• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

다시 등장한 고지 멀웨어, 암시장 분업화 힘입은 듯 2016.08.23

고차원적인 탐지 우회 기술과 웹주입 기술로 유명 브랜드 이미 타격
매뉴얼화 된 공격과 맞춤형 공격 동시에... 정교해지는 사이버 공격

[보안뉴스 문가용] 은행권을 노리는 수많은 트로이목마들 중 고지(Gozi)라고 하면 아마 가장 오래된 선배 중 하나일 것이다. 최근 이 노장이 새로운 무기를 장착하고 다시 등장했다. 행동 특성 바이오메트릭 기술과 고차원적인 웹 주입 기술이 바로 그것이며, 전 세계의 은행 및 금융 기관들을 타격 중에 있다고 한다.

▲ 사이버 공격도 분업화, 사운드 공연도 분업화


고지는 2007년에 처음 발견된 것으로 이미 소스코드가 두 번이나 유출된 바 있다. 이 때문에 새로운 변종들이 생기기도 했다. 그중 유명세를 조금 탄 것은 고즈님(GozNym)이다. 고즈님은 미국과 캐나다, 서유럽의 기관들을 표적으로 삼았다.

최근의 고지 공격이 활발히 발생하는 곳은 스페인, 폴란드, 일본, 캐나다, 이탈리아, 호주다. 이 공격을 분석한 전문가들에 따르면 고지 운영자들이 새로운 기술을 들고 나오긴 했지만, 아직 완벽하지는 않다고 한다. 그러나 곧 미국과 서유럽 등지로도 계속해서 퍼질 전망이라고도 했다.

현재 이 멀웨어는 단축 URL 서비스를 활용해 모습을 감춘 악성 링크를 통해 스페인에서 퍼지고 있으며, 워드프레스(WordPress) 사이트들이 특히 많이 당했다고 한다. 아직 스페인 ‘기업’들이 많이 당하진 않았는데, 폴란드와 일본의 경우는 피해 규모가 작지 않다고 전달되고 있다. 캐나다, 이탈리아, 호주에서는 주로 표적형 공격이 발생했고, 해당 공격이 발견된 서버들은 전부 비활성화 된 상태다.

이 새로운 고지 멀웨어에 의해 영향을 받은 기업 및 조직들은 페이팔(PayPal), 시티디렉트 BE(CitiDirect BE), ING 은행(ING Bank), 소시에떼 제네랄(Société Générale), BNP 파리바스(BNP Paribas), 도쿄은행 등이다. 새로운 고지에 대한 보고서를 발간한 부구루(buguroo) 보안 전문 업체는 “고지의 진화가 현재도 진행되고 있다고 봐야 한다”고 분석했다. “역동적인 웹 주입 기술을 사용하고 있고 자동화 기술을 통해 피해자를 분석하고, 그에 따라 최적의 자금 운반책을 선택하고 있습니다.”

고지가 사용하는 웹 주입 기술은 굉장히 발달되어 있으며 탐지를 피하는 데 최적화되어 있다. 사실상 고지가 보안이 삼엄하다는 수많은 ‘주요 금융기관들’을 성공적으로 공격할 수 있었던 배경이다. “이 웹 주입 기술의 샘플 코드를 분석해본 결과, 금융 기관들의 보안 방책들을 전부 쓸모없게 만드는 것이었습니다.”

감염이 된 시스템에서 사용자가 거래를 시작하면 멀웨어의 C&C 서버가 이를 실시간으로 감지해 사용자에게 가짜 정보를 전송한다. 사용자가 자신도 모르게 사기 거래를 하도록 만드는 것이다. “사용자가 보기에는 ‘거래를 완료하기 위해 보안 코드를 입력하세요’라는 메시지가 뜨지만 실상 해당 페이지는 가짜 거래 전송 페이지입니다. 즉 엉뚱한 곳에 돈을 전송하는 것이고, 이 엉뚱한 곳에는 미리 준비된 자금 운반책들이 대기하고 있는 식이죠.”

고지 운영자들은 자신들이 노린 사용자, 즉 피해자의 국적, 피해액에 따라 다양한 운반책을 동원한다. 물론 ‘일반’ 범주에 속하는 피해자라면 보통의 운반책을 고용하고 미리 정해진 금액만을 훔쳐낸다. 즉, 매뉴얼화 된, ‘고정적인’ 행동 방침이 있기도 하지만 피해자의 가치나 중요도, 상황에 따라 특수한 조치를 취하기도 한다는 것이다.

어떤 경우는 사용자가 특정 정보를 입력하는 데에 걸리는 시간이나 타자 속도와 같은 바이오메트릭 정보가 오가기도 한다. 이 정보를 기초로 하여 보안 시스템을 우회할 수 있는 계획이 마련되며, 정보를 가장 적절히 훔칠 수 있는 방법이 고안되기도 한다.

“멀웨어의 전문화라는 커다란 트렌드에는 변화가 없다는 사실이 드러났다고 볼 수 있습니다. 최근 분업화와 전문화가 이루어지고 있는 다크넷 암시장 상황을 접목해보면, 누군가 전문적으로 멀웨어를 개발하고, 누군가는 그걸 사용해 전문적으로 공격을 하고 있다고 볼 수 있습니다. 개발자와 배포자가 수수료를 먹는 방식으로 해서 이 사업을 키워갈 가능성도 높다고 봅니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>