세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
새로운 스파잉 멀웨어와 오래된 ATM 멀웨어 변종 출현
  |  입력 : 2017-01-13 16:51
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이탈리아의 48세, 45세 남매, 고위직 주요 인물들 정보 빼돌려
감시 카메라도 개의치 않는 빠른 ATM 털이용 멀웨어 다시 등장


[보안뉴스 문가용 기자] 또 새로운 멀웨어가 두 개 발견됐다. 하나는 이탈리아의 정치인 및 기업가 등 주요 인물들을 겨냥한 스파이웨어인 아이피라미드(EyePyramid)고 다른 하나는 ATM 해킹에 활용되는 플라우투스(Ploutus)의 변종이다. 이중 아이피라미드를 개발하고 사용해 약 1만 8천 개의 이메일 계정을 침해하고 87GB의 데이터를 훔친 오치오네로(Occhionero) 남매는 체포됐다.

1. 저질 스파이웨어, 아이피라미드
체포된 건 48세의 프란체스카 오치오네로(Francesca Occhionero)와 45세의 쥴리오 오치오네로(Giulio Occhionero). 이 둘은 유럽중앙은행장, 전 국무총리, 바티칸의 추기경, 주요 정당 리더 및 의원, 장관, 기술 및 에너지 산업 수장 등을 대상으로 2010년부터 스파잉 행위를 해왔다. 그리고 2014~2015년 활동에 사용된 멀웨어 샘플을 카스퍼스키가 발견하면서 꼬리가 잡혔다.

아이피라미드 멀웨어는 Zip 및 7Zip 압축파일 형태로 이메일에 첨부되었으며, 두 남매는 소셜 엔지니어링 및 스피어피싱 공격을 통해 해당 파일이 설치되도록 했다. 샘플을 분석한 카스퍼스키는 “모든 면에서 고급화된 면모를 하나도 갖추지 못한 멀웨어”라고 결론을 내렸다. “해당 멀웨어는 .NET으로 작성되었고, 소스코드는 난독화 기술로 보호되고 있습니다. 담당 변호사나 사업 파트너가 보낸 것처럼 꾸며진 이메일을 통해 퍼졌고, 설치된 후 키스트로크, 크리덴셜, 주요 파일들을 빼돌렸습니다.”

하지만 공격자들이 스스로의 IP 주소를 감추는 것도 잊어 추적 및 체포가 가능했다. 게다가 일반 전화기 통화와 왓츠앱 채팅을 통해 범행 계획을 나누기도 하는 등 범죄 작전을 운영한다는 측면에서도 ‘초보스러운’ 실수를 많이 저질렀다. 카스퍼스키는 “스파잉 공격을 하는 주체나 멀웨어가 딱히 엄청난 고급 기술 및 경험을 가지고 있지 않아도 된다는 게 증명됐다”고 말한다.

보안 업체인 트렌드 마이크로(Trend Micro)는 “공격의 80%가 이탈리아에서 이루어졌지만, 프랑스, 인도네시아, 모나코, 멕시코, 중국, 대만, 독일, 폴란드에서도 멀웨어가 발견되었다”고 설명했다. 아이피라미드의 분석 자료는 여기서 열람이 가능하다.

2. ATM 노리는 플라우투스
플라우투스의 네 번째 변종이 등장했다. 이 변종은 ATM 기기 제조사 중 디볼드(Diebold)의 것을 주로 공격한다. 플라우투스는 2013년 멕시코에서 처음 발견됐다. 당시 발견된 플라우투스는 공격자가 물리적으로 ATM 기기에 접근해야만 활용이 가능했다. SMS 메시지를 통해 현금인출이 가능하도록 하는 게 기본 원리였다.

이번에 발견된 변종 역시 누군가 ATM 기기에 물리적인 접근을 해야만 활용이 가능하다. 접근 후 ATM 기기의 맨 윗부분을 열고, 키보드를 연결해서, 작전 운영자가 원격에서 알려주는 활성화 코드를 입력하면 ATM에서 현금이 쏟아져 나온다. 때문에 보통 자금 운반책 등 범죄 조직 내 하위 구성원들이 공격을 감행하고 윗선이 통신 기기를 통해 지시 사항을 전달하는 식으로 범죄가 진행된다.

이 멀웨어를 발견한 보안 전문업체인 파이어아이(FireEye)는 “일단 접근에 성공하면 매우 빠른 시간 안에 큰 돈을 훔칠 수 있다”고 설명한다. “얼마나 빠른지 범인들이 감시 장치를 개의치도 않아요. 카메라를 보고 출동한 보안 요원들보다 돈을 가지고 도망가는 게 더 빠르기 때문이죠.” 이번에 발견된 변종은 호환성도 좋다. 윈도우 10은 물론 8, 7, XP 운영체제 모두 공격이 가능하며, GUI도 더 세련되게 변했다.

“뿐만 아니라 난독화가 매우 고난이도입니다. 코드를 리버스 엔지니어링 하는 게 지독하게 어렵도록 만들어 놨어요.” 또한 현재는 디볼드의 ATM 모델만을 노리고 있지만 다른 회사의 ATM을 공격하기 위한 멀웨어로 변경하는 건 일도 아니라고 한다. “코드 일부를 살짝 바꾸는 것만으로 충분합니다. 곧 다른 나라에서도 플라우투스에 대한 신고들이 나올 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)