10월에 발표된 아톰바밍 코드 주입 기술, 4개월만에 활용돼
패치 불가능한 윈도우의 기본 기능...MS는 “그다지 위험하지 않아”

[보안뉴스 문가용 기자] IBM의 보안 전문가들이 새로운 버전의 드리덱스(Dridex) 트로이목마를 발견했다. 이번에 발견된 드리덱스는 원자폭탄(AtomBombing)이라고 불리는 코드 주입 기술을 가지고 있는 것으로 밝혀졌으며, 이미 유럽의 여러 온라인 뱅킹 시스템을 공격 중이라고 한다. 탐지 또한 한층 더 어려워졌다.


원자폭탄이라고 불리는 기술은 지난 10월 보안 전문업체인 엔실로(enSilo)가 발표한 악성 코드 주입 기술로, 공격에 동원될 수 있는 코드를 아톰 테이블(atom table)이라는 윈도우 요소에 삽입하는 것을 말한다. 아톰 테이블은 거의 모든 버전의 윈도우에 존재하는 것으로, 특정 애플리케이션 데이터를 저장하는 데에 활용된다. 결국 입력 확인 과정에서 나타나는 오류를 악용한 전형적인 코드 주입 공격의 일종인 것인데, 이는 본지에서도 이미 보도된 바 있다.

결국 윈도우 아톰 테이블에 주입되는 악성 코드는 현존하는 보안 솔루션이나 장치들로는 발견하기가 매우 어렵다는 것이고, 이는 어지간한 윈도우 패치로도 고치는 게 불가능한 것이었다. 원자폭탄 기술을 발견한 엔실로는 당시 이 공격에 대해 “취약점을 악용하는 게 아니라, 윈도우라는 운영체제의 기본적인 기능 자체를 악용하는 것”이라고 강조했다. 윈도우를 처음부터 새로 설계하지 않는 이상 ‘고친다’는 개념이 통하지 않는 부분이라는 것이다.

이번에 IBM이 발견한 드리덱스는 4번째 버전으로, 아톰바밍 기법이 탑재된 첫 번째 멀웨어다. 이 드리덱스는 아톰 테이블을 사용해 페이로드와 기타 연관성이 있는 데이터를 특정 프로세스가 차지하는 메모리 공간으로 복사한다. 그런데 이 부분이 기존 드리덱스와는 조금 다르다고 IBM의 리모 케셈(Limor Kessem)은 설명한다.

“여태까지는 드리덱스 만드는 일당들이 스스로 코드를 만들었어요. 자기들이 고안한 공격 방법을 자기들 방식대로 코딩한 것이죠. 아톰바밍처럼 널리 알려진 공격법을 그대로 가져다 쓰지는 않았거든요. 아톰바밍이라는 코드 주입법이 너무 효과적이고 유용해서 ‘스스로 만든다’는 철칙을 꺾은 것 같습니다. 그만큼 이 문제가 치명적이라는 것이죠.”

아톰바밍을 활용한 코드 주입 기능뿐 아니라 새로운 암호화 및 스파잉 기능 또한 탑재되어 있다. 이 두 기능은 지난 버전의 드리덱스에서부터 등장했던 것이다. 이 두 기능이 있어 탐지가 어렵고 APT 공격이 가능해지는 것이다.

하지만 윈도우의 제조사이자 아톰바밍 문제를 패치할 수 없는 마이크로소프트는 이번에 발견된 드리덱스가 그다지 위험하지 않다는 입장이다. “드리덱스의 아톰바밍 기능이 제대로 활용되려면, 이미 다른 방법을 통해 감염이 된 시스템이어야 합니다. 수상한 링크를 클릭하지 않거나, 아무 파일이나 열어보지 않는 등, 기본적인 보안 수칙만 지켜도 충분히 막을 수 있는 공격인 것이죠.”

엔실로의 보안 전문가인 탈 리버만(Tal Liberman)은 “멀웨어 제작자들이 아톰바밍을 활용하려는 움직임을 보이는 게 지극히 당연한 일”이라며 “오히려 10월에 밝혀진 내용이 이제야 사용되기 시작했다는 것이 차라리 놀랍다”고 말한다. “무려 4개월이나 걸린 것입니다.” 4개월은 일반적인 제로데이 취약점 공개 후 공격에 활용되기까지의 기간에 비하면 굉장히 긴 시간이다. 그래서 그는 “이번에 발견된 드리덱스가 아톰바밍을 활용한 첫 멀웨어가 아니라, 운 없이 들켜버린 첫 멀웨어일 수도 있다”고 보고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>