• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

이것도 북한 소행? 신종 멀웨어 ‘바이지우’ 출현 2017.05.16

바이지우, 북한 상황에 대한 관심 이용해 클릭 유도
스파이 툴 및 백도어 설치해 피해자 데이터 빼돌려
매우 정교한 구조... 누가 어떤 목적으로 공격하는지 몰라

[보안뉴스 오다인 기자] 보안 전문업체 사일런스(Cylance)가 ‘바이지우(Baijiu)’라는 새로운 멀웨어를 발견했다. 바이지우를 활용한 공격자들은 일반 사용자들이 쉽게 관심가질 만한 키워드인 ‘북한’을 사용해 클릭을 유인하고, 지오시티(GeoCities)라는 오래된 익명성 제공 웹 호스팅 서비스를 활용하고 있다는 내용이다.

‘북한’은 작년에 발생한 홍수 이후 인권문제에 관심이 많은 사람들이 현혹되기 쉬운 주제로, 실제 사일런스의 전문가들도 처음 북한에 대해 뭔가 알게되리라는 기대로 연구 활동을 하다가 바이지우와 조우했다고 한다. 지오시티는 90년대에 전성기를 누리던 호스팅 서비스로 현재는 야후가 소유하고 있으며 일본에서만 살아남아 있는 상태다. 사용자에게 익명성을 보장해주기 때문에 최근 들어 악성 행위자들의 사용도가 높아지고 있다.

[이미지=아이클릭아트]


바이지우의 궁극적인 목표는 ‘태풍(Typhoon)’이라 불리는 다운로더를 통해 스파이 툴을 설치하고 작년 북한 지역에 피해를 안겼던 태풍인 ‘라이언록(Lionrock)’에서 이름을 딴 라이언록 백도어를 설치하는 것이다. 사일런스의 위협첩보 이사 케빈 라이블리(Kevin Livelli)는 이런 툴을 통해 피해자의 데이터를 빼돌릴 가능성이 높다고 설명했다.

하지만 바이지우가 완전히 새롭게 등장한 멀웨어는 아니다. 사일런스의 연구자들은 바이지우의 일부가 멀웨어 공유 사이트인 바이러스토탈(VirusTotal)에 이미 올라와 있는 것을 발견할 수 있었다. 하지만 “그럼에도 대부분 보안 솔루션에 탐지되지 않고 있었다”고 라이블리는 지적했다. “그래서 처음에는 북한에 대한 관심으로 시작한 조사가, 바이지우라는 멀웨어 자체에 대한 관심으로 바뀌었습니다. 실제 기존 멀웨어와 바이지우의 차이점들도 발견할 수 있었고요.”

라이블리는 말을 이어갔다. “일단 공격 방식도 복잡하고 멀웨어 구조 자체도 복잡했습니다. 공격자들은 이제 잘 사용되지 않는 지오시티의 웹 서비스를 침해하고, 태풍이라는 다운로더와 라이언록이라는 백도어, 즉 두 가지 멀웨어를 호스팅하고 있었습니다. 멀웨어 자체에는 다양한 난독화 및 분석/추적 방해 기술이 덧입혀져 있었고요. 그래서 바이러스토탈에 이미 등록되어 있음에도 탐지가 되지 않고 있었던 것이죠.”

라이블리는 ‘왜 지오시티일까?’가 궁금해졌다고 말한다. 1990년대 인기 있던 웹 호스팅 서비스인 지오시티는 현재 야후가 소유하고 있으며 일본에서만 서비스되고 있다. 사용료가 없고, 높은 대역폭을 갖고 있으며, 야후 이메일 계정 외 별도의 사용자 신원 확인을 요구하지 않는다. 즉, 익명성이 특징인 것이다. “일반 사용자들에게 좋아 보이는 건 해커들에게도 똑같이 좋아 보이는 법입니다.”

알아보니 지오시티를 사용해 멀웨어 공격을 하는 사례는 바이지우말고도 더 있었다. 지오시티는 2017년 3월, 중국 APT 그룹과 연관된 ‘포이즌 아이비(Poison Ivy)’를 퍼트리는 데도 사용됐다. “특히 기술적으로 진보한 공격자들에 의해 점점 더 많이 사용되고 있으며, 연구자들이 지오시티를 사용한 공격 사례를 최소 10건 찾아냈다”고 라이블리는 설명했다.

사일런스는 바이지우의 공격 대상에 대해 분석하진 않았다. 바이지우 멀웨어가 표적 삼은 조직이나 특정 지역이 딱히 드러난 건 아니지만, 공격 대상이 만연하게 퍼져있을 것으로 보인다고 말했다. 특정한 사이버 범죄자나 사이버 범죄 집단을 규명하기도 어렵다고 덧붙였다. “이번 공격의 기술적 복잡성과 멀웨어가 코딩된 방식을 고려했을 때, 매우 정교한 공격자가 뒤에 있을 것이라고만 말할 수 있습니다.” 라이블리는 말했다.

바이지우와 관련해 특정한 행위자를 선별할 수 없다고 라이블리는 말을 이어갔다. 다만 예전에 시만텍이 발견한 에고봇(Egobot)이나 카스퍼스키가 발견한 다크호텔(Darkhotel) 작전에 사용된 코드와 유사점이 있다고 설명했다. 에고봇은 남한을 겨냥한 공격에 활용된 멀웨어이고, 다크호텔 공격자들은 일본, 대만, 중국에 근거지를 두고 있는 것으로 알려져 있다. 또한 다크호텔에는 한국어 구사자가 섞여 있다는 첩보도 있었고, 따라서 북한이 용의선상에 오르기도 했다. 하지만 라이블리는 누군가를 정확히 명시하기를 꺼려했다.

라이블리는 “(바이지우는) 더 큰 캠페인과 연관된, 하나의 창문 정도에 지나지 않을 것”이라고 말했다. 바이지우가 과거 사이버 공격들과 유사한 점을 가지고 있다는 사실을 고려했을 때, 공격자들이 누구고 그들의 목적이 무엇인지 더 잘 알 수 있는 단서들이 앞으로 더 발견될 수 있을 것으로 예상된다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>