2019.03.18

'로우 앤 슬로우' 사이버 범죄가 늘어나는 이유

Tamlin Magee | Computerworld UK
암호통화 채굴 기반 악성코드를 이용해 돈을 가로채는 사이버 공격 중 로우 앤 슬로우(low and slow) 방식이 급속히 늘어 랜섬웨어까지 추월한 것으로 나타났다.



영국의 사이버 보안 업체 다크트레이스(Darktrace)의 조사 결과를 보면, 영국과 유럽, 미국 등에 걸쳐 워너크라이(WannaCry) 같은 랜섬웨어 사고가 큰 주목을 받고 있지만, 실제로는 로우 앤 슬로우 방식의 이 새로운 악성코드가 사용자 기기와 데이터센터에 조용히 자리를 잡고 전력과 대역폭을 잠식하면서 모네로(Monero) 같은 암호통화를 채굴하고 있다. 실제로 자료는, 2018~2019년에 걸쳐 가장 큰 특징은 트로이목마(trojans)의 재등장과, 암호통화 채굴이 포함된 악성코드의 폭증을 들었다.

다크트레이스의 위협 대응 담당 임원인 맥스 하이너마이어는 "매우 독특한 형태의 크립토재킹이 계속되고 있다. 랜섬웨어 피해자가 토르(Tor)를 통해 비트코인을 보내는 것은 매우 복잡해 해커가 충분한 수익을 올리지 못하고 있는 것도 한 요인으로 보인다. 대신 시스템에 침입해 암호통화를 채굴하는 것이 더 낫다고 판단하는 것 같다. 이런 방식은 느리고 시간이 오래 걸리지만 수익은 확실하다"라고 말했다.

보고서에는 다양한 사례가 포함돼 있다. 주요 유럽 은행의 시스템 관리자가 데이터센터의 바닥 아래에 마이닝 기기를 설치해 놓고 데이터센터 연산 능력을 이용해 암호통화를 채굴하다가 적발된 사례가 있었다. 영국의 한 기업은 초기 피싱 이메일이 성공한 지 불과 몇분 만에 기업 전체로 확산하는 크립토 마이닝 변종 공격을 받았고, 400개 이상 기기에 트로이목마가 뿌려졌다. 하이너마이어는 "발견한 크립토 마이닝 악성코드 중에는 컴퓨터를 과열시켜 팬을 100% 돌아 큰 소음을 내고 결국 사용자가 눈치채는 일을 피하기 위해 전체 컴퓨팅 성능을 모두 사용하지 않는 것도 있었다"라고 말했다. 

모네로는 비트코인과 달리 일반적인 하드웨어에서 채굴하기가 비교적 쉽다. 얇은 노트북에서도 채굴할 수 있어 해커 입장에서는 더 수익성이 좋다. 하이너마이어는 "이런 종류의 매우 다양한 변종 악성코드를 발견했다. 크립토 마이닝 시장에서 이를 악용하는 많은 해커가 있다는 있는 반증한다"라고 말했다. 

최근 이런 악성코드는 상대적으로 진입 장벽도 낮다. 예를 들어 신용 카드 사기는 부담된다. 사법당국에 즉시 알림이 가는 것을 피해야하기 때문이다. 사이버 범죄자들은 훔친 데이터로 고가 제품을 구매할 수 있는 중간 경로가 되는 자금 세탁 네트워크도 필요하다. 한때 랜섬웨어는 돈을 버는 최고의 방법이었지만, 현재는 그 자리를 암호통화 채굴이라는 다른 방식으로 대체되고 있다.

크립토 마이닝이 피해자에게 명백한 손실을 주는 것은 아니다. 그러나 기본적으로 다른 공격에 노출된 것만큼 위험하다. 기기가 한번 뚫려 백도어가 만들어지면 나중에 신용카드 트로이목마에도 악용될 수 있기 때문이다. 하이너마이어는 "단순히 전력과 컴퓨팅 성능을 빼앗기는 것이 아니다. 더 큰 위험이 있다"라고 말했다.
 
한편 이번 보고서는 다크트레이스가 새로 내놓은 '안티지나(Antigena)' 사이버 AI 대응 모듈과도 관련이 있다. 안티지나 모듈은 기업 내부 네트워크를 넘어 AWS나 애저 같은 퍼블릭 클라우드는 물론 오피스 365, 다른 SaaS 애플리케이션까지 그 기능을 확장한다. 

업체는 안티지나를 이용해 일부 공격을 방어한 사례도 공개했다. 일본의 한 투자 컨설팅 기업은 인터넷에 연결된 CCTV 시스템이 해킹돼, 해커가 일반 사무실은 물론 CEO의 사무실과 회의실까지 모두 볼 수 있었다. 그러나 다크트레이스에 따르면, 자사의 알고리듬이 암호화되지 않은 CCTV 서버에서 많은 데이터가 알 수 없는 웹 주소로 전송되는 이상 행동을 발견했다. 즉 안티지나가 기기의 데이터가 외부 서버로 이동하는 과정을 차단한 것이다. 동시에 본래 CCTV의 목적으로는 정상적으로 운영되도록 했다.

그동안 레거시 보안 툴 대부분은 이런 이상 행동을 탐지하지 못했다. CCTV 카메라가 악당이 되는 이런 상황에 대응하는 '룰'이 정해져 있지 않기 때문이다. 

하이너마이어는 "안티지나의 AI는 사람이 작업 실행을 승인하기를 기다리지 않고 자동으로 대응해 이상 행동을 탐지하고 조사한다. 데이터가 이미 움직이고 있기 때문이다. 이 경우 안티지나는 트래픽을 차단하고 '특정 CCTV 카메라가 문제'라고 알려주는 대신 다른 CCTV 카메라처럼 원래 해야 할 작업을 하도록 강제한다. 중요한 것은 오직 이상한 행동만 중단시킨다는 점이다. 따라서 데이터 유출은 중단되지만 내부 CCTV 팀이 사용하는 CCTV 카메라는 여전히 정상 작동한다"라고 말했다. ciokr@idg.co.kr



2019.03.18

'로우 앤 슬로우' 사이버 범죄가 늘어나는 이유

Tamlin Magee | Computerworld UK
암호통화 채굴 기반 악성코드를 이용해 돈을 가로채는 사이버 공격 중 로우 앤 슬로우(low and slow) 방식이 급속히 늘어 랜섬웨어까지 추월한 것으로 나타났다.



영국의 사이버 보안 업체 다크트레이스(Darktrace)의 조사 결과를 보면, 영국과 유럽, 미국 등에 걸쳐 워너크라이(WannaCry) 같은 랜섬웨어 사고가 큰 주목을 받고 있지만, 실제로는 로우 앤 슬로우 방식의 이 새로운 악성코드가 사용자 기기와 데이터센터에 조용히 자리를 잡고 전력과 대역폭을 잠식하면서 모네로(Monero) 같은 암호통화를 채굴하고 있다. 실제로 자료는, 2018~2019년에 걸쳐 가장 큰 특징은 트로이목마(trojans)의 재등장과, 암호통화 채굴이 포함된 악성코드의 폭증을 들었다.

다크트레이스의 위협 대응 담당 임원인 맥스 하이너마이어는 "매우 독특한 형태의 크립토재킹이 계속되고 있다. 랜섬웨어 피해자가 토르(Tor)를 통해 비트코인을 보내는 것은 매우 복잡해 해커가 충분한 수익을 올리지 못하고 있는 것도 한 요인으로 보인다. 대신 시스템에 침입해 암호통화를 채굴하는 것이 더 낫다고 판단하는 것 같다. 이런 방식은 느리고 시간이 오래 걸리지만 수익은 확실하다"라고 말했다.

보고서에는 다양한 사례가 포함돼 있다. 주요 유럽 은행의 시스템 관리자가 데이터센터의 바닥 아래에 마이닝 기기를 설치해 놓고 데이터센터 연산 능력을 이용해 암호통화를 채굴하다가 적발된 사례가 있었다. 영국의 한 기업은 초기 피싱 이메일이 성공한 지 불과 몇분 만에 기업 전체로 확산하는 크립토 마이닝 변종 공격을 받았고, 400개 이상 기기에 트로이목마가 뿌려졌다. 하이너마이어는 "발견한 크립토 마이닝 악성코드 중에는 컴퓨터를 과열시켜 팬을 100% 돌아 큰 소음을 내고 결국 사용자가 눈치채는 일을 피하기 위해 전체 컴퓨팅 성능을 모두 사용하지 않는 것도 있었다"라고 말했다. 

모네로는 비트코인과 달리 일반적인 하드웨어에서 채굴하기가 비교적 쉽다. 얇은 노트북에서도 채굴할 수 있어 해커 입장에서는 더 수익성이 좋다. 하이너마이어는 "이런 종류의 매우 다양한 변종 악성코드를 발견했다. 크립토 마이닝 시장에서 이를 악용하는 많은 해커가 있다는 있는 반증한다"라고 말했다. 

최근 이런 악성코드는 상대적으로 진입 장벽도 낮다. 예를 들어 신용 카드 사기는 부담된다. 사법당국에 즉시 알림이 가는 것을 피해야하기 때문이다. 사이버 범죄자들은 훔친 데이터로 고가 제품을 구매할 수 있는 중간 경로가 되는 자금 세탁 네트워크도 필요하다. 한때 랜섬웨어는 돈을 버는 최고의 방법이었지만, 현재는 그 자리를 암호통화 채굴이라는 다른 방식으로 대체되고 있다.

크립토 마이닝이 피해자에게 명백한 손실을 주는 것은 아니다. 그러나 기본적으로 다른 공격에 노출된 것만큼 위험하다. 기기가 한번 뚫려 백도어가 만들어지면 나중에 신용카드 트로이목마에도 악용될 수 있기 때문이다. 하이너마이어는 "단순히 전력과 컴퓨팅 성능을 빼앗기는 것이 아니다. 더 큰 위험이 있다"라고 말했다.
 
한편 이번 보고서는 다크트레이스가 새로 내놓은 '안티지나(Antigena)' 사이버 AI 대응 모듈과도 관련이 있다. 안티지나 모듈은 기업 내부 네트워크를 넘어 AWS나 애저 같은 퍼블릭 클라우드는 물론 오피스 365, 다른 SaaS 애플리케이션까지 그 기능을 확장한다. 

업체는 안티지나를 이용해 일부 공격을 방어한 사례도 공개했다. 일본의 한 투자 컨설팅 기업은 인터넷에 연결된 CCTV 시스템이 해킹돼, 해커가 일반 사무실은 물론 CEO의 사무실과 회의실까지 모두 볼 수 있었다. 그러나 다크트레이스에 따르면, 자사의 알고리듬이 암호화되지 않은 CCTV 서버에서 많은 데이터가 알 수 없는 웹 주소로 전송되는 이상 행동을 발견했다. 즉 안티지나가 기기의 데이터가 외부 서버로 이동하는 과정을 차단한 것이다. 동시에 본래 CCTV의 목적으로는 정상적으로 운영되도록 했다.

그동안 레거시 보안 툴 대부분은 이런 이상 행동을 탐지하지 못했다. CCTV 카메라가 악당이 되는 이런 상황에 대응하는 '룰'이 정해져 있지 않기 때문이다. 

하이너마이어는 "안티지나의 AI는 사람이 작업 실행을 승인하기를 기다리지 않고 자동으로 대응해 이상 행동을 탐지하고 조사한다. 데이터가 이미 움직이고 있기 때문이다. 이 경우 안티지나는 트래픽을 차단하고 '특정 CCTV 카메라가 문제'라고 알려주는 대신 다른 CCTV 카메라처럼 원래 해야 할 작업을 하도록 강제한다. 중요한 것은 오직 이상한 행동만 중단시킨다는 점이다. 따라서 데이터 유출은 중단되지만 내부 CCTV 팀이 사용하는 CCTV 카메라는 여전히 정상 작동한다"라고 말했다. ciokr@idg.co.kr

X