• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

스팸 공격의 전략도 변하고 있다! 헤일스톰 공격 발견 2016.12.20

안티스팸 솔루션 성능 좋아져, 최근 두 가지 전략 등장해
스노우슈는 안티스팸에 걸리지 않고, 헤일스톰은 폭발적인 단발 공격

[보안뉴스 문가용 기자] 안티스팸 솔루션의 기능이 계속해서 발전하고 있다. 현존 최고의 솔루션으로는 스팸 메일을 99.9% 차단할 수 있다고 한다. 이는 스패머들에게는 좋지 않은 상황이다. 하지만 스패머 및 사이버 공격자들이 어떤 사람들인가? 바퀴벌레처럼 적응하고 끝까지 살아남는 사람들이다. 기능이 뛰어난 안티스팸에 대항하여 공격자들이 어떻게 변하고 있는지 보안 연구소 시스코 탈로스(Cisco Talos)의 보안 전문가들이 공개했다.


먼저, 이번에 발견된 스패머들의 새로운 전략은 ‘헤일스톰(hailstorm)’이라고 불린다. 이는 스패머들의 기존 인기 전략인 ‘스노우슈(snowshoe)’의 업그레이드 버전이라고 볼 수 있다고 한다. 스노우슈 전략은 IP 주소를 굉장히 많이 사용해서 용량이 낮은 이메일을 다량으로 발송하는 공격 기법이다. 안티스팸 솔루션들이 공격의 양을 측정해 스팸을 걸러낸다는 걸 알고, 회피하기 위해서다. 즉 ‘양’을 여러 IP로 분산시켜 공격하는 것이다.

많은 IP를 활용해 공격을 분산시킨다는 개념 자체는 헤일스톰에서 역시 마찬가지다. 스노우슈와 다른 점이 있다면 용량이 낮은 이메일을 발송하는 대신 용량이 매우 높은 이메일을 짧은 단 시간에 폭발하듯이 발송하는 것이다. 시스코 탈로스의 야콥 도어만(Jakob Dohrmann), 데이비드 로드리게즈(David Rodriguez), 제이슨 슐츠(Jaeson Schultz)는 “기존 안티스펨 솔루션들 중 가장 빠른 제품이 공격에 반응할 수 있는 시간보다도 짧은 시간 안에 모든 게 끝난다”고 설명한다.

“스노우슈 공격에서 쿼리 수의 최고치는 시간 당 약 35개 정도였습니다. 하지만 헤일스톰의 경우 0에 가까운 쿼리만 수 시간 진행되다가 어느 순간 시간 당 7만 5천개 쿼리로 급격하게 치솟더군요. 그리고 다시 0의 상태로 돌아갔습니다. 스팸 공격이 시작되는 순간부터 안티스팸 솔루션이 제대로 발동해서 시스템의 모든 부분에 적용되기 전까지의 그 짧은 시간을 확실하게 이용하는 것이죠. 안티스팸 시동 걸릴 때까지 시간이 걸리니, 그 시간 안에 공격을 퍼붓는 겁니다.”

스노우슈 공격자들이 최대한 은밀하고 꾸준하게 공격을 진행했다면 헤일스톰 공격자들은 짧은 시간 동안 최대한 많은 이메일을 발송하는 게 목표라고 볼 수 있다. 헤일스톰에 동원되는 IP 주소들은 세계 각지에 퍼져 있는데, 그 중 미국, 독일, 영국, 네덜랜드, 러시아의 IP가 제일 많이 사용되고 있다고 한다.

그러나 헤일스톰 공격이 사용자들에게 그다지 큰 위협거리가 되지 않을 것이라고 시스코 탈로스의 연구원들은 설명한다. “오히려 헤일스톰의 전략 자체가 다른 공격자 및 범죄자들의 주목을 받고 있는 듯 합니다. 눈에 안 띄면서 장기간 공격을 하는 게 아니라, 솔루션이 제대로 발동되기 전에 폭발적으로 공격을 쏟아 붓는다는 개념은 이미 네커스(Necurs)라는 유명 봇넷에서 이미 활용되고 있을 정도입니다.”

여기서 언급된 네커스 봇넷은 주로 드리덱스(Dridex)라는 뱅킹 멀웨어와 록키(Locky) 랜섬웨어를 퍼트리는 것으로 유명하다. 이 두 멀웨어를 퍼트리는 데에 헤일스톰 방식을 최근 채택한 것 같은 흔적이 발견된 것이다. “네커스 운영자들은 드리덱스와 록키와 같은 멀웨어를 통해 충분히 수익 활동을 벌였으니 새로운 전략을 받아들이는 데에도 망설임이 없는 것으로 보입니다.”

스팸메일을 통해 물건을 판매하려고 하는 스패머들에게는 스노우슈 전략이 좀 더 효과적일 것으로 보인다. 각종 안티스팸 솔루션들을 피해 오랜 기간 자신들의 상품을 노출시킬 수 있기 때문이다. 하지만 여러 파괴적인 멀웨어들을 퍼트리는 것이 스팸의 목적인 경우, 안티스팸 솔루션에 발각될 확률이 높기 때문에 헤일스톰이 더 효과적일 수도 있다. “멀웨어 배포 공격의 경우는 발각되는 게 그다지 문제가 되지 않아요. 소수의 인원 혹은 시스템만 감염에 성공시키면 되니까요. 그러니 장기간 노출될 필요가 없습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>