카드 정보 및 다른 정보 빼가는 멀웨어 변종...POS만 노리는 것 아냐
원하는 것 빼가는 것보다 더 큰 피해 입히는 것에 집중하는 범죄 트렌드?

[보안뉴스 문가용 기자] 가동 중인 프로세스의 메모리에서 몰래 정보를 빼내오는 멀웨어(일명 메모리 스크래퍼)가 최근 들어 POS 시스템에서 신용 카드나 직불 카드를 훔치는 범죄자들 사이에서 가장 인기가 높은 도구다. 그러나 그 외에도 이런 부류들이 사용하는 무기들은 다양하다는 걸 간과해서는 안 된다.


보안 전문업체인 시큐어웍스(SecureWorks)는 이번 주 넷와이어(NetWire)라는 원격 접근 트로이목마(일명 RAT)를 활용한 지불 카드 도난 사건에 대해 보고서를 만들어 발표했다. 이 넷와이어는 새롭게 개발된 멀웨어가 아니다. 최소 2012년부터 활동해 온 멀웨어로 알려져 있다.

시큐어웍스에 의하면 해당 사건은 지난 9월에 최초로 발견되었으며, 당시 시큐어웍스는 키로깅 기능이 탑재된 넷와이어의 변종을 찾아냈다고 한다. 범죄자들이 훔쳐내고자 한 건 지불 카드 관련 정보뿐만 아니라 사업자의 로그인 정보, 네트워크 및 도메인 로그인 정보까지도 노린 것으로 시큐어웍스는 밝혀냈다. 애초에 키로깅 기능을 사용했다는 것 자체가 이미 지불과 관련이 없는 행위 및 정보들까지도 노린 것이라고 시큐어웍스는 분석한다.

“POS 시스템만을 공략하기 위해 만들어진 멀웨어라고 보이지 않습니다. 다른 시스템에도 보편적으로 사용이 가능한데, 다만 POS에서조차 치명적인 위험성을 발휘할 수 있는 멀웨어라고 보는 편이 맞습니다.” 이 넷와이어 변종이 훔쳐내는 정보는 정확히 은행 로그인 정보, 사회보장번호, 개인 및 금융 정보, 이메일 로그인 및 다른 업무용 애플리케이션 로그인 정보다.

넷와이어를 발견했다는 건 ‘금융 정보를 노리는 공격자들이 메모리 스크래퍼 외 다른 종류의 멀웨어를 사용하기 시작했다’는 점에서 중요하다. 시큐어웍스의 사건 대응 상담자인 아더 페트로첸코(Arthur Petrochenko) 역시 이 점을 강조한다. “메모리 스크래퍼의 인기가 높은 이유는 뭘까요? 흔적을 거의 남기지 않는다는 겁니다. 때문에 탐지가 어렵죠. 넷와이어 사용자들은 이 장점을 버리고 다른 걸 택했다고 볼 수 있습니다.”

탐지 회피력 대신 얻어낸 건 다름이 아니라 ‘더 많은 정보’다. “더 많은 정보를 가져갔다는 건 피해자에게 더 큰 피해를 입힌다는 뜻입니다. 확실히 넷와이어에 당하는 것이 일반 메모리 스크래퍼에 당하는 것보다 더 치명적으로 작용합니다. 자기들이 원하는 걸 빼내가는 범죄에서 피해자들의 피해를 더 크게 만드는 것이 범죄자들 사이에서 더 중요하게 인식되기 시작한 게 아닐까 합니다.”

문제는 넷와이어가 ‘합법적으로 판매되고 있는 원격 관리 솔루션’이라는 것이다. 그렇기에 기존 백신이나 멀웨어 탐지 솔루션으로는 잡아낼 수가 없다. 시큐어웍스가 조사한 바 54개 백신에서 넷와이어 방지 및 탐지 기능을 가진 건 6개에 불과했다. 그래서 넷와이어는 한 번 침투하면 굉장히 오랜 기간 시스템에 머물며 정보를 빼돌리는 게 가능하다. “이 점 역시 메모리 스크래퍼의 속도를 버리고 얻은 장점일 수 있습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>