세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
PoS 멀웨어 트레져헌터, 개발자가 소스코드 공개
  |  입력 : 2018-05-11 11:13
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
여러 향상 제안 위한 개발자 노트 포함돼...공개 이유는 아직 몰라
멀웨어 추적 통한 수사에 혼선 주기 위한 것으로 보여...새로운 위협될 것


[보안뉴스 문가용 기자] PoS 공격 멀웨어인 트레져헌터(TreasureHunter)를 개발한 자들이 소스코드를 공개했다. 트레져헌터는 최소한 2014년부터 세계 여러 PoS 시스템을 공격해온 멀웨어다. 또한 소스코드 만이 아니라 그래픽 사용자 인터페이스 빌더와 관리자 패널까지도 함께 공개했다고 보안 업체 플래시포인트(Flashpoint)가 발표했다.

[이미지 = iclickart]


코드가 공유되기 시작한 곳은 다크웹의 러시아 지하 포럼이다. 많은 이들이 이미 이 코드를 다운로드 받은 것으로 알려져 있다. PoS 공격을 하고자 하는 자들은 물론 멀웨어를 분석하는 보안 전문가들에게도 새로운 통찰을 제공해줄 것으로 보인다. 여태껏 보안 전문가들이 코드 분석을 하기 위해 할 수 있었던 건 리버스 엔지니어링뿐이었다.

플래시포인트의 연구 조사 책임자인 비탈리 크레메즈(Vitali Kremez)는 이번 기회에 트레져헌터 소스코드를 들여다본 전문가 중 한 사람이다. 그는 “코드를 개발한 사람들이 어떤 사고방식과 전략을 가지고 공격을 실시하는지 알 수 있었다”고 말한다. 플래시포인트는 시스코의 탈로스 팀과 함께 이 소스코드를 가지고 트레져헌터 공격에 대한 방어를 강화할 수 있었다고 한다. “유사한 공격에도 어느 정도 방어 체계를 갖출 수 있었습니다.”

하지만 트레져헌터가 보안 전문가들에게만이 아니라 해커들에게도 공개되었다는 것은 좋은 소식이 아니다. “저희가 방어를 강화할 수 있었던 것처럼, 공격자들도 공격법을 강화할 수 있거든요. 누군가 트레져헌터를 강화하거나, 트레져헌터를 응용해 보다 강력한 PoS 공격 방법을 개발할 수도 있습니다.” 크레메즈의 설명이다.

“저희 첩보에 의하면 트레져헌터 멀웨어는 과거에 여러 가지 공격을 감행했는데, 주로 러시아어를 구사하는 범죄 단체들이 중소 규모의 도소매상을 노릴 때 사용했습니다.” 크레메즈의 설명이다. “하지만 소스코드 자체는 베어즈잉크(BearsInc)라는 악명 높은 러시아 단체의 소유인 것으로 보입니다. 베어즈잉크는 카드 데이터를 훔치고 유통시키는 활동을 주로 하고 있습니다.”

플래시포인트는 “이 코드가 공개되고 이미 트레져헌터를 업그레이드할 방법들이 지하 포럼에서 논의되고 있는 것을 목격했다”고 말한다. 하지만 아직 뭔가가 확실히 정해지거나 대세로 굳어진 것은 없는 것으로 보인다. “아마 멀웨어의 통신 프로토콜을 향상시키는 것이 범죄자들의 첫 시도가 아닐까 합니다. 트레져헌터 자체에 더 많은 기능을 탑재시키는 것도 생각해볼 수 있고요.”

원래의 트레져헌터에는 개발자 노트도 들어있다. 매우 긴 ‘할 일 목록’인데, 트레져헌터의 안티 디버깅이나 통신 프로토콜을 향상시키는 것이 등이 여기에 포함되어 있다. 또한 유출된 코드를 다운로드하고 사용할 사람들을 위한 제안들도 친절히 적혀있다. “아마도 개발자가 트레져헌터를 가지고 여러 기능 개발 및 응용을 하고 싶었나봅니다.”

하지만 그 노트에도 “왜 코드를 공개했는지”는 나와 있지 않다. “아마도 트레져헌터를 사법 기관 같은 곳에서 추적했을 때, 자신들이 개발자이거나 유일한 소유자라면 쉽게 잡히거나 형량이 커질 것이라고 생각한 듯 합니다. 뭔가 구체적인 위협이 탐지된 것이 아닐까 합니다.” 크레메즈는 “실제로 범죄자들이 이런 식으로 수사에 큰 혼란을 가져다주기도 한다”고 설명을 추가한다.

예를 들어 2016년 9월, 미라이(Mirai) 봇넷 멀웨어의 개발자가 소스코드를 공개했던 적이 있다. 개발자는 총 세 명이었고 한 명은 러트거스대학(Rutgers University) 학생이었다. 이들이 소스코드를 갑작스럽게 공개한 이유 역시 수사를 혼잡하게 만들기 위해서였다는 게 뒤늦게 밝혀진 바 있다. 그리고 미라이는 범죄자 커뮤니티 내에서 여러 변종으로 다시 만들어져 심각한 공격들을 감행했다.

2011년에도 제우스(Zeus)라는 트로이 목마의 코드가 유출됐다. 그리고 제우스는 온갖 버전으로 재탄생 하여 인터넷 곳곳을 누비기 시작했다. 크레메즈는 “한번 멀웨어 소스코드가 유출되면 거의 반드시라도 해도 될 만큼 많은 변종들의 탄생으로 이어졌습니다. 이번 트레져헌터 공개 역시 새로운 위협이 될 것이 분명해 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
7월은 정보보호의 달, 7월 둘째 주 수요일은 정보보호의 날로 지정된 상태입니다. 정보보호의 달과 날짜가 특정되지 않은 ‘정보보호의 날’의 변경 필요성에 대해서는 어떤 견해를 갖고 계신지요?
정보보호의 날(달) 모두 현행 유지
정보보호의 달은 현행대로, 정보보호의 날은 7월 7일로
1.25 인터넷대란, 카드사 사태 발생한 1월, 정보보호의 달(날)로
매월 매일이 정보보호의 달(날), 기념일 폐지해야
기타(댓글로)