고 언어는 아직 주류라고 하기 힘들지만 다양한 OS의 공략이 가능하다는 강점 때문에 점점 많은 공격자들이 활용하고 있다. 비주류이기 때문에 주류 언어로 만들어진 멀웨어보다 탐지 확률이 낮다는 장점도 존재한다.

[보안뉴스 문가용 기자] 보안 업체 인테저(Intezer)가 새로운 웜형 멀웨어를 발견했다. 고(Go) 언어로 만들어져 있으며, 윈도와 리눅스 기반 서버들을 공격해 뚫어낸 후 암호화폐 중 하나인 모네로를 채굴하는 멀웨어를 심는다고 한다. 이 과정에서 웹 서버 버그들을 익스플로잇 하기도 한다.


그 동안 여러 가지 종류의 모네로 채굴 멀웨어가 등장했지만, 이번 멀웨어의 가장 큰 특징은 효율성이 높다는 것이다. 기존 채굴 과정보다 속도를 15% 높였다고 인테저의 분석가들은 설명한다. 이 웜은 2020년 12월 초반부터 발견되기 시작했는데, 당시에는 XM리그(XMRig)라는 유명 채굴 멀웨어를 피해자의 시스템에 삽입했었다.

이번 캠페인을 진행하는 공격자들은 공공 인터넷에 연결된 취약한 서버들을 주로 공략하는 중이다. 오픈소스로서 널리 활용되고, 취약한 비밀번호로 보호되고 있는 MySQL 서버가 집중 공격 대상 중 하나다. 톰캣(Tomcat) 관리자 패널과, 오라클 웹로직(Oracle WebLogic) 역시 많은 공격에 노출된 상태라고 한다. 웹로직의 경우 CVE-2020-14882가 주로 익스플로잇 되고 있다.

보안 업체 업틱스(Uptycs)는 보고서를 통해 CVE-2020-14882가 “전형적인 경로 변경 취약점”이라고 밝힌 바 있다. 공격자들은 이 취약점들을 익스플로잇 함으로써 URL을 변경할 수 있게 되고, 이런 기법으로 인정 단계를 우회할 수 있게 된다고 한다. 이번 캠페인의 공격자들 역시 이를 적극 활용한 것으로 보인다.

FTI 컨설팅(FTI Consulting)의 아태지역 사이버 보안 총괄인 김경(Kyung Kim)은 보안 외신인 이해킹뉴스를 통해 “최근 고 언어를 사용하는 사이버 범죄자들이 크게 늘고 있다”고 설명하며 “그럼으로써 윈도 외 다른 주류 OS를 공략하기 시작했다”고 말했다.

그의 설명대로 고 언어는 최근 공격자들 사이에서 큰 인기를 얻고 있는 중이다. 아직 대세라고 말하기에는 부족하지만, 기존의 ‘전형적인’ 프로그래밍 언어인 C++나 파이선보다 탐지율이 낮고, 고 언어만의 강점을 살릴 수 있다는 점 때문에 인기가 높아지는 중이다. 고 언어의 강점이라면 단일 코드베이스를 다양한 OS에 맞게 조정할 수 있다는 것이라고 한다.

고 언어를 기반으로 한 멀웨어와, 그 멀웨어를 활용한 사이버 공격은 최종 사용자보다는 애플리케이션 서버, 프레임워크, 웹 애플리케이션 등을 공략하는 사건에서 더 많이 발견된다. 고 언어 외에 러스트, 님, 디랭 같은 비주류 언어들도 점점 공격자들의 관심을 받고 있는 상황이며, 이 언어들의 고유한 강점들에 대한 연구도 공격자들 사이에서 활발하게 이뤄지고 있다.

이러한 내용을 본지 기사(https://www.boannews.com/media/view.asp?idx=99388&kind=1&search=title&find=%BA%F1%C1%D6%B7%F9)를 통해 다룬 바 있다. 주류 언어들로 만들어진 멀웨어보다 탐지가 힘들기 때문에 보안 업계의 ‘비주류 언어’ 대응 방법도 논의되어야 할 때다.

3줄 요약
1. 비주류 언어인 고로 만들어진 암호화폐 채굴 멀웨어, 새롭게 등장.
2. 기존 멀웨어에 비해 15% 빠른 속도 선보이고 있어 앞으로 더 유행할 가능성 높음.
3. 고 같은 비주류 언어의 인기, 공격자들 사이에서 점차 높아지고 있는 중.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>