10월을 끝으로 3차 스팸 캠페인 마친 이모텟, 돌연 사라져
이따금씩 휴식 갖는 운영자들...돌아와서는 왕성한 활동 벌이는 것이 보통

[보안뉴스 문가용 기자] 지난 10월 대규모 스팸 캠페인이 시작됐다. 이모텟(Emotet)이라는 다운로더를 퍼트리는 것이 공격자들의 목표였다. 이모텟은 시스템에 안착한 뒤 주로 두 가지 중 하나의 공격을 이어갔다. 하나는 류크(Ryuk) 랜섬웨어를 퍼트리는 것, 다른 하나는 트릭봇(TrickBot)이라는 뱅킹 멀웨어를 통해 은행 계좌 크리덴셜을 훔치는 것이었다.


이런 캠페인은 10월에만 총 세 번 발생했고 10월 30일, 마지막 공격이 완료됐다. 그리고 이모텟은 나타나지 않았다. 7주 동안이나 이모텟 운영자들은 자취를 감추었다. 그러더니 최근부터 이들은 다시 활동을 시작했다. 여러 사이버 보안 기관과 기업들에서 동시다발적으로 경고가 나왔다. 오랜만에 나타나서 그런지, 크리스마스 때 한 몫 단단히 잡아보기 위함인지, 이들은 공격의 수위를 높였다. 하루에만 여러 언어로 작성된 10만 개의 피싱 메시지들이 발견됐다.

재택 근무자들이 늘어난 때 이러한 공격은 피해자가 소속된 기관과 기업의 네트워크까지 위협할 수 있다. 보안 업체 프루프포인트(Proofpoint)의 수석 위협 분석가인 셰럿 드그리포(Sherrod DeGrippo)는 “이모텟은 최초 침투를 담당하는 요소로, 이모텟 공격이 성공했다는 건 곧 그 뒤로 수많은 공격이 예측 불가능하게 이어진다는 뜻”이라고 설명한다. 재택 근무자 한 사람으로 인해 조직 전체가 위험해진다는 것이다.

최근 부활한 이모텟 캠페인은 12월 중순 경부터 시작된 것으로 분석되고 있다. 하지만 처음부터 눈에 띌 정도의 규모로 진행된 것은 아니었다. 프루프포인트는 “불과 며칠 전부터 규모가 위협적으로 커지기 시작했다”며 “공격자들은 피해자들이 MS 365의 악성 문서 차단 기능을 끄도록 만들기 위해 소셜 엔지니어링 공격도 함께 실시하고 있다”고 경고하기도 했다.

프루프포인트는 트위터를 통해 “연말의 연휴 기간에 맞춰 휴가를 마치고 이모텟이 돌아왔다”고 알리며 “영어, 독일어, 스페인어, 이탈리아어 등 다양한 언어권에서 이모텟의 새로운 캠페인이 발견되고 있다”고 경고했다. 다만 어떤 언어를 사용하든 악성 워드 파일을 이메일에 첨부한 것은 전부 동일하다고 한다.

이모텟은 올 한 해를 얼룩지게 했던 대표적인 멀웨어 중 대표 격이며, 류크 랜섬웨어나 트릭봇 뱅킹 트로이목마 공격으로 이어지는 것이 일반적이다. 세 가지가 연쇄적으로 같은 피해자를 덮치는 경우도 심심찮게 목격된 바 있다. 시스코의 탈로스 팀은 6월 “지난 12개월 동안 시스코 탈로스의 업무 대부분은 류크 랜섬웨어로부터 시스템을 복구시키는 일”이었다고 말했다.

이모텟 운영자들은 이전에도 휴가와 같은 시기를 지낸 후 갑자기 등장하곤 했다. 2020년 2월에도 이모텟 관련 활동 수치가 크게 줄어들었다. 당시 공격자들은 긴 휴식기를 가졌고, 7월에서야 돌아왔다. 당시에도 시스코 탈로스 팀은 “이모텟 운영자들은 간헐적으로 휴지기에 들어간다”고 밝힌 바 있다.

이번에 다시 등장한 이모텟의 경우, 운영자들은 이전과 조금 다른 전략도 가미했다. 악성 DLL 파일들을 사용하기 시작한 것이다. 악성 DLL 파일을 사용할 경우 기능의 추가 업데이트가 보다 간편해진다고 한다. “이모텟은 네트워크를 광범위하게 감염시키는, 어떻게 보면 웜과 비슷한 특성을 가진 멀웨어로, 대응하기가 참 까다롭습니다. 이번에 DLL 형태로 퍼지는 이모텟은 더 까다로워질 것으로 예상됩니다.”

3줄 요약
1. 7주 동안 휴식 취한 이모텟 운영자들, 최근 다시 돌아옴.
2. 이번에는 이전과 달리 악성 DLL 파일을 통해 이모텟을 퍼트리고 있음.
3. 이모텟은 주로 류크 랜섬웨어와 트릭봇 뱅킹 멀웨어 공격으로 이어짐.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>