은 매우 기본적인 것으로 쉽게 익스플로잇이 가능합니다. 저희 추측이긴 하지만 지난 10월에 있었던 서버 폐쇄 및 주모자 체포가 전혀 영향이 없진 않았던 것 같습니다. 경험이 부족하거나 실력이 조금 처지는 누군가가 서버 운영을 물려받은 게 아닐까 합니다.”

그 추측을 강력하게 뒷받침 해주는 건, 드리덱스의 사용 패턴이 기존 다른 사이버 범죄 집단의 멀웨어 활용 전략과 상당히 닮아 있다는 사실이다. “보통 멀웨어를 처음 사용해 재미를 본 집단은 그 멀웨어를 해커 커뮤니티에 내놔서 팝니다. 그러면 다른 해커들도 그 멀웨어를 구입해서 추가적인 범죄를 일으키지요. 그 시간이 조금 지나면 아예 멀웨어 소스코드가 유출됩니다. 범죄는 더 빠르게 퍼지고요. 드리덱스 역시 그런 전철을 밟은 듯 합니다. 체포된 자들이 최초의 드리덱스를 팔았거나, 그 소스코드가 유출되었고, 그래서 지금 드리덱스가 다른 범죄형 멀웨어와 비슷하게 운영되고 있는 것이라고 볼 수 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>