2020년의 굳건한 1위 멀웨어 이모텟이 1월의 공조로 사라졌다. 그러자 10월의 공조로 사라진 것 같았던 트릭봇이 슬금슬금 나타나 1위를 꿰찼다. 이모텟과 트릭봇의 아성은 당분간 끈질기게 이어질 것으로 보인다.

[보안뉴스 문가용 기자] 악명 높은 멀웨어이자 공격 인프라인 이모텟(Emotet)이 국제 공조로 지난 1월 사실상 무력화 된 이후 트릭봇(TrickBot)이라는 트로이목마가 크게 치고 올라오기 시작했다고 보안 업체 체크포인트(Check Poitn)가 경고했다. 2월 기준 공격자들 사이에서 가장 인기가 높은 멀웨어가 바로 트릭봇이라고 한다.


트릭봇은 이전부터도 인기가 높은 멀웨어였다. 하지만 2020년 한 해 동안의 평균 순위는 4~5위 정도였다. 반면 이모텟은 굳건한 1위를 유지하던 멀웨어였다. 그렇기 때문에 이모텟이 국제적 규모의 공조 작전의 대상이 되었던 것이고, 국제 경찰들은 성공적으로 이모텟을 무력화시켰다. 이모텟과 트릭봇 모두 최초 침투를 담당해 다음 페이로드를 설치하는 ‘드로퍼’ 역할을 한다.

하지만 아직까지 트릭봇이 이모텟과 같은 수준의 위협이 된 건 아니라고 체크포인트는 강조한다. 이모텟이 워낙에 악명이 높고 많은 피해를 일으킨 멀웨어였기 때문에 후계자가 금방 같은 수준에 도달하는 건 어렵다는 것이다. 하지만 금방 따라잡을 것이라고 경고하기도 했다. 즉, 특정 멀웨어나 기법에 집중한 보안 전략보다 광범위하고 보편적인 보안 전략과 장치들을 도입해 조직을 보호하는 것이 더 알맞다는 게 체크포인트의 강조 포인트다.

가장 인기 높은 멀웨어 1위 자리에 오른 트릭봇은 지난 2월 주로 보험업계와 법조계를 공격하는 데 활용됐다. 주로 피해자들이 악성 ZIP 파일을 클릭해 열도록 유도하는 식의 전략이 많이 나타났다. 트릭봇은 작년 한 해 데이터를 빼내고 류크(Ryuk) 랜섬웨어를 심는 것으로 높은 공격 성공률을 보였는데, 이 때문에 최근 공격자들이 트릭봇을 선택한 것으로 보인다고 체크포인트는 분석한다.

트릭봇은 2016년 일종의 뱅킹 트로이목마로서 처음 개발됐다. 모듈 구성이었고, 따라서 공격자의 필요에 따라 기능을 유연하게 확장할 수 있었다. 그것이 트릭봇의 가장 큰 장점으로 꼽혔고, 그래서 뱅킹 멀웨어가 아니라 다른 멀웨어를 드롭시키고 악성 기능을 수행하는 드로퍼로서 인기를 구가하기 시작했다. 이모텟이 아니었다면 진작 1위를 차지했을 수도 있는 멀웨어다.

하지만 작년 10월 트릭봇은 커다란 위기에 봉착했다. 마이크로소프트와 여러 사법 기관이 힘을 합해 트릭봇 제거 작전을 펼친 것이다. 당시 MS는 “전 세계 파트너들과 힘을 합쳐 트릭봇을 무력화시키는 데 성공했다”고 발표했었다. 주요 공격 인프라를 제거하는 데 성공했기 때문에 새롭게 피해를 입히거나 랜섬웨어를 발동시킬 수 없을 것이라고도 설명했다. 그 말은 사실이었고, 한 동안 트릭봇은 사라진 듯했다. 그러나 4개월 남짓한 시간 만에 트릭봇은 예전의 힘을 되찾은 것처럼 보인다.

한편 2월 트릭봇에 이어 2위를 차지한 멀웨어는 XM리그(XMRig) 멀웨어였다. 암호화폐 채굴 코드로, 현재 암호화폐의 가치가 폭발적으로 높아지는 것을 보여준다. 현재 해커들은 가짜 애드블로커 앱 등을 통해 XM리그를 퍼트리고 있는데, 여기에 랜섬웨어도 섞고 있어 ‘랜서마이너(Ransominer)’라는 공격이 유행하기 시작한다는 경고까지 나오고 있는 형국이다. 이에 대해서는 본지가 어제 기사(https://www.boannews.com/media/view.asp?idx=95536&page=1&kind=1)로 소개하기도 했었다.

3줄 요약
1. 1월의 국제 공조로 사라지다시피 한 멀웨어, 이모텟.
2. 그 자리를 꿰차고 들어온 건 10월의 국제 공조로 사라진 줄 알았던 트릭봇.
3. 방어자 입장에서는 특정 멀웨어나 공격 기법이 아니라, 광범위하고 보편적인 방어 체계 갖추는 것이 나음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>