• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

진행형 위협이자 모듈형 멀웨어인 이모텟, 최근 다시 급증 2018.11.14

1주일 전 발견된 새 모듈...잠잠하던 이모텟 다시 활동 시작
이메일 정보 침해하는 기능 가져...고객 정보 유출에 신경 써야 할 듯

[보안뉴스 문가용 기자] 이모텟(Emotet) 뱅킹 트로이목마를 퍼트리는 대형 스팸 캠페인이 적발됐다. 이는 새로운 대규모 이메일 수집 모듈이 발견되고서 1주일도 지나지 않아 시작된 것으로, 멀웨어 개발과 실제 공격 사이의 간격이 갈수록 줄어들고 있다는 것을 시사하고 있다.

[이미지 = iclickart]


이모텟은 원래 전형적인 뱅킹 트로이목마다. 하지만 다른 공격을 시작하는 2차 페이로드를 심는 드로퍼의 역할을 수행하기도 한다. 2차 페이로드란 트릭봇(TrickBot), 제우스 판다 뱅커(Zeus Panda Banker), 아이스드ID(IcedID) 등 보다 잘 알려진 멀웨어를 말한다.

그 외에도 크리덴셜 탈취, 네트워크 증식, 민감 정보 수집, 포트 포워딩 등의 기능도 가지고 있다. 왜냐하면 이모텟은 모듈 구조를 가지고 있기 때문이다. 따라서 여러 가지 기능이 부착되었다가 탈착될 수 있다. 웜처럼 네트워크에서 자가 증식을 하기 때문에 대단한 위협이 된다.

미국의 CERT는 지난 7월 이모텟에 대한 보안 경고를 발령하기도 했다. 그러면서 이모텟이 “국가, 주, 지역 정부 기관을 위협하는 가장 파괴적인 멀웨어 중 하나”라고 평했다. 여태까지 이모텟은 여러 층위의 정부 기관들에게 최고 사건 하나 당 1백만 달러의 피해를 입힌 것으로 알려져 있다.

최근 이모텟에는 새로운 모듈이 추가됐다. 피해자의 이메일 계정 크리덴셜과 장비에 저장된 연락처 목록을 수집하는 것으로, 위협이라는 측면에서 한층 더 무서운 것이 되었다. 또한 최고 180일까지의 과거 이메일들의 내용물 전체를 추출할 수도 있다.

보안 업체 바클리(Barkly)는 이 새로운 모듈을 처음 발견해 알렸다. “민감한 정보를 잃을 수 있다는 측면도 크지만, 기업들에는 고객의 데이터 침해 발생 시 고지 서비스를 반드시 시작해야 한다는 소리도 됩니다. 공격자들은 새로운 피해자들에게만 이 새 모듈을 심는 게 아니라, 기존에 공격했던 시스템과 네트워크에도 이 모듈을 설치하고 있습니다.”

이 새 모듈이 발견되고 나서 보안 업체 이셋(ESET)은 이러한 모듈을 동반한 공격 캠페인이 빠르게 증가하고 있다는 걸 발견했다. 당시 이모텟 공격은 잠시 소강상태에 있었다. 새 모듈 추가와 함께 다시 활동 규모가 커진 것이다. “스팸 메일이 매우 정교하다는 게 눈에 띄었습니다. 악성 링크나 악성 MS 워드 파일, 악성 PDF 파일을 포함한 것이 대부분이었는데, 주로 영수증, 은행 계좌 알림 서비스, 금융 서비스 기관의 보고서를 흉내 내고 있었습니다. 주요 은행들이 보낸 메일인 것처럼 꾸미기 위해 실제 그런 은행들의 로고를 차용하고도 있었습니다.”

공격의 주요 표적이 되고 있는 건 영어권 혹은 독어권 사용자들인 것으로 보인다. 가장 활발히 캠페인이 펼쳐지고 있는 국가는 미국, 영국, 터키, 남아프리카공화국이라고 한다. “문서에는 사용자들을 위한 안내가 적혀 있는데, 이를 따라가다 보면 워드의 매크로를 활성화시키거나 PDF 내 악성 링크를 클릭하게 됩니다. 그 후에는 이모텟의 페이로드가 설치되는 것이죠.” 그 다음은 1) 이모텟 실행, 2) 시스템 내 공격자들의 출입구 형성, 3) C&C로의 보고가 이어진다. 그러면 C&C 서버가 적당한 모듈이나 두 번째 페이로드를 전송한다.

이 공격을 추적하다가 이셋은 이모텟 바이너리의 새로운 빌드들을 발견하기도 했다. 이 빌드들은 대략 두 시간에 한 번씩 배포되는 것으로 보였다. 이렇게 잦게 배포되는 건 백신 엔진의 시그니처를 따돌리기 위한 것이라고 이셋은 분석한다.

“이모텟은 현존하는 사이버 위협입니다. 그리고 계속해서 발전하고 있는 공격 툴이며, 무서워지고 있는 위협입니다. 많은 조직들에서 이 이모텟에 대한 감시와 대비를 해두어야 할 것으로 보입니다.”

이번 캠페인의 경우, 워드 문서의 매크로 기능이 공격에 필요하므로 IT 담당자나 네트워크 관리자가 사무실 내 오피스 환경설정을 조정해 매크로 관련 기능을 일부 비활성화시키거나 당분간 사용 금지시키는 편이 안전할 것으로 보인다.

3줄 요약
1. 이모텟 뱅킹 트로이목마, 모듈형 멀웨어로 현재 진행형인 위협.
2. 최근 잠잠하나 싶었더니 새 모듈 추가되며 캠페인 다시 시작됨.
3. 새 모듈의 기능은 이메일 스크래핑. 정보 유출 위협 커지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>