Offcanvas

랜섬웨어

"단순함 뒤의 치명적 위험"··· 익스플로잇 킷 감염 체인 주의보

2017.03.24 Bob Brown  |  Network World
시스코의 보안 전문가가 최근 보스턴에서 개최된 시큐어월드(SecureWorld Boston) 행사에서 "익스플로잇 킷 감염 체인(exploit kit infection chain)"을 각별히 주의할 것을 경고했다.



시스코의 선임 보안 연구원인 브래드 안토니빅츠는 컴퓨터 사용자에게 종종 질문을 받는다. 누군가의 컴퓨터가 랜섬웨어에 감염됐을 경우 사용자가 비트코인 형태로 비용을 지불하면 해커가 과연 암호를 풀어주고, 데이터에 접근할 수 있게 해주느냐는 것이다. 그는 "그들의 목적은 돈을 버는 것이며, 양질의 고객 서비스가 이들에게도 중요하다"라고 말했다.

그는 이날 행사에서 시스코 엄브렐라(이전 오픈DNS) 팀 소속임을 나타내는 “RUN DNS” 티셔츠를 입고 발표를 시작했다. ‘케르베르(Cerber)'와 같은 랜섬웨어 변종을 비롯한 "공격에 대한 상세한 분석"과 사이버 공격의 배후에 있는 정교한 생태계에 대해 분석했다. 그는 "블로그 해킹 같이 겉으로 보기에 단순한 것이 "익스플로잇 킷 감염 체인"에 걸려들면 훨씬 심각한 결과를 초래한다"라고 말했다.

문제는 랜섬웨어 감염을 뒤늦게 안다는 것
실제로 안토니빅츠가 한 블로그를 보여줬다. 크롬 브라우저에서는 정상적으로 보였지만, MS 인터넷 익스플로러(IE)에서는 오류 메시지만 표시했다. 그는 "오류 메시지는 브라우저 외부의 다른 프로세스에 의해 생성된다. 이것은 아주 나쁜 상항이다"라고 말했다.

페이지 소스를 보면 수상쩍은 코드가 IE 뷰에 추가돼 있는 것을 알 수 있다. 누군가가 익스플로잇 킷을 사용해 블로그와 블로그 방문자의 브라우저, 시스템까지 손상을 끼치려 하는 것이다. 블로거도 방문자도 어떤 일이 벌어지고 있는지 알아채지 못한다.

안토니빅츠는 "이것은 수도-다크리치(Pseudo-Darkleech)라는 악성코드 공격이 확실하다. 놀랄 만큼 강력한 익스플로잇 킷이다. 심지어 단일 창 글래스 대시보드를 통해 공격자가 사용자를 브라우저 유형, 운영시스템, 출신 국가, 그 밖의 다른 정보까지 파악해낼 수 있다"라고 말했다.

해커는 종종 '서비스형(as a service)' 익스플로잇 킷을 이용해 순진한 사용자를 랜섬웨어와 같은 악성코드로 공격한다. 그는 "이것은 전체적으로 완결성을 가진 생태계와 같다. 블로그를 해킹하는 자에게 익스플로잇 킷을 제공하고, 케르베르 레드(혹은 레드 케르베르)와 같은 랜섬웨어를 설치하기 위해 비용을 지불하기까지 한다"라고 말했다.

이 정교한 생태계에서 해커는 랜섬웨어를 악용하는데 그치지 않고, 나아가 '양질의 고객 서비스'를 제공하고자 한다. 사용자가 돈을 지불하면 인질로 잡힌 컴퓨터를 풀어주는 것이다. 랜섬웨어는 특정 파일, 폴더, 디렉토리만 암호화할 수도 있다. 해커는 사용자가 자신에게 돈을 지불하는 데만 컴퓨터를 쓰기를 원하는 것이다.

뉴욕대학교 탠돈 스쿨 오브 엔지니어링(NYC Tandon School of Engineering)의 '해커 인 레지던스(Hacker in Residence)’ 프로그램을 이수한 바 있는 안토니빅츠는 "이들은 사용자가 익명 브라우저인 토르(Tor)에 접근하기 어려울 때 상담지원(support forum)까지 하며, 실시간 채팅 혹은 기술 지원을 위한 전화번호까지 제공한다"라고 말했다.

심지어 이런 상황도 있었다. 사용자가 토르를 잘 사용하지 못하고 비트코인 지불과 그 외의 총체적인 어려움을 겪고 있을 때 이를 해결하기 위해 해커의 지원이 메시지가 끝도 없이 이어진다. 마침내 파일 잠금을 모두 해제했을 때는 해커도 녹초가 돼 버렸다.


‘환자 제로’, 첫 번째 감염자를 찾아라
안토니빅츠와 그의 동료들은 시스코의 고객이 무엇을 상대하고 있는지 더 잘 이해하기 위해 이와 같은 공격을 연구한다. 이들의 우선순위 중 하나는 "환자 제로, 즉 첫 번째 감염된 희생자"를 찾는 것이다. 그래야만 네트워크상의 다른 어떤 것이 영향을 받았는지 밝힐 수 있다. 이를 통해 보안 프로그램을 제공하는 업체는 향후 보안에 위협이 되는 사항을 탐지하는 특징을 도식화할 수 있다.

안토니빅츠는 "환자 제로 상태가 됐을 때는 아직 실제로 공격이 시작되기 전이다. 이 모든 일에 사전작업 단계가 필요하다. 공격자가 첫 번째 웹사이트를 해킹하고, 이 공격을 처리하는 인프라를 설정해야 할 때가 있다. 그들이 목표로 하고 있는 대상이 누구인지, 그리고 해당 네트워크를 이해하기 위한 정찰을 해야 할 때도 있다”라고 말했다.

안토니빅츠와 그의 시스코 엄브렐라 동료는 DNS 레벨부터 공격을 조사했다. 그는 강연을 듣는 사람들 누구나 DNS 로그를 보고 똑같이 조사할 수 있다고 했다. 그는 "DNS는 종종 간과되지만 네트워크에서 일어나는 일에 대한 실제적인 정보를 알 수 있다. 심지어 특정 공격을 위한 작업이 만들어지기 전에 차단할 수 있다"라고 말했다.

시스코 엄브렐라 팀은 이러한 데이터에서 의미를 찾아내기 위해 머신러닝과 빅데이터 분석을 활용하며, IP 기반 지오로케이션(IP geo-location), 예측 및 기타 모델도 활용한다. 안토니빅츠는 "개인적으로 그동안 주로 IT 보안의 공격적인 측면을 다뤄왔지만 우리 동료 중에는 데이터 과학자가 많이 포함돼 있다. 보안 위협이 증가하는 요즘 대부분의 보안 팀에 가장 필요한 사람들이다"라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.