처음에는 단순 뱅킹 트로이목마...현재는 고차원적인 하이브리드 멀웨어
BEC 공격도 동원하고 있어...배후에 있는 밀리버그, 탄탄한 조직으로 보여

[보안뉴스 문가용 기자] 최근 몇 년 동안 사이버 범죄자들 사이에서 인기를 끌고 있는 봇넷 멀웨어 패밀리 중 이모텟(Emotet)이란 것이 있다. 특히 2018년 한 해 동안 여러 공격자들의 다양한 전략 속에 녹아들어 다양한 조직들을 공격했다. 이제는 추가 페이로드를 다운로드 하는 데에 활용되기도 하고, 사업 이메일 침해(BEC) 공격 형태로도 전파되는 등 지금 시점에서 가장 위험한 멀웨어 중 하나로 꼽히고 있다.


2014년 처음 등장한 이모텟은 대형 조직들의 네트워크 안에서 횡적으로 움직이며 뱅킹 트로이목마를 퍼트리는 거의 최초의 봇넷 멀웨어였다. 횡적인 움직임 때문에 삭제가 쉽지 않기도 했다. 또한 처음에는 뱅킹 크리덴셜과 기타 민감 정보들을 훔쳐내는 기능을 주로 발휘하는 멀웨어로, 악성 첨부 파일이나 링크가 있는 피싱 이메일 형태로 퍼졌다.

그러나 이모텟의 배후 세력인 밀리버그(Mealybug)는 업그레이드를 꾸준히 진행했다. 사업 모델이 조금씩 바뀌었기 때문이다. 그러면서 정보를 훔쳐내는 뱅킹 트로이목마였던 것이, 다른 공격 단체의 무기와 도구들을 배달해주는 역할을 담당하기까지 위협적으로 변했다. 2018년 보안 업체 웹루트(Webroot)는 이모텟을 최악의 봇넷이라고 부르기까지 했다. 그러면서 최근 한 차원 더 발전한 부분에 대해 설명했다.

“이모텟의 정보 탈취 페이로드들이 전파되는 속도가 경이롭습니다. 공격자들이 자신들의 공격 행위 중 일부 과정을 자동화시킨 것으로 보입니다.” 웹루트 연구원들이 블로그를 통해 밝힌 내용이다. 이런 변화는 예전부터 서서히 진행되어 온 것인데, 최근 들어 변화의 속도가 급격히 빨라지기 시작했다고 한다.

“이모텟은 2015년부터 비교적 조용한 멀웨어였습니다. 그러다가 2017년 하반기에 탐지율이 급격하게 올라가기 시작했습니다.” 보안 업체 시만텍(Symantec)의 설명이다. “밀리버그의 피해자가 중국, 캐나다, 멕시코, 영국 등으로까지 확장되었습니다.” 2017년 말에는 보안 업체 사일런스(Cylance)가 이모텟을 다운로드 받도록 설계되어 있는 악성 워드 파일이 돌아다니고 있는 걸 발견하기도 했다.

새로운 위협들
그리고 2018년이 되었다. 밀리버그는 공격의 수위를 높였다. 심지어 이모텟을 다른 공격자들에게 판매 및 대여도 하기 시작했다. 사일런스의 사건 대응 책임자인 시그 머피(Sig Murphy)는 “그러면서 이모텟이 트릭봇(TrickBot)이나 칵봇(QakBot)과 같은 멀웨어와 결합되기도 했다”고 설명했다. 이런 ‘전략 통합’ 혹은 ‘멀웨어 통합’에 대해서는 2018년 2월 시만텍 역시 보고서를 발표한 바 있다. 멀웨어의 결합으로 이모텟은 한 층 더 고약한 것이 돼버렸다. “멀웨어가 조합되면 방어가 어려워집니다. 로더가 다변화하기 때문입니다. 방어하는 입장에서는 전부 다른 멀웨어로 보일 정도입니다.”

미국의 침해대응센터(US-CERT)도 2018년 7월에 이모텟에 대한 경고를 발령했다. 그 경고에는 모듈 구조를 가진 고급 뱅킹 트로이목마로 분류하며, 주로 다른 뱅킹 멀웨어를 위한 다운로더 혹은 드로퍼로 활용된다고 설명되어 있었다. 그러면서 이모텟이 사고를 일으킬 때마다 최고 1백만 달러까지 피해를 일으킨다고 묘사했다.

머피는 “여러 가지 위협 요소들이 조합되어 있는 ‘하이브리드형 공격’은 많은 조직들이 느끼기에 새로운 유형일 것”이라고 설명한다. 그러므로 방어에 실패하는 사례가 앞으로도 계속해서 생길 것이라는 뜻이다. 2018년 하반기 이모텟은 또 다른 종류의 위협을 탑재한 채 등장했다. “원래는 이메일 크리덴셜을 수집해 네트워크 내에서 횡적으로 움직였는데, 나중에는 이메일의 내용도 수집하기 시작하더군요.”

왜 이메일 내용까지 수집하기 시작한 걸까? “BEC 공격까지 수용하기 위함입니다. 이는 이모텟 공격자들이 여태까지 보여준 것과 전혀 다른 공격 방식입니다.” 머피의 설명이다. “멀웨어만이 아니라 공격의 전략까지도 변하고 있는 겁니다.”

2018년 초창기에 크게 늘어난 이모텟은 여름 휴가 시즌과 연말 휴가 시즌에 맞춰 다시 한 번 중흥기를 갖기 시작했다. 특히 2019년 초부터 빠르게 퍼지고 있으며, 피해자가 급증하고 있다고 머피는 설명한다. “사일런스에 여러 업체들이 도움을 요청하고 있습니다. 이모텟의 영향력이 놀라울 정도로 확대되고 있습니다. 이모텟을 사용하는 밀리버그 공격자들이 충분한 경험을 쌓아오면서 전성기를 맞이하는 것 아닐까 합니다.”

그러면서 머피는 “밀리버그는 꽤나 탄탄한 조직으로 보인다”고 덧붙였다. “공격 전략의 변화라는 게 그렇게 쉽게 되는 게 아닙니다. 특히 멀웨어를 추가로 탑재하는 것도 그렇지만 BEC 공격과 같이 전혀 다른 전략을 구사하는 건 어지간한 조직력으로는 되지 않습니다. 또한 어떤 전략이 잘 통하고 잘 안 통하는지도 잘 이해하고 있습니다. 이런 정보 수집도 어설픈 조직으로서는 힘든 부분이죠.”

공격자보다 한 발 앞서기
그렇기 때문에 밀리버그의 다음 공격이 어떤 모양을 띄게 될지는 예측할 수가 없다. 머피는 “지금보다 조용한 공격을 연구할 것으로 보인다”고 예상한다. “왜냐하면 여태까지 이모텟 공격은 꽤나 시끄러운 편이었기 때문입니다. 시끄러우니 여기 저기 업체들에 발각되는 것이고, 분석 보고서가 많이 나오는 것도 그 때문이죠. 해커들도 이런 분석 보고서를 꼼꼼하게 읽는 편이라고 하니, 밀리버그도 이 부분에 대해 조치를 취할 것으로 보입니다. 빨리 들키면 공격의 효율이 떨어지니까 자기들도 손해겠죠.”

3줄 요약
1. 2014년에 처음 등장한 이모텟, 현재는 최악의 멀웨어로 손꼽힐 정도로 성장.
2. 이모텟 배후에 있는 건 밀리버그라는 단체. 꽤나 탄탄한 조직으로 보임.
3. 각종 멀웨어와 결합하기도 하고, BEC 공격 수법을 차용하기도 하고.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>