• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

머신러닝도 못 막는 록키 랜섬웨어, 2년 연속 왕좌 지킬 수 있을까 2017.09.30

작년 사이버 공간을 지배했던 신흥 강자...올해도 악명 드높여
대단위 봇넷 인프라 구축해 피싱 이메일 배포 중...ISP도 경계심 높여야

[보안뉴스 문가용 기자] 2016년 2월에 처음 등장한 록키 랜섬웨어가 어느 덧 온라인 공간을 위험하게 만드는 가장 큰 위협거리 중 하나가 되었다. 현재 록키 랜섬웨어를 사용하는 공격자들은 90년대 대한민국 가수들처럼 얼마간 사라졌다가 갑자기 나타나 짧은 시간 동안 휘몰아치는 공격을 퍼붓고 다시 사라지기를 반복하는 패턴을 보이고 있다.

[이미지 = iclickart]


가장 최근 록키가 ‘컴백’한 건 9월말 경의 일이다. 북미, 유럽, 동남아시아 지역의 수많은 업체들을 대상으로 랜섬웨어를 퍼트렸다. 이를 발견한 건 보안 업체 코모도(Comodo)로, 그 전 록키 공격들과 연계해서 특별 보고서를 조만간 발표할 예정이라고 한다. 현재까지 관찰된 바 그 전 공격이나 이번 공격이나 전부 스팸 봇넷을 활용한 피싱 공격을 통해 랜섬웨어가 퍼지고 있다는 공통점을 가지고 있다고 코모도는 설명한다.

그 중 코모도가 분석한 이메일 한 통은 피해 기업의 실제 파트너사가 보낸 이메일과 똑같아 보였다. 또한 전 세계 사무실 곳곳에 배치되어 있는 코니카 미놀타 스캐너와 프린터 모델 번호까지 포함시킨 이메일도 다수 발송됐다. 전통적인 ‘인보이스 가장’ 이메일에 속은 업체들도 있었는데 록키 공격자들은 2천~4천 달러를 요구한 것으로 알려졌다.

이렇게 피싱 공격 등 소셜 엔지니어링 기법을 공격자들이 사용하는 건, 현존하는 멀웨어 탐지 툴들이 아직 사람과 사람 사이의 층위에서 일어나는 공격 기법을 막지는 못하기 때문이다. 관리자 한 명만 속이면 모든 보안 툴들이 작동을 멈추는 것과 동일한 효과가 발생한다. 여기에는 최근 떠오르고 있는 머신러닝 알고리즘도 포함된다고 코모도의 부회장 파티 오르한(Fatih Orhan)은 설명한다.

“저희가 분석한 메일 중 하나는 프린터에서 처리된 문서처럼 보였어요. 그런데 공격의 시발점이 되는 스크립트가 몰래 숨어 있었죠. 이 정도 메일은 머신러닝에 기반을 둔 피싱 탐지 기술을 피해갈 수 있습니다. 왜냐하면 머신러닝 알고리즘이 이메일을 분석하기 위해서는 첨부파일을 열고, 스크립트를 추출해 학습을 해야 하는데, 보통 공격자들은 악성 파일에 악성 코드를 곧바로 심는 게 아니라 추가 페이로드를 다운로드 하는 스크립트만 삽입하거든요. 공격을 몇 단계로 나누니 머신러닝이라고 해도 힘을 못 쓰는 겁니다.”

그러므로 오르한은 “스크립트를 동적으로 분석할 만한 도구가 이제는 필요하다”고 설명한다. “실제로 스크립트를 실행시켜보고, 다운로드다 되는 페이로드 또한 실행시켜볼 수 있는 방법이 필요합니다. 그렇지 않고서는 이제 멀웨어를 기술적으로만 탐지한다는 게 불가능해졌습니다.” 이는 코모도가 록키와 관련된 이메일을 총 11만건 분석하고 얻은 결론이다.

“프린터 결과물처럼 보이는 피싱 이메일은 총 12만 개의 IP 주소로부터 발송됐습니다. 이 IP 주소는 139개국으로까지 추적이 가능하고요. 그 외에는 약 142개국의 1만 2천 350개 IP 주소로부터 발송된 이메일들이 록키를 피해자들에게 실어 날랐습니다. 이걸 합쳐보면 9월 말에 발생한 록키 랜섬웨어 공격은 그 발원지가 지구의 절반에 걸쳐 분포되어 있다는 걸 알 수 있습니다.”

코모도는 이 IP들에 대한 추적 및 분석도 이어갔다. 그 결과 수많은 개인 컴퓨터 사용자들이 여기에 연루되어 있다는 것을 알게 됐다. 물론 이들이 범죄에 가담했다는 게 아니라 공격자들이 피해자들의 시스템을 몰래 사용하고 있었다는 것이다. 또한 인터넷 제공 업체가 해킹 당한 경우도 상당히 많았다고 오르한은 설명한다.

“또 하나 주목해야 할 것은 이와 같은 피싱 이메일을 퍼트리는 서버들의 상당 수가 지난 번 공격 때도 활용되었다는 것입니다. 즉 록키가 거의 같은 인프라를 통해 배포되고 있다는 것인데요, 이 인프라를 통해서는 록키 말고도 다른 멀웨어가 배포된 흔적을 발견할 수 있었습니다. 이걸 봤을 때 서버의 진짜 주인들이 감염 사실을 모르고 있는 것으로도 보입니다.”

인터넷 제공 업체들 역시 자신들의 고객들 중 누가 감염되고 안 됐는지 판단할 능력이 없어 보인다는 것도 충격이었다고 오르한은 밝힌다. “물론 인터넷 제공 업체들이 실시간으로 위협을 탐지하는 역할을 해야 하는 건 아닙니다. 그래도 록키 랜섬웨어 공격이란 것이 진행된 게 수주가 넘는데, 이 기간 동안 트래픽의 수상한 점을 전혀 모르고 있었다거나 방치하고 있었다는 건 개선의 여지가 있다는 겁니다. 솔직히 인터넷 제공 업체들이 보안에 대해 생각이나 하는지 의심하게 되었습니다. 자신들이 제공하는 트래픽에 대한 책임감은 최소한 가져야 할 텐데 말입니다.”

록키는 지난 해 가장 확산도가 컸던 랜섬웨어이고, 비슷한 타이틀을 올해도 가져갈 것으로 보인다. 유로폴도 이번 주 “랜섬웨어 공격이 2년 연속 가장 심각한 사이버 위협”이라고 발표했다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>