‘알고도 당한다’ 2023년에도 기승부릴 ‘맬웨어 5대장’

오늘날 사이버 보안 위협 환경은 매우 복잡하다. 단순한 사기부터 국가 수준의 사이버 스파이까지 있다. 그러나 기업은 일단 가장 기본적인 위협에 대한 대비책부터 세워야한다. 
 

사이버 보안 업체 멀웨어바이트(Malwarebytes)가 ‘맬웨어 현황 2023(State of Malware 2023)’ 보고서에서 가장 흔한 맬웨어 5종을 선정했다. 다음과 같다: 

• 록비트 랜섬웨어
• 이모텟 봇넷
• 소골리쉬(SocGolish) 트로이 목마 
• 안드로이드 드로퍼
• 지니오(Genio) 애드웨어

업체는 보고서에서 “기업이 직면할 가장 큰 위협은 듣도 보도 못한 공격 수법이나 엄청나게 정교한 해킹이 아니다. 정말 대비해야 하는 건 피해액만 연간 수십억 달러에 달하는, 널리 알려진 해킹 도구와 공격 수법이다”라고 밝혔다. 
 

랜섬웨어 대장, 록비트 

작년에 콘티와 같은 매우 유명한 해킹그룹이 운영을 중단하면서 랜섬웨어 위협 환경에 큰 변화가 있었다. 하지만 그 빈자리는 순식간에 다른 소규모 그룹들에 의해 채워졌다. 단연 눈에 띄는 그룹은 서비스형 랜섬웨어를 운영하는 록비트(LockBit)다. 재빠르게 움직여 수많은 협력자(affiliate)를 끌어들였다. 

협력자들은 주로 몰래 활동하는 사이버 범죄자들이다. 단독 해커이거나 전문가 그룹으로서, 침입 초기 접근 및 측면 이동을 진행한 뒤 랜섬웨어 프로그램을 배포한다. 랜섬웨어 서비스 제공자는 소프트웨어 백엔드 인프라를 제공하고 피해자와의 협상을 처리한다.

록비트는 새롭게 나타난 그룹이 아니다. 2019년부터 존재해 왔으며 원래는 ABCD라고 불렸다. 설립 초기 2년 동안은 메이즈, 류크, 콘티와 같은 큰 그룹들에 가려 그다지 이름을 알리지 못했다. 

그러나 2021년 록비트 2.0를 출시하면서 명성을 얻기 시작했으며, 2022년 록비트 3.0의 출시와 함께 콘티의 대안을 찾는 해커들이 대거 몰려들면서 인기가 폭발했다. 

멀웨어바이트 연구원들은 "록비트는 마케팅에 많은 노력을 기울이고, 매력적인 다크웹 사이트를 유지하며, 홍보 스턴트를 수행하고, 소프트웨어 결함을 보고하면 버그 현상금을 지불한다"라고 말했다. 

연구진에 따르면 록비트가 거느리고 있는 협력 행위자 혹은 협력 단체가 100개가 넘어 한 개가 수사망에 잡히더라도 무너질 가능성이 작다. 

멀웨어바이트의 원격 측정에 따르면, 록비트는 작년에 가장 많은 랜섬웨어 작업을 수행한 그룹이다. 다음으로 가장 활발한 랜섬웨어인 ALPHV보다 3.5배 많은 피해자 수를 기록했다. 전체적으로 2022년 랜섬웨어 사건 3건 중 1건이 록비트와 관련됐으며 갱단이 요구한 최대 몸값은 5,000만 달러에 달했다. 

록비트 협력자들은 소규모 로펌에서 대규모 글로벌 기업에 이르기까지 모든 유형의 기업을 겨냥한다. 취약한 원격 액세스 자격 증명(RDP 및 VPN)을 남용하고, 공공 대면 시스템(웹 서버, 이메일 서버, 원격 데스크톱 서버 등)의 취약점을 공격해 악성 파일이 담긴 피싱 메일을 보낸다. 모두 시스템에 초기 접근 권한을 얻기 위함이다. 안에 침투하기만 하면 백업을 삭제하고 수평 이동으로 도메인 관리 액세스 권한을 얻는다. 

멀웨어 연구진은 “록비트만 잘 막을 수 있다면 랜섬웨어 공격 위험을 크게 줄일 수 있을 것"이라고 말했다.
 

불멸의 봇넷, 이모텟

이모텟은 랜섬웨어와 트로이 목마 프로그램 등의 악성코드를 퍼뜨리는 봇넷이다. 최근 들어 수많은 랜섬웨어와 트로이 목마 프로그램을 전달하는 통로가 되고 있다. 

이모텟은 2014년 은행 트로이 목마로 시작했지만, 그때는 사이버 범죄가 성행하지 않았다. 따라서 악성코드 배포로 전환했다. 

이모텟의 특징은 모듈형 아키텍처다. 매우 유연하고 다양한 작업에 쉽게 맞춤화할 수 있다.

유로폴은 한때 이모텟을 세계에서 가장 위험한 악성코드라고 불렀다. 2021년 미국, 영국, 캐나다, 독일, 네덜란드 등의 여러 국가의 법 집행 기관이 봇넷의 명령 및 제어 인프라를 인수하는 데 성공했다. 그러나 이 시도는 오래가지 못했고 이모텟은 곧 되살아났다.

2022년 11월, 봇넷은 4개월간의 휴식 후 매일 수십만 개의 악성 이메일을 배포하며 새로운 버전으로 돌아왔다.

이메일을 주요 전달 메커니즘으로 사용하는 이모텟 해커는 스레드 하이재킹(thread hijacking)과 언어 현지화와 같은 기술을 사용한 스팸 유인이 주특기다. 최근 스팸 캠페인은 악성 매크로가 포함된 엑셀 파일로 아카이브를 배포했다.

이모텟이 시스템에 침투하면 추가 악성 프로그램을 설치한다. 과거에는 류크 랜섬웨어와 밀접한 관계가 있는 또 다른 봇넷인 트릭봇을 설치하곤 했다. 

그러나 최근의 캠페인에서 봇넷은 XMRig 크립토마이닝 악성코드와 아이스ID 트로이 목마도 설치하는 것으로 드러났다. 이모텟은 또한 컴퓨터에 설치된 아웃룩 계정에서 연락처를 도용해 추가 스팸 메일을 보내며, 네트워크 공유의 암호를 해독하려고 시도한다. 

멀웨어바이트 연구진은 “이모텟은 순식간에 컴퓨터를 감염시키므로 이를 제거하는 일은 매우 까다롭고 비용도 많이 든다”라며 “펜실베이니아주 알렌타운에서는 클릭 한 번으로 인해 복구 비용만 100만 달러가 들었다”라고 말했다. 
 

소골리쉬(SocGolish)를 사용한 드라이브 바이 다운로드(drive-by-download)

드라이브 바이 다운로드는 이메일 대신 웹 사이트를 통해 전달되는 맬웨어를 칭하는 용어다. 자바, 플래시 플레이어나 같은 브라우저 플러그인의 경우 오래된 취약점에 노출될 때가 많아 주로 공격의 대상이 됐다. 오늘날에는 소셜 엔지니어링 같은 더 정교한 수법이 필요하지만, 드라이브 바이 다운로드는 여전히 쓰인다.

소골리쉬(SocGolish)는 맬웨어 로더로 사용되는 RAT(원격 액세스 트로이 목마)이다. 공격자는 보통 중요한 가짜 팝업이나 악의적인 광고를 띄워 브라우저 업데이트를 제공한다고 사용자를 속여 이 맬웨어를 퍼뜨린다. 사용자가 가짜 업데이트를 수락하면 자바스크립트 파일이 포함된 ZIP 아카이브를 받게 된다. 이 파일이 실행되면 컴퓨터와 네트워크를 스캔한 뒤 다음 다른 악성 프로그램(보통 랜섬웨어)를 배포한다. 

멀웨어바이트 연구원들은 "SocGolish는 간단하지만 소셜 엔지니어링과 지문 인증 공격 수법은 대기업은 물론 중요한 인프라까지 손상할 만큼 강력하다”라며 “최종 목표는 랜섬웨어이기 때문에 얕보면 큰일 난다”라고 경고했다. 
 

안드로이드 드로퍼(Android Dropper)

모바일 장치는 회사가 관리하는 장치 중 많은 부분을 차지한다. 따라서 안드로이드 플랫폼의 보안 위협도 가볍게 볼 수 없다. 안드로이드 드롭퍼(Android dropper)는 트로이 목마 프로그램으로, 보통 합법적인 애플리케이션이나 유료 앱의 무료 버전으로 가장한다. 사용자가 방문할 수 있는 타사 앱 스토어 및 다양한 웹 사이트에서 배포된다.

안드로이드에 악성 프로그램이 설치되려면 사용자가 기본 보안 설정을 변경하고 경고를 무시해야 한다. 그래서 윈도우 운영체제만큼 쉽게 보안이 뚫리진 않는다. 그럼에도 악성 앱이 발견되는 사례가 종종 있다. 이런 맬웨어 드롭퍼는 비밀번호, 이메일, 오디오 녹음, 사진 촬영을 하는 숨겨진 광고, 은행 트로이 목마, 앱과 같은 다른 해킹 수법을 퍼뜨리는 데 사용된다.

멀웨어바이트 연구진은 "2022년 안드로이드에서 드롭퍼가 탐지된 보안 위협의 14%를 차지했다"라고 말했다. 
 

맥도 당할 수 있는 애드웨어(Adware)

윈도우에 비해 맥OS의 악성 프로그램 생태계는 확실히 작다. 그러나 위협이 존재하긴 한다. 가장 일반적인 악성 프로그램은 원하지 않는 광고를 삽입하는 애플리케이션, 즉 애드웨어다. 맥 OS에서 가장 오래된 애드웨어 프로그램 중 하나는 지니오(Genio)라고 하며 브라우저 검색을 가로채는 데 사용된다.

안드로이드 드롭퍼와 마찬가지로 대부분의 맥 OS 애드웨어와 악성코드는 가짜 응용 프로그램이나 업데이트로 배포된다. 지니오는 플래시 플레이어 업데이트로 가장하거나 비디오 코덱과 함께 제공되었지만, 요즘은 PDF 뷰어나 비디오 변환기 앱에 숨어 있다.  

지니오는 자신을 숨기기 위해 온갖 수법을 사용하므로 일단 설치되면 삭제하기 어려울 수 있다. 다른 애플리케이션에 속하는 시스템 파일과 파일을 모방하고, 코드 난독화를 사용한다. 다른 프로세스에 라이브러리를 주입하고, 시스템 결함을 이용하여 권한을 부여하며, 동의 없이 브라우저 확장을 설치하고, 사용자의 암호 키 체인을 조작하기도 한다. 

멀웨어바이트 연구진은 “지니오 같은 애드웨어는 맬웨어로 분류되지는 않지만 마치 맬웨어처럼 시스템 깊숙이 침투해 시스템에 철썩 달라붙는다”라고 말했다. ciokr@idg.co.kr