• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

다시 살아난 옛 트로이목마, 케르베르 공격도 진행 2016.09.02

브라우저 캐시에 저장된 암호 훔치고 랜섬웨어 공격 실행
최대의 이득 올리기 위한 수단...철저한 암호 관리도 소용없어

[보안뉴스 문가용] 오래된 은행 트로이목마가 무기화된 문서 페이로드를 장착한 채 환생했다. 이 트로이목마는 암호를 훔치는 것에서 그치지 않고 랜섬웨어 공격을 실행하기도 한다. 이 트로이목마의 이름은 베타봇(Betabot)으로 이미 2013년에 FBI가 공식 경고를 발표하기도 했다. 당시는 안티멀웨어 소프트웨어를 무력화시키고 가상 기기 및 샌드박스 시스템을 우회하는 것으로도 알려졌다.

▲ 한 번 당한 당신은 나의 진국


이번에 보안 전문업체인 인빈시아(Invincea)에서 발견한 베타봇 역시 비슷한 기능을 수행한다. 악성 문서를 타고 퍼지는 것도 비슷하다. 다만 암호를 훔쳐낸 후 악명 높은 케르베르(Cerber) 랜섬웨어 공격을 시도하는 것은 다르다. 즉, 더 악질적으로 변한 것. 인빈시아는 “악성 문서로 암호를 훔친후 랜섬웨어 공격까지 가하는 건 처음 보는 경우”라고 했다.

인빈시아의 위협 연구 수석 책임자인 패트릭 벨처(Patrick Belcher)는 베타봇이 이미 수천 명이 넘는 사용자를 공격했다고 설명한다. “베타봇이 이렇게 화끈하게 돌아오리라고는 전혀 생각하지 못했습니다. 암호를 빼돌린 후에 케르베르까지 주입시키다니요.”

케르베르 랜섬웨어는 최근 사이버 범죄자들 사이에서 굉장히 ‘핫’한 물건이다. 랜섬웨어 대행 서비스라는 사업 유형을 도입해 운영자(즉, 케르베르 개발자)가 공격을 하고 싶으나 기술력이 없는 사람들에게 랜섬웨어를 빌려주고 수수료를 받고 있어, ‘누구나 랜섬웨어 공격을 가능하게’ 해준다. 최근 보안 전문업체인 체크포인트(Check Point)의 조사에 따르면 7월 한 달간 케르베르 범죄 집단이 벌어들인 돈은 19만 5천 달러에 달한다고 한다. 케르베르 개발자의 연간 수입은 약 94만 6천 달러인 것으로 추정되고 있다.

다시 이야기를 베타봇으로 돌려보면, “왜 이미 한 번 피해를 받은 사람에게 다시 한 번 공격을 가하는가?”라는 의문점이 남는다. 벨처는 “결국 최대한의 이득을 보기 위함”이라고 분석한다. “암호를 훔쳐내는 데 성공한 것으로 얻어낼 이득을 얻어내고, 이왕 한 김에 랜섬웨어로 끝까지 쥐어짜내겠다는 것이죠.”

벨처는 또 “원래 목적은 암호를 훔쳐내는 것이 맞다”고 한다. 안 그러면 케르베르만 사용하면 되지 굳이 베타봇과 접목할 필요가 없기 때문이다. “암호를 훔쳐내면 그것만으로도 시장에 팔아 돈을 벌 수 있고, 아니면 사기 로그인 등을 통해 다른 공격을 할 수 있습니다. 하지만 암호라는 것 하나만 가지고 끌어낼 수 있는 건 극히 한정적입니다. 여기에 랜섬웨어를 얹어서 수익을 극대화 시킨 것이죠.”

베타봇은 기본적으로 브라우저 캐시에 저장된 크리덴셜을 수집하는 기능을 하는 멀웨어다. 최근에는 이력서처럼 꾸며진 악성 워드 문서(Word Document)를 통해 퍼지며, 워드 매크로 기능을 활성화시킨 사용자가 이 문서를 열 경우 활성화된다.

기업들은 여전히 피싱 공격에 당한다. “저희가 조사한 바에 의하면 익스플로잇 킷을 사용하는 것보다 악성 문서를 통한 공격이 여섯 배나 많습니다. 악성 매크로만이 아니라 문서인척 가장한 각종 악성 공격을 말하는 겁니다.” 벨처의 설명이다. “이건 단순히 기업의 안일한 태도를 지적할 게 아닙니다. 회사 치고 이메일로 인보이스, 예약증, 이력서를 주고받지 않는 곳이 어디 있나요? 하루에 수많은 문서를 처리해야 하는 담당자가 피싱 문서 하나를 골라내기란 쉽지 않습니다.”

베타봇처럼 브라우저 캐시에 저장된 암호를 훔치는 멀웨어의 경우 암호 관리를 철저히 해도 소용이 없다는 것도 치명적이다. “매일 암호를 14자리 이상의 문자열로 바꾸고, 그걸 무슨 격언 외우듯 아침마다 묵상하는 사람이라고 해도 베타봇 앞에선 무력해집니다.” 그렇다면 베타봇에 대해서 어떤 방비를 취할 수 있을까? “피싱 공격에 주의해야 하는 건 너무 당연하죠. 그리고 매크로 기능은 당분간 꺼두세요. 캐시 정리도 자주 하시고요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>