랜섬웨어 기능 탑재한 샤문 2.0, 사이버전 부대 정체 숨기려
스톤드릴은 브라우저의 메모리 프로세스에서 활동...탐지 어려워

[보안뉴스 문가용 기자] 데이터를 삭제하는 공격이 점점 더 세를 넓히고 있다. 카스퍼스키(Kaspersky)의 보안 전문가들은 최근 새롭게 등장한 데이터 삭제형 멀웨어를 분석하면서, 그 발전 양상에 놀라움을 금치 못했다고 한다.


최근 카스퍼스키 측에서 분석한 멀웨어는 스톤드릴(StoneDrill)로, 이는 이전에 등장했던 데이터 삭제형 멀웨어인 샤문(Shamoon)과 연관성이 깊어 보인다고 한다. 게다가 샤문 자체도 새로운 버전(2.0)이 등장했는데, 여기에는 랜섬웨어 기능까지 탑재되어 있다고 한다.

샤문은 작년, 약 5년 만에 재등장한 멀웨어로, 올해 초에도 사우디아라비아 등 걸프 연안 국가 정부기관들을 세 차례나 공격하는 데에 활용되었다. 그리고 카스퍼스키가 샘플 확보에 성공한 샤문 2.0에서는 랜섬웨어 모듈까지 발견되었다. 다행히 샤문 2.0은 실제 공격에 아직까지 동원되지 않았다고 한다. 카스퍼스키 측은 금전을 목적으로 한 사이버 범죄자들처럼 보이기 위한 ‘면피용 모듈’이라고 보고 있다.

“랜섬웨어 기능과 데이터 삭제 기능이 서로 잘 어울리기도 합니다.” 카스퍼스키의 보안 전문가인 후안 안드레스 게레로사드(Juan Andres Guerroro-Saade)는 설명한다. “기업의 소중한 자산인 데이터를 볼모로 잡는다는 개념이 동일하니까요. 데이터를 삭제하거나 말거나, 그건 멀웨어 운영자가 키보드 하나 누르냐 마냐의 차이일뿐입니다.”

카스퍼스키와는 상관이 없지만 보안 업계에 종사하고 있는 한 전문가는 “이미 국가가 후원하는 사이버전 행위에도 랜섬웨어 공격이 동원되고 있다”고 말한다. “금전적인 이득을 취하려는 건 절대 아닙니다. 그저 흔한 랜섬웨어 공격자처럼 보이고자 함이죠. 정체를 감추기 위해 랜섬웨어인척 하는 것일 뿐입니다.”

진짜 랜섬웨어 범죄자들과 그런 척 하는 사이버전 부대의 차이점은, 후자의 경우 피해자가 돈을 지불해도 데이터를 돌려받지 못한다는 것이다. 사이버전 부대의 목적은 데이터 삭제로 심각한 피해를 입히는 것에 더 가깝기 때문이다.

IBM 엑스포스(X-Force) 팀의 전문가들 역시 샤문 2.0의 랜섬웨어 모듈을 발견했다. 엑스포스의 마이크 오펜하임(Mike Oppenheim)은 “예상 가능한, 자연스러운 변화였다”고 설명한다. 사이버전이 심화될수록 정체를 감출 필요 역시 높아지기 때문이다. 엑스포스 역시 카스퍼스키와 마찬가지로 “아직 샤문 2.0이 실제로 공격에 동원된 예를 발견할 수 없었다”고 말한다.

한편 스톤드릴 멀웨어는 데이터 삭제 기능 자체를 한 차원 더 업그레이드시켰다. 피해자의 컴퓨터에 설치되고 나서부터는 사용자의 브라우저가 실행되는 메모리 프로세스에 침투해 활동하기 때문이다. 다만 최초 침투 방법에 대해서는 아직까지 알려진 바가 없다. “그러나 기존 샌드박스 기술 같은 보안 솔루션은 쉽게 피해가는 듯 보입니다. 샤문과 그 우회 스타일이 매우 비슷합니다. 코드베이스가 살짝 다르긴 하지만요.” 후안 안드레스의 설명이다.

스톤드릴은 샤문 2.0과 달리 이미 공격에 널리 활용되고 있다고 한다. 중동 지역의 정부기관과 조직들이 가장 주요한 표적이지만, 유럽의 각종 조직들도 무사하지 못하다고 카스퍼스키는 설명한다. 다만 구체적인 이름을 아직 언급할 수는 없다고 했다. “이전에 뉴스비프(NewsBeef)나 차밍키튼(Charming Kitten)이라는 이름으로 언급된 APT 공격자들과 비슷한 코드를 사용하고 있습니다.” 뉴스비프와 차밍키튼은 현재 이란의 해킹 단체라고 알려져 있다.

지난 수개월 동안 이란의 사이버전 능력은 극적으로 상승했다고 전문가들은 보고 있다. 그런데 그 시기가 샤문 2.0의 등장과 비슷하다는 게 묘하다고 크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 설명한다. 또한 중동 지역에서의 지정학적인 관계 때문에 이란이 사이버전 능력을 계속해서 키울 수밖에 없다고 짚는다. “앞으로 더 파괴적인 사이버전 양상이 이란을 비롯한 중동 지역에서 더 자행될 것으로 보입니다.”

그러면서 자연스럽게 등장할 수 있는 또 다른 예는 분석과 수사를 어렵게 만드는 기능의 추가다. IBM의 오펜하임은 “멀웨어 자체가 발견된다 하더라도 운영자의 정체는 계속 숨겨야 하니 포렌식을 어렵게 만드는 기능이 혁신적으로 변화할 것”이라고 내다본다. “원래 멀웨어 제작자들과 포렌식 전문가들끼리는 숨바꼭질을 계속 진행해왔지요. 그것이 더 심화될 것입니다.”

크라우드스트라이크의 메이어스는 “그러므로 피해자가 누군지 파악하는 게 굉장히 중요해진다”고 설명한다. 피해자를 통해 공격자들의 동기를 짐작해보는 게 가능하기 때문이다. “사이버전은 결국 지정학적인 이유로 인해 발생합니다. 외교 관계, 국제 관계에 대해 파헤치면 용의자 혹은 용의국가가 좁혀지죠. 이란의 사이버전이 이렇게 강력해지고 있다면, 아마 다음 표적 국가는 미국이 되지 않을까 합니다. 현재 이란과 미국의 관계가 매우 안 좋기 때문이죠.”

카스퍼스키의 안드레스는 아직 미국에서 샤문 2.0이나 스톤드릴 멀웨어 공격을 발견한 적이 없다고 말한다. 하지만 그 공격들이 언제고 미국에서 발견되어도 전혀 이상할 것이 없다는 입장이다. “정부기관만이 아니라 민간 업체들도 조심해야 합니다. 사이버전 부대가 정부 기관만 공격하는 시대가 아니니까요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 아시아 최대 규모의 종합 보안 전시회 SECON 2017 - 3월 15일(수)~17일(금) 개최
- IFSEC과 BlackHat 주관사인 UBM이 직접 투자한 한국 유일 전시회
- 해외 보안 분야 바이어들과 1:1 전문 상담
- 가상현실, 심폐소생술, 드론 해킹, 1인 가구 안전 체험 등 다양한 코너 마련