세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사 > 외신
멀웨어를 하나도 사용하지 않는 공격 단체 골메이커 발견
  |  입력 : 2018-10-12 09:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정상 툴을 비정상적으로 사용해 공격하는 그룹, 시만텍이 찾아내
사용자 프로세스와 구분하기 어려워...다중 방어체계 갖춰야


[보안뉴스 문가용 기자] 안티멀웨어의 탐지를 피하고자 하는 사이버 범죄자들이 최근 다양한 툴들을 활용하기 시작했다. 그 중 단연 눈에 띄는 건 ‘정상 소프트웨어’다. 악성 판단이 내려지지 않는 소프트웨어를 활용해 자기들의 목적을 달성하는 것이다. 최근에는 아예 멀웨어를 전혀 사용하지 않는 공격 단체마저 등장했다.

[이미지 = iclickart]


이 공격 단체를 제일 먼저 발견한 건 보안 업체 시만텍(Symantec)으로, “이 공격자들은 누구나 사용할 수 있도록 만들어진 합법적인 소프트웨어만을 사용해 공격을 실시한다”며 “매우 은밀하고 탐지가 어렵다”고 설명한다. 시만텍은 이들을 골메이커(Gallmaker)라고 부른다.

시만텍의 이번 주, 보고서를 통해 골메이커에 대해 파악한 바를 보안 업계에 공개했다. “골메이커는 정부 기관과 군 관련 기관들을 주로 공격하는데, 현재까지는 동유럽과 중동에서 주로 발견됐습니다. 동유럽 국가들의 경우는 주로 외교 단체가, 중동 국가들의 경우는 국방 관련 조직들이 당했습니다.”

또한 골메이커는 정치외교적인 사안을 주제로 한 문서들을 공격 미끼로 활용한다고 한다. 시만텍의 수석 첩보 분석가인 존 디마지오(Jon DiMaggio)는 “주로 정찰을 목적으로 움직이는 단체로 보인다”고 설명한다. “기존의 정찰 그룹들이 하던 일들을 거의 그대로 하고 있습니다. 돈을 노리는 공격자들이었다면, 외교 기관이나 군 기관만을 집중적으로 노릴 이유가 없어 보이기도 합니다.”

골메이커는 2017년 12월부터 활동을 시작한 것으로 보인다. 가장 최근에는 2018년 6월에 공격 캠페인을 벌였다. “골메이커의 가장 큰 특징은 멀웨어를 전혀 사용하지 않는다는 겁니다. 일반 기업이나 사용자들이 정상적인 목적을 달성하기 위해 사용하는 툴과 프로토콜만을 활용합니다. 주로 침투 테스트 툴과 데이터 압축 툴들입니다.”

디마지오에 의하면 골메이커는 공격 표적을 정하고, 거기에 소속된 개인에게 악성 오피스 문건을 전송한다고 한다. 여기에 속아 문서를 열면 공격자들은 원격에서 오피스 동적 데이터 교환(DDE) 프로토콜을 사용해 시스템 메모리 내에서 명령을 실행할 수 있게 된다. 그 시점부터 골메이커는 메모리 내에서 다양한 툴들을 활용할 수도 있게 된다. 정상 소프트웨어를 사용하는 것뿐만 아니라 메모리 내에서만 움직이기 때문에 탐지가 거의 불가능하다.

DDE는 데이터를 공유하는 마이크로소프트 앱들 간 메시지 교환을 가능하게 해주는 프로토콜이다. 원래는 디폴트로 활성화 되어 있는 기능인데, 지난 12월 패치를 통해 디폴트가 ‘비활성화’로 바뀌었다. 해커들이 이를 악용해 워드와 엑셀 문서를 통해 악성 코드를 실행시킨 사례가 나왔기 때문이었다. 골메이커에 당한 조직들은 이 패치를 적용하지 않은 것으로 보인다.

골메이커는 이러한 ‘DDE 공격’을 통해 렉스 파워셸(Rex Powershell) 스크립트를 실행했다. “그렇게 했을 때 골메이커는 메트스플로잇(Metasploit)이라는 침투 테스트 툴을 통해 역 TCP 셸 연결을 할 수 있게 됩니다.” 여기까지 성공하면 원격에서 시스템을 장악할 수 있다는 뜻인데, “공격자들은 그 후 윈집(WinZip)을 다운로드 받아 자신들이 빼낼 데이터를 압축한다.” 역시나 정상적인 툴이 사용되는 것이다.

이런 일련의 과정을 탐지하는 게 어려운 이유 중 하나는, 이것이 매우 정상적인 프로세스로 보이기 때문이다. “예를 들어 렉스 파워셸은 원래 메타스플로잇과 잘 호환되도록 설계된 라이브러리입니다. 메타스플로잇도 침투 테스터들이 자주 사용하는 툴이죠. 메타스플로잇이 있다고 해서 반드시 해커가 사용했다는 증거가 되는 툴이 아닙니다. 윈집은 압축 툴의 대명사 같은 위치에 있는 것이고요.”

그렇다면 시만텍은 골메이커를 애초에 어떻게 찾아낸 것일까? “한 고객의 웹사이트에서 파워셸 명령이 실행되고 나서 DDE가 실행되는 것이 탐지됐습니다. 수상해서 조사를 진행해보니 정상적인 행위가 아니었습니다.”

디마지오는 “정상 툴을 사용하는 공격이 사이버 범죄자들 사이에서 유행처럼 떠오르고 있다”고 경고한다. “장점이 분명한 전략입니다. 보안 담당자 입장에서 탐지가 훨씬 더 어렵다는 것이죠. 일반 사용자의 정상적인 업무 프로세스에 녹아들어 눈에 띄지 않기 때문에 정말 까다로운 공격이 아닐 수 없습니다.”

이러한 종류의 공격은 결국 “다층위 방어 체계로 막아야 한다”고 디마지오는 강조한다. “방화벽과 침투 방지 시스템, 엔드포인트 보안 툴이 함께 복합된 것을 말합니다. 또한 기업 내 네트워크에서의 관리자 툴 사용을 철저하게 관리할 필요가 있습니다.”

또한 첩보 공유도 이러한 유형의 공격을 방어하는 데 도움이 된다. 사이버 위협 연맹(Cyber Threat Alliance, CTA)의 수석 분석 책임자인 네일 젠킨스(Neil Jenkins)는 “첩보를 공유함으로써 방어자들은 보다 다양한 종류의 공격을 염두에 두고 점검 및 모니터링을 할 수 있게 된다”고 말한다.

“현재 CTA의 회원들은 ‘독자적으로는 사이버 공간에서의 위협들을 전부 파악할 수 없다’는 걸 잘 이해하고 있습니다. 그래서 공동의 전선을 펴나가기 시작한 것이죠. 정보를 공유하는 건 위협의 큰 그림을 그려내는 데에 반드시 필요한 요소입니다.”

3줄 요약
1. 새로운 공격 단체 골메이커 발견됨. 오로지 정상 소프트웨어만 사용해 공격함.
2. 정상 라이브러리, 정상 프로토콜, 정상 침투 테스트 툴, 정상 파일 압축 툴 사용.
3. 이러한 교묘한 공격은 다층 방어막 형성과 정보 공유로 막아야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018WD 파워비즈 2017-0305 시작
설문조사
국내 정보보호 분야 주요 사건·이슈 가운데 정보보호산업에 가장 큰 영향을 미친 것은 무엇이라고 생각하시나요?
2001년 정보보호 규정 포함된 정보통신망법 개정
2003년 1.25 인터넷 대란
2009년 7.7 디도스 대란
2011년 개인정보보호법 제정
2013년 3.20 및 6.25 사이버테러
2014년 카드3사 개인정보 유출사고
2014년 한수원 해킹 사건
2017년 블록체인/암호화폐의 등장
기타(댓글로)