보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

라즈베리로빈, 갑자기 원데이 익스플로잇을 빠르게 탑재하기 시작하다

입력 : 2024-02-13 14:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
이미 인기 높은 웜인 라즈베리가 최근 다시 한 번 강력한 기능을 가지고 활동하기 시작했다. 그 강력한 기능이란, 신기능을 빠르게 탑재하는 것을 말한다. 원데이 익스플로잇들이 위험하다.

[보안뉴스 = 네이트 넬슨 IT 칼럼니스트] 라즈베리로빈(Raspberry Robin)이라는 웜이 몇 가지 원데이 익스플로잇을 새롭게 탑재한 채 등장했다. 주로 권한 상승 공격을 강화하기 위한 움직임인 것으로 분석되고 있다. 보안 업체 체크포인트(Check Point)가 이를 발견해 세상에 알렸다.

[이미지 = gettyimagesbank]


그런데 문제는 ‘기존 멀웨어에 새 원데이 익스플로잇이 추가됐다’가 아니다. 체크포인트에 의하면 진짜 문제는 ‘원데이 익스플로잇이 발견되자마자 라즈베리로빈에 추가된다는 것’이라고 한다. 거의 실시간에 가깝다고 하는데, 그렇기 때문에 체크포인트 측은 최초 침투 브로커(특히 최초 침투 전문 도구를 개발하는 자들)들과 익스플로잇을 유통하는 자들 사이에 모종의 계약이 있었을 거라고 보고 있다.

참고로 ‘원데이 익스플로잇’은 취약점이 공개되자마자 개발되는 공격 도구로, 사실상 대부분의 사람들이 취약점의 존재를 인지하지 못하는 상태에서 나온다는 특징을 가지고 있다. 제로데이 취약점 익스플로잇은 취약점에 대해 그 누구도 모르는 상태에서 실행되는 공격이고, 원데이 취약점 익스플로잇은 극히 소수의 일부만 취약점에 대해 아는 상태에서 실행되는 공격이다. 따라서 소프트웨어 패치를 받아 업데이트를 하는 식으로 방어하는 사용자 기업 입장에서는 크게 다르지 않다.

체크포인트의 엘리 스마자(Eli Smadja)는 원데이 익스플로잇에 대해 “대단히 강력한 공격 도구”라고 설명하며 “방어자 대다수가 방어의 방법을 모르기 때문에 더더욱 효과를 발휘한다”고 경고한다. 이런 강력한 공격 기법을 실시간에 가깝게 추가하는 멀웨어라는 건 대단히 큰 위협이라는 의미가 된다.

라즈베리로빈에 무슨 일이 일어나고 있는가
라즈베리로빈이 처음 발견된 건 2021년의 일이다. 당시 보안 업체 레드카나리아(Red Canary)가 세상에 알렸다. 그 후부터 지금까지 라즈베리로빈은 꾸준히 개발됐고, 지속적으로 향상됐다. 라즈베리로빈의 배후에 있는 자들도 점점 더 공격적으로 멀웨어를 활용했고, 라즈베리로빈을 활용한 사업 행위도 적극적으로 펼쳐 나갔다.

항상 업그레이드 되긴 했지만 라즈베리로빈이 이번처럼 빠르게 새로운 익스플로잇을 추가한 것은 처음이다. 다만 새 익스플로잇 추가 주기가 꾸준히 줄어들기는 했다. 예를 들어 CVE-2021-1732라는 취약점의 익스플로잇을 추가하는 업그레이드의 경우, 취약점 발견 후 1년이 지난 후에야 진행됐다. 지난 해 6월에는 CVE-2023-29360이라는 취약점이 발견됐는데, 라즈베리로빈에 이 취약점의 익스플로잇이 탑재된 건 두 달 후의 일이었다. CVE-2023-36802라는 취약점은 9월에 발견되고, 10월부터 라즈베리로빈을 통해 활용됐다.

체크포인트는 “다크웹에 제로데이 취약점을 전문적으로 거래하는 자들이 존재하는 것처럼 원데이 취약점을 적극 다루는 자들이 존재한다”고 지적한다. “원데이 익스플로잇을 찾는 사람도 많고, 스스로 개발하는 사람도 많습니다. 이런 자들과 라즈베리로빈 개발자들 사이에 계약이 체결된 것이 아니라면 지금처럼 빠르게 원데이가 추가될 수는 없습니다.”

라즈베리로빈, 숨어 있는 위협
라즈베리로빈 웜은 등장부터 심상치 않은 위협이었다. 데뷔 1년 만에 사이버 범죄자들이 가장 선호하는 도구 중 하나가 된 것이다. 한 달에 수천~수만 건의 라즈베리로빈 감염 사태가 발생했다. 레드카나리아가 집계한 바에 의하면 라즈베리로빈은 2022년 가장 빈번하게 등장하는 위협들 중 7위를 기록할 정도로 활발하다고 한다. 그리고 매달 순위 변동에 영향을 줄 정도로 빠르게 성장하기도 했다.

현재 이블코프(Evil Corp)나 TA505와 같은 악명 높은 사이버 범죄 집단들이 라즈베리로빈을 즐겨 사용하는 것으로 알려져 있다. “라즈베리로빈과 같은 멀웨어들은 최초 침투라는 복잡한 공격의 단계를 간단히 해결해주기 때문에 공격자들에게 대단히 유용합니다. 게다가 권한 상승이라는 익스플로잇이 꾸준히 추가되면 최초 침투 이후에도 여러 가지 공격을 쉽게 시작할 수 있다는 뜻이 되기도 합니다. 공격자들이 해야 하는 건 이제 돈으로 지불하는 것 뿐이죠. 해커라는 직업의 난이도가 매일 빠르게 낮아지고 있습니다.” 스마자의 설명이다.

그렇기에 스마자는 라즈베리로빈 개발자들이 갑자기 사업을 접지 않는 이상 라즈베리로빈이 다크웹의 스테디셀러로 장기간 군림할 것이라는 의견에 무게를 싣는다. “공격을 편리하고 효과적으로 할 수 있게 해 주는 것만큼 공격자들에게 값진 것은 없지요. 한 동안 라즈베리로빈은 사라지지 않을 겁니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)