• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

러시아 해킹 그룹 털라, 정상 어도비 URL 통해 멀웨어 배포 2018.01.10

어도비가 해킹당했을 가능성은 낮아 보여...정확한 원리는 아직 오리무중
HTTP 통한 실행파일 다운로드 및 설치는 조직 차원에서 금지시켜야 안전

[보안뉴스 문가용 기자] 러시아어를 구사하는 해킹 단체 털라(Turla)가 새로운 전략을 구사해 멀웨어를 심고 다니는 것으로 나타났다. 보안 업체 이셋(ESET)이 발견한 것으로 “최근 털라가 정상적인 어도비 플래시 설치파일에 자신들이 주로 사용하는 백도어를 패키징 하는 방법을 활발히 사용하고 있다”고 경고했다.

[이미지 = iclickart]


단지 어도비 플래시 설치파일이 악용되고 있다는 것만이 이번 전략의 무서움은 아니다. “멀웨어가 표적 시스템으로 다운로드 되는 데 사용되는 원격 IP 주소들이 아카마이(Akamai)에 소속되어 있어요. 아카마이는 어도비가 공식적으로 플래시 인스톨러를 배포하기 위해 사용하는 채널이죠. 즉 진짜처럼 보이기 위한 속임수의 차원이 달라졌다는 뜻입니다.”

진짜 어도비 콘텐츠인 것처럼 멀웨어를 다운로드 시킨 후 털라는 해당 시스템의 정보들을 받기 시작한다. 이 때 정보가 전송되는 URL도 전부 정상적으로 Adobe.com에 소속되어 있다. 또한 이러한 통신들 전부 HTTPS가 아니라 HTTP를 통해 발생한다고 이셋은 추가로 설명한다. 그렇다면 어도비라는 기업 자체가 해킹당한 것 아닐까?

“어도비가 당한 것은 아니라고 자신 있게 말할 수 있습니다.” 이셋의 설명이다. “다만 털라가 어도비라는 브랜드를 기가 막히게 잘 활용하고 있는 것이죠. 신뢰받는 브랜드를 통해 멀웨어를 배포하고 있는 중인 겁니다.”

털라는 오래전부터 소셜 엔지니어링 공격을 통해 사용자들을 속이고 멀웨어를 설치하도록 유도하는 것으로 유명한 해킹 단체다. 또한 가짜 어도비 플래시 업데이트 파일을 주로 사용해오기도 했다. 그 가짜가 이번에 진짜로 바뀐 것으로 실제 어도비가 소유하고 있는 URL과 IP 주소가 멀웨어 배포에 사용된 사례는 이번이 처음이다. 그 어떤 APT 공격 단체도 이러한 시도를 해본 적이 없다고 이셋은 밝힌다.

이셋의 수석 멀웨어 분석가인 장이안 부틴(Jean-Ian Boutin)은 “신호 정보(SIGINT)를 활용한 공격 시나리오가 예상된다”고 설명한다. “그러나 신호 정보를 활용할 수 있는 해킹 단체는 거의 없기에, 분석하는 입장에서도 생경하고 까다롭습니다. 솔직히 아직도 어떻게 털라가 Adobe.com을 통해 멀웨어를 배포할 수 있게 되었는지 정확히 파악하지 못했습니다.”

대신 이셋은 몇 가지 시나리오를 만드는 데에는 성공했다. “하나는 피해자 네트워크에 이미 컴퓨터 한두 대를 침해한 경우입니다. 이럴 땐 로컬 단위에서 중간자 공격을 실시할 수 있게 되죠. 즉 정상적인 URL로부터 오가는 트래픽을 중간에서 가로채고 바꿀 수 있다는 겁니다. 하지만 털라 그룹이 이러한 기법을 사용한 사례는 과거에 한 번도 없었다는 게 좀 걸립니다. 그렇다 해도 털라 정도 수준의 해커들에게 어려운 공격 기법은 아닙니다만.”

또 다른 시나리오는 “침해된 로컬 게이트웨이를 활용한 중간자 공격을 실시하는 것”이다. “게이트웨이를 점거한 거라면 조직 내 모든 트래픽을 가로채고 조작할 수 있다는 뜻이 됩니다. 털라 그룹은 유로뷰로스(Uroburos)라는 루트킷을 이미 사용한 사례가 있습니다. 유로뷰로스를 살짝 손보면 게이트웨이를 통해 트래픽 속에 악성 코드를 심는 게 가능해집니다.”

이 두 가지 외에 ISP 단계에서 털라가 중간자 공격을 실시할 가능성도 있고, BGP(외부 라우팅 프로토콜)를 하이재킹 해 악성 트래픽이 실제 어도비 서버에 도달하지는 못하게 할 수도 있다고 이셋은 설명한다.

“하지만 가장 그럴싸한 시나리오는 공격자가 통제하는 라우터를 통해 HTTP를 조작하는 겁니다(HTTP manipulation attack). 그 라우터는 조직 내에 있을 수도 있고, ISP 단계에 있을 수도 있지요. 물론 공격하고자 하는 조직 내 있는 라우터를 공략하는 게 훨씬 쉽긴 하겠지요.”

결국 기업으로서는 “어떤 파일이 다운로드되고 있는지 좀 더 상세히 확인해야 한다”고 부틴은 말한다. “IP 주소나 URL은 어도비 본사를 가리키고 있지만 파일 자체는 멀웨어와 함께 패키징 되어 있죠. 실행만 시키지 않으면 감염이 진행되지 않습니다. 즉 조직 차원에서 실행파일 자체를 임의대로 다운로드 받지 못하게 해야 합니다. 특히 HTTP 트래픽을 통해 전달된 것은 말이죠. HTTPS를 통해 들어온 것만 신뢰하도록 해야 합니다.”

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>