보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

"그때 그 악성코드" 지금도 기승을 부리는 최악의 악성코드 4종

최신 악성코드의 파괴하고 중지시키기 위해 사법기관과 정보보안업계가 공조하는 경우가 많다. 일반적으로 악성코드가 탐지되면 샌드박스(sandbox)라는 과정과 역공학(reverse engineering)를 걸쳐 최종적으로 중단되는데 킬 스위치(kill switch)가 있을 경우, 이의 조합을 이용하거나 악성코드의 명령 제어(C&C)에 사용되는 서버를 장악하는 방식으로 진행된다. 이 시점부터는 감염된 컴퓨터 간 소통에 이용되는 도메인을 통제할 수 있다.

 

 


그런데 옛날 악성코드 중에서 아직도 피해를 입히고 있는 일단의 무리들이 있다. 이들은 오래된 취약점을 자주 악용하고 피싱(phishing) 이메일, 감염된 USB 드라이브, 수상한 이메일 첨부파일, 장악된 웹 페이지를 통해 전파된다. 일례로, 등장한지 5년이 넘은 컨피커(Conficker) 웜과 제우스 트로이 목마(Zeus Trojan)가 최근 체크포인트(CheckPoint) 보고서에서 소개된 전세계적으로 가장 흔한 10대 악성코드 목록에 이름을 올렸다.

옛날 악성코드가 계속 기승을 부리는 이유는 무엇일까? 전문가들은 정기적으로 패칭(patching)을 하지 않는 것과 유효 기간이 지나 제 기능을 하지 못하는 안티바이러스, 보호나 업그레이드가 되지 않는 구식 시스템(ex. MRI 스캐너와 병원 장비) 등을 원인으로 지목하고 있다.

이런 옛날 악성코드가 재정비를 거쳐 다크웹(dark web)에서 판매되는 경우가 많다. 안티소셜 엔지니어(The Antisocial Engineer) 대표 리차드 디 베르는 "옛날 악성코드의 핵심요소가 오늘날에도 여전히 사용되고 있다"며, "악성코드 작성자들은 코드 중 일부분을 살려내 '최신' 또는 최근에 시작된 활동에 이용한다. 만약 효과가 있으면 바꾸지 않고 그대로 사용하는 식이다"고 말했다.

옛날 악성코드에 대한 CISO들의 생각
법률회사 핀센트 메이슨즈(Pinsent Masons) CISO 크리스천 툰은 "이것 때문에 CISO와 SOC 팀이 골머리를 앓고 있다"며, "옛날 방식의 악성코드는 전통적인 서명 기반 탐지를 피하기 위해 빠르게 변하기 때문에 까다롭다. 기업들의 대응 속도보다 빠른 것이 보통이다"고 설명했다.

이는 패치 관리와 안티바이러스뿐만 아니라 "상황 인지(situational awareness)" 문제로 귀결된다. 메이슨즈는 "악성코드의 진화는 기존 IT 인력이 감당할 수 있는 범위를 벗어난다"고 지적했다.

기존 IT 인력은 자원과 시간 부족으로 이러한 위협에 제대로 대처할 수 없다. 메이슨즈는 "성숙하지 못한 기업은 악성코드의 역사와 생태계를 이해해 대처할 깜냥이 못된다. 당장 코앞에 닥친 문제를 해결하고 넘어가는 것이 고작이다"고 말했다.

리스크 인텔리전스(Risk Intelligence) 수석 컨설턴트이자 CISO 조르디 스튜어트는 다음과 같이 설명했다. "옛날 악성코드는 여전히 많은 기업에게 큰 문제다. 미뤄둔 보안 문제가 산적한 기업이 많다. 제때 업그레이드하지 않고 오래 방치해 더 이상 지원되지 않는 운영체제가 큰 위험에 노출되어 있기 때문이다. 업그레이드는 복잡하다는 이유로 작업 일자가 계속 뒤로 밀리기 일쑤다. 시스템 퇴출이나 이전에 앞서 해결해야 할 종속성을 전부 발견하는 것은 어려울 수 있다."

스튜어트는 "전통적인 프로젝트 실행 방식이 상황을 악화시킬 수 있다. 일반적으로 기업에서 시작하는 프로젝트는 애플리케이션을 중심으로 범위가 정해진다. 따라서 플랫폼 수준에서 통합의 범위를 파악하기 어렵다. 그 지식은 모든 애플리케이션 프로젝트의 합으로 기업 내에 존재하기 때문이다. 당장 교체해야 된다는 말들은 걸러서 듣고 그 대신 기존 구식 시스템에 대한 보안 통제 장치를 실행하는 편이 훨씬 낫다. 즉 위험성 높은 기기들은 네트워크 연결을 제한시키고 이들 시스템에서 인터넷 사용은 피하며 가능한 한 화이트리스트(white-list)를 사용해 이들 시스템에서 실행될 가능성이 있는 코드를 통제하는 것이다"고 설명했다.

악취처럼 사라지지 않고 아직 활동 중인 최악의 악성코드 위협 가운데 4가지를 소개한다.

 

 


컨피커, 여전히 유효한 공격 수단 

 

컨피커(Conficker)는 2008년 최초 발견 당시 전 세계적으로 발생했다. 윈도우에서 패치 안된 결함을 악용하는 웜이다. 최종적으로는 비밀번호를 깨고 윈도우 기기를 장악해 봇넷으로 만들기 위해 악성코드 주입에서부터 피싱 이메일에 이르기까지 다양한 공격 방식을 활용했다.

컨피커에 감염된 마이크로소프트 서버 시스템은 최대 1,500만 대에 달했다. 윈도우 2000에서 윈도우 7 베타에 이르기까지 모든 운영체제를 망라했다. 영국 국방부, 프랑스 해군, 독일군, 노르웨이 경찰, 영국 해군 전함까지 이 악성코드에 감염된 것으로 추정되었다.

컨피커에 의한 피해는 지금도 계속되고 있다. 올해 6월 트랩엑스 랩(TrapX Labs) 연구진은 networm32.kido.ib, 컨피커 등의 옛날 악성코드가 다시 출현해서 임상 IoT 의료장비 가운데 윈도우 XP와 패치 안된 윈도우 7과 8을 실행하는 장비를 노리고 있다는 사실을 알아냈다. 이를 뒷받침하는 증언이 잇따르고 있다.

머신러닝 업체 다크트레이스(Darktrace)의 CTO 데이브 파머는 "컨피커의 성공은 부실한 패치 관리가 주요 원인"이라고 지적하며, "이 악성코드가 끈질기게 버티고 있다는 것은 마이크로소프트가 언제나 매우 신속하게 패치를 공개했다는 점을 감안할 때 놀라운 일이다. 실제 기업에서 패치 안된 윈도우 XP/서버 2008 컴퓨터를 아직 많이 사용하고 있는 것 같다"고 말했다.

파머는 "컨피커가 스팸 이메일로부터 전파되는 경우가 가장 많다"고 덧붙였다(그 다음으로 많은 방법은 USB 스틱이다). 파머는 컨피커의 계속된 성공은 네트워크 가시성이 부실하다는 의미라고 보고 있다.

파머는“컨피커 탐지 사례만 봐도 많은 기업에 어마어마한 보안 가시성의 공백이 존재한다는 것을 알 수 있다. 컨피커는 탐지하기 어려운 악성코드가 아니다. 실패로 끝나는 엄청난 횟수의 로그인 시도를 매일 일으킨다. FBI에서 관리하는 싱크홀(sinkhole)에 대량 DNS 요청을 발생시키기도 한다. 따라서 어떤 안티바이러스 제품이라도 이를 잡아낼 수 있어야 한다. 악성코드는 회사 내에서 좌우로 움직임을 계속 시도할 것이다"고 설명했다.

분석 업체 뉴스타(Neustar)의 수석 부사장이자 선임 연구원 로드니 조페의 생각도 파머와 같다. 조페는 "6~7년 전에는 컨피커를 조롱하고 무시하는 조직이 많았다. 처음 몇 가지 사건을 제외하고는 '더 이상 아무 일도 안 일어나는데 굳이 컨피커 하나때문에 시스템을 재구축할 필요가 있는가?'라는 생각이 팽배했기 때문이다. 이런 태도는 잘못되었다"고 말했다.

아닌 게 아니라, 컨피커 작업그룹 등에서 확인한 바에 따르면, 컨피커 감염은 적어도 지난 5년 동안 전 세계적으로 약 60만 건 수준으로 계속되고 있는 것으로 나타났다. 그러나 IBM 엑스포스(X-Force) 조사 결과에 따르면, 올해 1월부터 8월 중순까지 컨피커의 총 활동량은 5월에야 등장한 워너크라이(WannaCry)의 1% 수준에 그쳤다.




일망타진된 크립토로커, 새로운 버전으로 재등장 




워너크라이 전에는 랜섬웨어가 그렇게 왕성하지 않았지만 그 유명한 크립토로커(CryptoLocker)는 예외였다. 2013년 9월 등장해서 이메일 첨부파일을 통해 전파되었으며 사용자 파일을 암호화해서 접근 못하게 만들어버렸다. 배후의 범죄 집단은 해독 키를 보내주는 대가로 금전을 요구했다. 시스템 복원으로 해결되는 경우도 있었지만 백업하지 않은 파일을 그대로 잃은 사람들도 많았다.

FBI와 유럽 경찰은 대규모 국제 수사 후에 공조를 통해 "토바르 작전(Operation Tovar)"을 펼친 결과, 크립토로커 배후 집단의 우두머리 에브게니 보가체프 검거에 성공했다. 이 범죄 집단은 100일만에 약 50만 명의 피해자로부터 3,000만 달러를 벌어들인 것으로 추정된다.

크립토로커는 적극적인 사법 공조 덕분에 공식 사망 상태지만 크립토로커 코드는 여러 가지 새로운 버전으로 등장했다. 그 예가 바로 Crypt0Locker, CryptoLocker v3, CryptoGraphic Locker 등이다. 악성코드바이츠(Malwarebytes)의 악성코드 지능 연구가 피터 안츠는 "제우스와 크립토로커는 보다 최신의 악성코드를 만들기 위해 새롭게 게시되고 재사용된 코드 안에서 계속 생존한다. 환생한 옛날 악성코드 위협에 기업이 계속 피해를 입고 있다는 의미다"고 설명했다.



대표적 트로이 목마 제우스, 아직도 성행 

 

제우스(Zeus)는 크게 성공을 거둔 대표적인 트로이 목마였다. 금융 서비스에서 성공을 거둔 후 최근 변신을 거쳤다. 윈도우 버전에서 실행되는 제우스는 2007년과 2009년 사이에 왕성하게 활동하면서 MitB(Man-in-the-Browser), 키 로깅(keystroke logging)과 폼 그래빙(form grabbing) 방식을 통해 뱅킹 정보를 탈취했으며 추가로 금전 이익을 취하기 위해 크립토로커 설치도 시도했다.

제우스는 피싱 이메일과 드라이브-바이-다운로드(drive-by-download)를 통해 전파되어 미국 교통부를 비롯한 유명한 목표물을 공격했다. 오늘날 제우스는 다른 형태로 계속 살아 있다. 덴마크에 위치한 헤임달 시큐리티(Heimdal Security)에 따르면, 9년 묵은 이 강력한 악성코드는 요즘 뜨고있는 애트모스(Atmos) 악성코드로 모습을 바꿔 프랑스 은행들을 공격해 오고 있다고 한다.

이제 제우스는 금융 서비스를 넘어 광범위하게 확산된 상태다. SANS 강사이자 사고 대응 전문가 스티브 암스트롱은 "대부분의 LAN에서 아직도 제우스와 컨피커가 출현하는 것을 본다. 제우스는 제어 장치가 부실한 중대형 기업에 한 달에 한 번 꼴로 나타난다"고 말했다.
에일리언볼트(Alienvault)의 보안 연구원 크리스 도먼은 "제우스의 소스코드가 유출되었기 때문에 아직도 제우스를 기반으로 한 뱅킹 트로이 목마가 많다"며, "악성코드 작성자들은 심지어 악성코드를 판매할 때 '제우스에 기반하지 않음'이라고 광고하기도 하며 그럴 경우 할증 금액을 받기도 한다"고 설명했다.


 


두쿠, 역사상 가장 정교한 악성코드 




2011년 9월에 발견된 두쿠(Duqu)는 이란 원심분리기 파괴로 이어진 악명높은 스턱스넷(Stuxnet) 웜과 밀접한 관련이 있는 것으로 여겨진다. 아닌 게 아니라 많은 사람은 두쿠가 스턱스넷과 똑같은 소스코드의 많은 부분을 차용하고 있다고 주장한다.

두쿠는 산업 관련 목표물에 대한 다수의 정보 수집 공격에 사용되었으며 이란 핵 협상 염탐에 사용되었을 것이라는 의심을 받았다. 최신 버전인 두쿠 2.0은 역사상 가장 정교한 악성코드라고 여겨진다. 파이어아이(FireEye)는 이란 핵 협상 참가자들이 이용한 유럽 호텔의 네트워크에서 두쿠 2.0 을 발견했다. 한편 시만텍(Symantec)은 무선통신업체와 전자업체의 네트워크에 두쿠 2.0이 상주해 온 사실을 밝혀냈다.

두쿠 2.0은 마이크로소프트, 구글(Google), 아마존(Amazon) 등을 고객으로 둔 중국 전자제조업체 폭스콘(Foxconn)에게 발급된 적법한 디지털 인증서로 서명되었다. 코드 서명을 발견한 캐스퍼스키 랩(Kaspersky Lab)에 따르면, 윈도우는 폭스콘 서명 코드를 신뢰한다고 한다. 믿을 수 있는 인증 업체인 베리사인(VeriSign)에서 발급한 인증서였기 때문이다. 따라서 기기 운영체제는 아무런 의심 없이 두쿠 2.0의 64비트 커널 수준 드라이버를 불러들여 실행하게 된다. 이를 통해 악성코드는 감염된 컴퓨터를 완벽히 지배할 수 있다.

도먼은 "두쿠는 이스라엘 정부의 소행이라는 소문이 있다. 불안정한 지역에 있는 기술력을 갖춘 국가이기에 그들이 여전히 활동 중임에 틀림없다. 그러나 그들이 눈에 띌 가능성은 매우 낮다"고 말했다.