고급 페이로드와 스팸 기능 덧붙은 뱅킹 트로이목마
공격자들은 종합적인 멀웨어 선호...따라서 모듈 구조 인기 상승

[보안뉴스 문가용 기자] 멀웨어 개발자들이 자신들의 작품에 자꾸만 기능을 추가하는 건 흔한 일이다. 그러나 뱅킹 트로이목마에 스팸 이메일 생성 기능을 추가한 건 조금 다른 이야기다. 트로이목마를 보다 넓게 퍼트리면서 수익을 올리고자 하는 사이버 범죄자들의 최근 전략을 새롭게 드러내는 현상이기 때문이다.


다나봇(DanaBot)에 대한 이야기다. 보안 업체 이셋(ESET)과 프루프포인트(Proofpoint)가 동시에 발견한 멀웨어로, 처음 등장했을 땐 간단한 뱅킹 트로이목마였다. 심지어 다른 사람으로부터 멀웨어를 구매한, 해킹 공격에 어설픈 공격자들이 사용하고 있었다.

그러나 최근 새롭게 등장한 다나봇은 달랐다. 보다 더 고차원적인 뱅킹 트로이목마인 굿키트(GootKit)와 관련이 있는 악성 페이로드를 배포하고 있었던 것이다. “사이버 범죄자들은 최근 뱅킹 트로이목마나 랜섬웨어를 있는 그대로 단순하게 배포하지 않습니다. 거의 모든 기능을 다 가지고 있는 종합 멀웨어를 사용하죠.” 프루프포인트의 위협 첩보 전문가인 크리스토퍼 도슨(Christopher Dawson)의 설명이다.

“원격 접근 트로이목마(RAT)가 나타나는 빈도가 빠르게 높아지고 있습니다. 돈을 목적으로 한 공격자들이 RAT 등을 사용한다는 건 절대 간과할 수 없는 현상입니다.” 왜 그럴까? “돈을 목적으로 한다는 건, 공격자들이 최대한 많은 이득을 뽑아내고 싶어 한다는 뜻입니다. 이 기능 저 기능 다 집어넣고 실험할 것이라는 걸 예상할 수 있죠.”

그래서 다나봇에도 새로운 기능들이 첨가되고 있다. 최근 버전에는 이메일 주소를 수집하는 기능이 발견됐다. “이 주소 정보들을 가지고 스팸 메시지를 전송하기도 합니다. 다나봇 혹은 다른 멀웨어를 더 많이 퍼트려 피해자를 양산하려는 목적인 것이죠. 즉, 이득을 최대한 많이 거두려는 움직임인 것입니다.”

이런 현상 때문에 나타나는 또 다른 유행이 있으니, 바로 멀웨어들의 모듈화이다. 모듈 구조의 멀웨어라면 기능을 추가하고 삭제하는 게 더 편리하기 때문이다. 다나봇 역시 이러한 트렌드를 따르고 있다. 이셋은 자사 블로그를 통해 “최근 다나봇의 환경설정에서 기존 멀웨어들에서 나타났던 구조를 발견했다”고 썼다. “그러므로 다나봇 공격자들은 다른 웹인젝트 스크립트나 서드파티 스크립트를 자유롭게 사용할 수 있습니다.”

어떻게 방어할까?
공격에 사용되는 멀웨어가 갈수록 ‘종합적’으로 변한다는 건 방어자들에게 어떤 의미가 될까? “변하는 건 없습니다. 이전부터 강조되어 오던 보안의 기본기를 강화해야 할 뿐입니다. 즉, 다층위 보안, 꼼꼼한 백업, 부지런한 패치 및 업데이트 등이 충실하게 이뤄져야 한다는 겁니다. 듣는 사람이야 지겹겠지만, 그런 것들이 보안의 왕도임에는 변함이 없습니다.” 도슨의 설명이다.

또한 도슨은 “공격자가 사이버 범죄 단체인지 국가가 지원하는 사이버전 부대인지 구분하는 것의 의미가 흐려지고 있다”고도 덧붙였다. “결국 공격자가 원하는 뭔가를 피해자가 가지고 있었다는 본질은 변하지 않습니다. 게다가 요즘은 공격 수법이나 툴 또한 비슷해지고 있죠. 그래야 둘 사이의 구분이 어려워지고, 구분이 어려워지면서 혼란만 가중됩니다. 방어법이 크게 달라지는 것도 아니고요. 기본기 다지기에 집중하는 것이 더 실용적입니다.”

3줄 요약
1. 최근 발견된 다나봇, 고급 멀웨어 페이로드와 스팸 기능 탑재.
2. 공격자들, 이윤 최대한 높이기 위해 보다 종합적인 멀웨어 선호하기 시작.
3. 보안의 기본을 강화하는 것이 최선의 방어 대책.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>