애드윈드 혹은 애얼리언스파이...암시장 내 판매되는 서비스형 멀웨어
이번에 나타난 변종은 주로 기업들 노려...분석 방해 기능도 탑재

[보안뉴스 문가용 기자] 애드윈드(Adwind) 혹은 에얼리언스파이(AlienSpy)라는 멀웨어가 피싱 캠페인을 통해 번지고 있는 현상이 발견됐다. 이 공격은 10월에 최초로 발견됐고, 현재까지도 진행 중이다. 애드윈드 자체는 적어도 2012년부터 발견되어 온 것으로, 추가 멀웨어 설치, 정보 탈취, 키스트로크 로깅, 스크린샷 캡처, 영상 및 음성 정보 저장 등의 기능을 수행하는 백도어다.


카스퍼스키에 의하면 애드윈드는 유료 서비스 형태로 배포된다고 한다. 즉, 범죄자들이 멀웨어를 돈을 주고 구입해 독자적으로 사용한다는 것이다. 이러한 ‘고객’들이 2015년 말까지 적어도 1800명에 달했다. 그 1800명은 2015년 말까지 최소 443,000개의 대상들을 공격한 것으로 집계된다.

이번에 부활한 애드윈드 캠페인은 노비포(KnowBe4)라는 보안 업체가 발견했다. CEO인 스투 쇼웨르만(Stu Sjowerman)은 블로그를 통해 “애드윈드가 돌아왔다”고 밝히며 “수상한 이메일을 특히 조심해야 한다”고 권고했다. 해당 블로그 주소는 https://blog.knowbe4.com/alert-zombie-remote-access-phishing-trojan-kills-antivirus이다.

블로그에 따르면 노비포는 10월 초부터 .JAR 첨부파일이 포함된 피싱 이메일이 급증했다면서, “이는 애드윈드 혹은 에얼리언스파이의 특징”이라고 언급했다. 그러면서 “멀웨어 공격이 한 동안 잠잠했다가 갑자기 급증하는 건 흔한 패턴”이라고도 설명을 덧붙였다.

스투 쇼웨르만은 “악성 행위자들이 기업의 엔드포인트들을 노리고 있으며, 연합전선을 펼치고 있는 것으로 보인다”고 분석했다. “애드윈드가 판매형 멀웨어라는 점을 생각한다면 여러 범죄 조직들이 애드윈드를 구매해 서로 변종을 공유한다든지 해서 공격을 일시적으로 어딘가에 퍼붓고 있을 가능성이 높습니다.”

보안 외신 시큐리티위크는 “2017년 5월부터 6월 사이에도 애드윈드 캠페인이 증가한 적이 있다”며 “당시 공격 빈도수가 두 달 만에 107% 증가한 것을 생각해보면, 이번에 노비포가 발견한 현상은 ‘시작에 불과한 것’일 수도 있다”고 경고했다.

쇼웨르만에 따르면 현재 발견되고 있는 애드윈드 피싱 이메일들에는 몇 가지 공통점이 존재한다. “이메일 제목 란을 채울 때나 소셜 엔지니어링 공격을 감행할 때, 기업 환경에 필요한 문건임을 강조한다는 겁니다. 이를 테면 인보이스, 주문 명세서, 지불 안ㅇ내서, 계약서 등이죠.” 여기서 최근의 애드윈드 공격자들이 일반 개인이 아니라 기업들을 주로 노린다는 걸 엿볼 수 있다. 2015년 12월에 나타났던 애드윈드의 경우도 제목에 ‘지불건과 관련한 인보이스’나 ‘PO#939425’ 혹은 ‘Re: Payment/TR COPY-Urgent’라는 문구들이 자주 사용됐다.

쇼웨르만은 블로그를 통해 “피싱 이메일이 이렇게까지 성행한다는 건 아직 백신이나 스팸 방지 솔루션의 수준이 공격자들에 한참 못 미친다는 뜻”이라며 “애드윈드가 나타났다 사라졌다를 반복하는 현상 속에서 방어 솔루션 수준이 매번 뒤쳐진다는 게 가장 염려된다”고 말했다. “바이러스토탈(VirusTotal)에 등록된 백신 엔진들 중 이번 애드윈드 샘플을 탐지해낸 건 얼마 되지 않았습니다. 통상 26~40% 정도의 성공률만 보입니다.”

이번 애드윈드 변종에는 탐지 방해 기능들도 탑재되어 있다고 한다. “샌드박스 탐지 기능, 다양한 백신 및 보안 솔루션 비활성화 기능, 리버스 엔지니어링 방해 기능 등이 발견됐습니다. 탐지 및 아니라 분석도 어렵다는 것이죠. 서비스형 멀웨어답게 점점 고급화되고 있습니다.”

노비포는 교육을 통해 수상한 이메일을 스스로 걸러내도록 하는 게 가장 효과적인 방어법이라고 권장하고 있다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>