멀웨어 개발자들도 점점 바빠진다. 보안 업계의 방어 실력이 탄탄해지고 있기 때문이다. 그래서 멀웨어의 감염 및 침투 절차가 더 복잡해지고 있으며, 탐지는 더 어려워지고 있다. 하지만 더 큰 문제는 따로 있다.

[보안뉴스 문가용 기자] 공격 도구 개발자들이 계속해서 자신들의 작품을 업그레이드 시키고 있다. 이 때문에 방어자들은 멀웨어 탐지와 분석에 계속해서 애를 먹고 있다. 시스코의 탈로스(Talos) 팀이 최근 발표한 로키빗(LokiBit) 멀웨어 분석 자료가 바로 이러한 점을 되짚어 주고 있다.


로키빗은 정보 탈취를 위한 악성 캠페인에서 주로 발견되는 멀웨어로, 최근 개발자들이 업그레이드를 완료한 바 있다. 시스템 침해 절차가 한 단계 더 늘어났고, 암호화 기술도 추가됐다. 업그레이드의 목적이 탐지를 회피하기 위한 것임이 드러나는 부분이다. 그 외에도 사용자가 마이크로소프트 오피스에서 매크로를 활성하도록 유도하기 위한 소셜 엔지니어링 기능, 코드를 숨기기 위해 이미지를 활용하는 기능 등도 탑재되어 있다.

탈로스 팀의 위협 분석가인 홀더 운터브링크(Holder Unterbrink)는 “공격자들은 원래 최소한의 투자만 하고 싶어 하지만, 방어자들의 실력이 점점 좋아지고 있어서 요즘엔 이런 식의 업그레이드가 필수”라고 설명한다. “몇 년 전과 비교하면 지금의 OS들은 훨씬 강력하고 안전합니다. 공격자들이 쉽게 뚫을 수 있는 그런 것이 아닙니다. 공격자들도 이런 걸 인정하고 적응해야 합니다. 특히 해킹 범죄가 일종의 산업처럼 굳어지고 있으니 이렇게 하는 게 더 필수적이죠.”

그렇기 때문에 멀웨어의 업그레이드와 고급화는 다른 패밀리들 사이에서도 자주 발견된다. 지난 10월 페이스북은 세션 쿠키를 훔치고, 위치 정보를 도용하며, 보안 설정 사항들을 바꾸는 기능을 가진 애드웨어를 찾아냈었다. 고작 ‘애드웨어’인데 이렇게 많은 기능을 가지고 있던 건 조금이라도 더 자주 광고를 노출시키기 위함이었고, 실제 이 애드웨어는 400만 달러 이상의 피해를 온라인 광고 산업에 끼치고 있었다.

멀웨어의 업그레이드와 고급화는 주로 추가 기능을 덧입고, 이를 통해 더 많은 단계를 통해 침투 공격을 이뤄낸다는 것을 뜻한다. 즉 방어 역시 여러 층으로 구성되어야 한다는 것이다. “공격자들은 공격을 성공시켜줄 방법이라면 무엇이든지 가져다가 적용합니다. 방어자가 이런 저런 방어 체계를 구축했다면 곧바로 그걸 피해갈 다른 공격 방법을 구사하기 시작하죠. 다만 매번 스스로 독자적이고 고유한 방법을 찾아내고 구사할 수준의 공격자는 드뭅니다. 한 방법이 통한다고 소문이 나면 그것이 유행이 되죠. 그러니 공격자들 사이의 유행을 파악하는 것이 방어에 있어 대단히 중요한 요소가 됩니다.”

이번 업그레이드를 통해 로키봇은 3단계 감염법을 구사하게 되었다. 모든 단계에서 암호화 기술이 적용되며, 그렇기 때문에 소스코드가 철저하게 보호를 받게 된다. “이제 멀웨어 개발자들도 공격을 꼬고 또 꼽니다. 감염은 여러 차례에 걸쳐 진행되고, 난독화와 암호화 기술도 고급화 되어 있어 탐지와 분석 모두가 어려워진 상태입니다. 방어 기술이 상향평준화 되었기 때문이고, 앞으로 더 업그레이드가 되어야 합니다.”

운터브링크는 “여러 단계에 걸쳐 멀웨어를 유포하는 건 굉장히 좋은 방법”이라고 설명한다. “보안 시스템의 운영과 엔드포인트 보호, 네트워크 감시가 훨씬 나아졌기 때문에 이렇게 천천히, 은밀하게 공격을 진행하지 않으면 안 되기 때문입니다. 여기에 더해 사이버 범죄라는 산업의 구조가 복잡해졌다는 것도 감염 절차를 더 복잡하게 만듭니다. 이제 다크웹에는 1단계 감염, 2단계 감염, 3단계 감염에 특화된 멀웨어가 판매되고 있습니다. 한 번에 감염과 포스트 익스플로잇을 모두 가능하게 해주는 멀웨어는 드뭅니다.”

공격 도구가 더 복잡해지고 고급화 되어간다고 해서 공격자들의 수준이 상향평준화 되고 있다는 뜻은 아니라고 운터브링크는 설명한다. “시장 전체는 점점 고급화 되어 가고 있음이 분명합니다. 그런데 이건 일부 고급 기술을 가진 자들이, 아마추어 해커들이 보다 쉽게 고급 공격을 하기 위한 도구들과 서비스들을 개발해서 그런 것이지, 전체적인 수준이 올라왔다고 보긴 어렵습니다. 오히려 진입장벽이 낮아졌기 때문에 실력 없는 사람들이 더 많아진 형편이죠.”

실제로 멀웨어가 다양해져가고 시장이 세분화 되어 가긴 하지만 공격자들의 최초 공격 기법은 예나 지금이나 크게 다르지 않다. 주로 마이크로소프트 워드나 엑셀 파일들을 감염시킨 후 피싱 공격을 하는 게 주류이기 때문이다. 로키봇의 경우 업그레이드가 있기 전이나 후나 엑셀 파일을 통해 유포된다는 건 변함이 없다.

따라서 운터브링크는 “멀웨어가 어떻게 변하든 결국 피싱 공격에 대한 방어법을 훈련시키는 것이 중요하다”고 말한다. “누군가는 반드시 최초 피싱 공격에 속아 공격자들에 문을 열어주는 역할을 합니다. 그렇기 때문에 새로운 멀웨어들이 위력을 발휘하는 것이죠. 새로운 멀웨어에 대한 방어력을 갖추면서도 동시에 피싱 및 소셜 엔지니어링 공격에 대한 훈련도 꾸준히 병행해야 합니다. 멀웨어가 자꾸만 변해서 문제가 된다는 건, 아직 기술적인 차원에서의 얘기일 뿐입니다.”

3줄 요약
1. 정보 탈취형 멀웨어 로키봇, 최근 업그레이드 됨.
2. 공격 단계가 더 세분화 되었는데, 이는 탐지 기술이 업그레이드 되고 범죄 시장이 세분화 되었기 때문임,
3. 하지만 멀웨어가 어떻게 변하든 최초 공격은 주로 피싱을 통해서 이뤄진다는 것에는 변함이 없음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>