'펑키 멀웨어'가 몰려온다

지난 몇 년간 대다수 악성코드 제작자가 서로 간에 코드와 기법을 주고받으며 '안이하게' 보냈다. 그러나 멀웨어바이츠(Malwarebytes)의 악성코드 인텔리전스 애널리스트인 알렉산드라 도니엑은 CSO와의 인터뷰에서, 일부 해커가 참신한 방법으로 안티바이러스 소프트웨어가 검출하기 어렵고 보안 연구자를 곤란하게 만드는 툴을 개발하고 있다고 경고했다.
 

도니엑은 체크 포인트의 악성코드 연구팀장인 마크 레치틱과 함께 이런 '기발한' 악성코드를 분석했다. 이 분석 결과는 4월 10일 싱가포르에서 열린 카스퍼스키 랩의 SAS 2019 컨퍼런스에서 공개됐다. 이들은 기존 규칙에서 벗어나 색다른 형태와 크기로 만들어진 이른바 ‘펑키 멀웨어 포맷(funky malware formats)’이 출현하고 있다고 분석했다.

연구자들은 지난 몇 년 동안 잘 쓰이지 않는 파일 유형을 이용하는 악성코드부터 바이너리 파일의 포맷을 비정상적으로 변경시킨 악성코드까지 다양한 유형의 '예외적' 악성코드에 주목했다. 레치틱은 “어떤 의미에서, 이 새로운 흐름은 악성 코드 개발자의 새로운 창의성을 보여준다. 이들은 자신의 분야에서 리더가 되기를 원하는 것 같다”라고 말했다. 

연구 결과를 보면, 펑키 악성코드는 단순히 많은 지원을 받는 국가 차원의 해커뿐만 아니라 특정 해킹 집단의 툴이 될 수 있다. 레치틱은 “실제로 사이버 범죄자가 발각되지 않고 보안 제품을 우회하기 위해 (펑키 멀웨어) 포맷을 이용하는 사례가 많다”라고 말했다. 이러한 공격의 피해자는 주로 은행과 아시아 기업들, 사회 활동가 등이다.

펑키 멀웨어 포맷 사례
도니엑과 레치틱은 펑키 멀웨어 사례를 몇 가지 공개했다. 지난 2018년 8월 인도의 2위 은행인 코스모스는 한 해킹 집단의 공격을 받아 1,350만 달러를 빼앗겼다. 일부에서는 이 사건이 북한이 지원하는 해킹 집단인 라자러스(Lazarus)의 소행이라고 믿는다. 이 해킹 집단은 금융 산업에 커다란 위협이었고, 유명한 방글라데시 은행 사건의 주범으로 여겨진다.  

코스모스 은행 공격에서, 악성코드 제작자는 데이터를 승인하고 지급 창구와 지급 처리자 또는 은행 간의 정보 전송에 사용되는 소프트웨어 앱이 설치된 지급 스위치 서버를 노렸다. 레치틱은 “해당 지급 스위치는 라자러스 그룹의 악성 코드에 감염됐고 특정 계정에서 발생한 특정 거래를 승인했다. 이들 계좌에서 돈을 찾을 때 ATM 기기는 계정의 잔액과 무관하게 돈을 지급했다”라고 말했다. 

이들 서버에 사용된 운영체제는 주로 금융 기관에서 쓰이는 IBM의 유닉스 기반 운영체제 AIX였다. 소프트웨어 개발자는 앱을 개발할 때 영어와 심볼을 사용하고, 이는 기계가 이해할 수 있도록 컴파일러를 통해 번역된다. 소스 코드가 컴파일 및 링킹 프로세스를 거치면 표준 포맷을 따르는 실행 가능한 바이너리 코드가 되고, 이는 헤더와 여타 부분으로 구성된다. 

IBM은 표준이기는 하지만 매우 희귀한 XCOFF라는 포맷을 이용한다. 레치틱은 아마 이번 악성 코드가 이 포맷을 이용한 거의 유일한 악성코드라고 분석했다. 또 다른 보안 연구자 프랭크 볼드윈에 따르면, 이 해킹 집단은 XCOFF 악성 코드를 만들어 지급 스위치 서버에 주입했고, 그곳에서 금융 거래를 가로챘다. 레치틱은 “이 포맷의 악성코드를 작성하려면 고도로 커스터마이징 된 운영 환경을 알고 있어야 한다. 플랫폼의 목적을 이해해야 하고, 제한 사항과 파일 시작 방식, 환경 내의 잡다한 기능을 모두 알아야 한다”라고 말했다. 

지난 몇 년 동안 레치틱과 도니엑은 다른 비정상적 사례들 역시 연구했다. 그 가운데 일부는 코스모스 은행의 사례처럼 표준이지만 흔히 쓰이지 않는 파일 포맷을 이용했다. 다른 경우에서는 헤더나 여타 부분을 교묘히 파괴한 후 파일을 재구성했다. 도니엑은 “악성코드 제작자는 정체가 드러나지 않도록 이런 기법들을 실험하고 있다”라고 말했다. 

이들이 조사한 또 다른 최신 사례는 APT32라고도 알려진 오션로터스(OceanLotus)라는 해킹 집단과 연계된 것으로 보인다. 이 집단은 2014년부터 활동을 시작했고, 아시아 국가의 기업과 정부 네트워크를 표적으로 했다. 도니엑과 레치텍이 분석한 샘플은 베트남 인권 운동가를 겨냥한 것으로 추정되고, 악성 이메일 첨부 파일을 이용했다.  

샘플은 두 가지 요소, 즉 .blob와 .cab으로 구성되고, 둘 모두 알려지지 않은 포맷으로 실행 가능한 파일이다. 이 악성코드의 염탐 기능은. blob 모듈에 의해 수행되고, 이는 윈도우 운영체계에서 쓰이는 전통 포맷인 PE(Portable Executable)에서 유래한 포맷을 이용하는 것으로 보인다. 그러나 섹션들은 뒤섞이고, 헤더는 커스텀 헤더로 대체된다고 도니엑은 설명했다. 

그는 또한 멀웨어바이츠의 악성코드 인텔리전스 애널리스트인 제롬 시구라가 발견한 히든 비 마이너(Hidden Bee miner)와 연관된 페이로드들 역시 분석했다. 이들 악성 파일은 수십 가지 안티바이러스 제품을 취합해놓은 바이러스토탈에서 정상 파일로 표시됐다. 그러나 연구자들은 수상하다고 판단하고 해당 파일을 수작업으로 분석했다. 그 결과 악성 코드 제작자가 복잡하면서도 일관된 구조를 가진 자체적인 실행 파일 포맷을 제작했음을 발견했다. 
 
펑키 멀웨어를 방어하는 방법 
도니엑과 레치텍은 이러한 펑키 멀웨어 포맷이 아직은 크게 확산하지 않았다고 진단했다. 그러나 최근 들어 사례가 늘어나고 있다. 따라서 기업은 보안에 더 신경을 써야 한다. 먼저 도니엑은 이런 악성코드 가운데 일부는 안티바이러스 소프트웨어로 검출할 수 있다고 말했다. 그는 “악성 파일이 메모리에 올라가더라도 알려진 API에 의해 운영 체계와 여전히 상호작용해야 한다. API를 모니터링하면 무언가 의심스러운 일이 벌어지고 있음을 관찰할 수 있고, 이 수준에서 일반적인 악성코드와 마찬가지로 잡아낼 수 있다”라고 말했다. 

단, 이러한 악성코드를 잡아내는 과정은 완벽하지 않고, 보안 업체가 공격의 전체적 그림을 파악하는데 필요한 핵심 데이터를 놓칠 가능성이 있다. 도니엑은 “안티바이러스 제품은 공격과 관련된 일부 데이터를 (보안 업체가 분석할 수 있는) 텔레메트리 데이터로 전송한다. 그러나 이들은 주로 실행 파일을 보내지, 알려지지 않은 포맷의 바이너리 블롭을 보내는 것이 아니다”라고 말했다. 

레치틱은 펑키 멀웨어 포맷에 대처할 우수한 연구자의 작업이 필수적이라고 지적했다. 악성코드 분석에 일반적으로 쓰이는 툴은 기발한 샘플을 분석하지 못할 수 있기 때문이다. 두 연구자는 앞으로도 악성 코드가 이런 경향을 나타낼 것으로 전망했다. 같은 방식에 질리기도 하지만, 보안 제품이 발전하고 성숙하면 검출 능력이 높아졌기 때문이기도 하다. 레치텍은 “악성코드 제작자라면 보안 제품을 우회할 수 있도록 언제나 (그들을 위한) '혁신'을 해야 한다”라고 말했다. ciokr@idg.co.kr