• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

러시아의 악명 높은 해커들, 앱 통한 우회공격 심화시켜 2016.07.20

러크 멀웨어 퍼트리던 그룹, 체포되었는데도 다시 나타났다?
합법적인 애플리케이션 통한 워터링홀 공격, 점점 많아질 듯

[보안뉴스 문가용] 금융 기관과 민간 사업체들을 주로 노리는 러시아의 악명 높은 해킹 단체인 러크(Lurk)가 전략을 조금 수정한 것으로 보여 주의가 요망된다. 러크 사이버 범죄단은 지난 6월 러시아에서 체포되기는 했지만 그전까지 4천 5백만 달러를 러시아의 여러 금융기관 및 민간 사업체로부터 훔쳐내는 데에 성공했다고 한다.

▲ 시원해 보이는 물, 누군가 잠복해 있다.


그런데 보안 전문업체인 카스퍼스키 랩은 체포가 있기 전 러크가 주로 사용하던 멀웨어인 러크 트로이목마(Lurk Trojan)가 일반 합법 소프트웨어인 앰비 어드민(Ammvy Admin)과 해당 업체의 웹 사이트를 통해 번지고 있다는 사실을 발견했다. 즉 앰비 어드민이 합법적이고 널리 사용되는 툴이기 때문에 아무런 의심이 없이 다운로드 받았다가는 러크 멀웨어에 감염되었던 것이다.

“이렇게 제3자를 거쳐서 멀웨어 감염을 시도하는 공격을 워터링홀(watering-hole) 공격이라고 하고, 인기가 많은 웹 사이트들에서 흔히 발생하는 일이기도 합니다. 하지만 금융기관을 노리고, 금융기관들에서 많이 사용하는 소프트웨어 자체를 통해 멀웨어를 대규모로 번식시키는 건 본 적이 없습니다.” 카스퍼스키의 멀웨어 분석가인 바실리 베르드니코프(Vasily Berdnikov)의 설명이다.

카스퍼스키는 2월 이 사실을 앰비 어드민 측에 알렸다. 앰비 어드민은 이 오류를 수정했다. 그리고 이 일은 계속해서 반복되었다. 앰비 어드민이 고쳤다고 하는데, 다시 러크가 나타나고, 카스퍼스키가 이를 또 적발하고 알려주고, 앰비 어드민이 수정했는데도 어느 새 러크가 이식되는 과정의 연속이었다. 이 과정 중 4월에 발견된 러크에는 피해 시스템이 기업 네트워크에 연결되어 있는지 여부를 자동으로 판별하는 기능까지 포함되었다. 기업 네트워크에 연결되어 있는 시스템에만 본격 멀웨어 설치가 시작되게 함으로써 카스퍼스키의 탐지를 피한 것이다.

이런 과정이 왜 반복된 것일까? 앰비 어드민이 능력이 없어서? “저희(카스퍼스키)도 궁금합니다. 앰비 어드민 측과 그다지 가깝게 일한 경험이 없어서 묻기도 좀 그렇고요. 얼른 생각하기로는 러크 측이 앰비 어드민의 네트워크에 깊숙이 침투할 만한 루트 권한을 가지고 있는 것 같아요. 그리고 그 접속 통로를 앰비 어드민이 아직 발견하지 못한 것 같고요. 그 한 공격 지점을 찾는 것이 핵심인데, 이것도 수많은 가설 중 하나에 불과하죠.”

여기까지는 시작에 불과했던 것 마냥 6월 1일, 카스퍼스키는 또 다른 멀웨어가 앰비 어드민 웹 사이트에 서식하고 있는 걸 발견했다. 정보를 훔치는 트로이목마의 일종으로 이름은 파레이트(Fareit)였다. 바로 그 날, 러시아 경찰은 러크 사이버 갱단의 체포를 발표했다. “가장 합리적인 추측은 러크 말고도 다른 범죄 집단이 앰비 어드민에 드나들고 있을지도 모른다는 거였습니다. 러크가 체포되고 없는 자리를 꿰차 다른 멀웨어를 퍼트리고 있는 거라는 설명이죠.”

스트레티직 사이버 벤처스(Strategic Cyber Ventures)의 CEO인 톰 켈러만(Tom Kellermann)은 조금 다른 의견이다. “러크의 멤버들이 전부 잡혔다고 보기 힘듭니다. 또한 멀웨어 호스팅을 위한 그들의 인프라 모두가 경찰에 압수되었다고 보기도 힘들죠. 동유럽에 근거지를 둔 사이버 갱단이 얼마나 집요하고 자생력이 뛰어난지 간과해서는 안 됩니다. 동유럽이 괜히 사이버 범죄의 온상이 아니에요. 해커의 진화가 너무 뛰어나 보안이 속도전에서 항상 진다는 말이, 이들을 두고 한 것이죠.”

톰 켈러만은 “앰비 어드민의 사건이 당장 여러 애플리케이션 업체들로 옮겨갈 수 있다”고 경고한다. “특히 모바일 환경에서는 앱의 수가 빠르게 증가하고 있죠. 앱 환경, 앱 생태계의 확장은 숨 가쁠 정도고요. 앞으로 합법적인 앱 자체를 통한 워터링홀 공격이 유행할 것이라고 봅니다. 단순히 웹 사이트를 방어한다고 해결될 일이 아닙니다. 앱 자체가 위험합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>