Home > Security
멀웨어를 하나도 사용하지 않는 공격 단체 골메이커 발견
  |  입력 : 2018-10-12 09:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정상 툴을 비정상적으로 사용해 공격하는 그룹, 시만텍이 찾아내
사용자 프로세스와 구분하기 어려워...다중 방어체계 갖춰야


[보안뉴스 문가용 기자] 안티멀웨어의 탐지를 피하고자 하는 사이버 범죄자들이 최근 다양한 툴들을 활용하기 시작했다. 그 중 단연 눈에 띄는 건 ‘정상 소프트웨어’다. 악성 판단이 내려지지 않는 소프트웨어를 활용해 자기들의 목적을 달성하는 것이다. 최근에는 아예 멀웨어를 전혀 사용하지 않는 공격 단체마저 등장했다.

[이미지 = iclickart]


이 공격 단체를 제일 먼저 발견한 건 보안 업체 시만텍(Symantec)으로, “이 공격자들은 누구나 사용할 수 있도록 만들어진 합법적인 소프트웨어만을 사용해 공격을 실시한다”며 “매우 은밀하고 탐지가 어렵다”고 설명한다. 시만텍은 이들을 골메이커(Gallmaker)라고 부른다.

시만텍의 이번 주, 보고서를 통해 골메이커에 대해 파악한 바를 보안 업계에 공개했다. “골메이커는 정부 기관과 군 관련 기관들을 주로 공격하는데, 현재까지는 동유럽과 중동에서 주로 발견됐습니다. 동유럽 국가들의 경우는 주로 외교 단체가, 중동 국가들의 경우는 국방 관련 조직들이 당했습니다.”

또한 골메이커는 정치외교적인 사안을 주제로 한 문서들을 공격 미끼로 활용한다고 한다. 시만텍의 수석 첩보 분석가인 존 디마지오(Jon DiMaggio)는 “주로 정찰을 목적으로 움직이는 단체로 보인다”고 설명한다. “기존의 정찰 그룹들이 하던 일들을 거의 그대로 하고 있습니다. 돈을 노리는 공격자들이었다면, 외교 기관이나 군 기관만을 집중적으로 노릴 이유가 없어 보이기도 합니다.”

골메이커는 2017년 12월부터 활동을 시작한 것으로 보인다. 가장 최근에는 2018년 6월에 공격 캠페인을 벌였다. “골메이커의 가장 큰 특징은 멀웨어를 전혀 사용하지 않는다는 겁니다. 일반 기업이나 사용자들이 정상적인 목적을 달성하기 위해 사용하는 툴과 프로토콜만을 활용합니다. 주로 침투 테스트 툴과 데이터 압축 툴들입니다.”

디마지오에 의하면 골메이커는 공격 표적을 정하고, 거기에 소속된 개인에게 악성 오피스 문건을 전송한다고 한다. 여기에 속아 문서를 열면 공격자들은 원격에서 오피스 동적 데이터 교환(DDE) 프로토콜을 사용해 시스템 메모리 내에서 명령을 실행할 수 있게 된다. 그 시점부터 골메이커는 메모리 내에서 다양한 툴들을 활용할 수도 있게 된다. 정상 소프트웨어를 사용하는 것뿐만 아니라 메모리 내에서만 움직이기 때문에 탐지가 거의 불가능하다.

DDE는 데이터를 공유하는 마이크로소프트 앱들 간 메시지 교환을 가능하게 해주는 프로토콜이다. 원래는 디폴트로 활성화 되어 있는 기능인데, 지난 12월 패치를 통해 디폴트가 ‘비활성화’로 바뀌었다. 해커들이 이를 악용해 워드와 엑셀 문서를 통해 악성 코드를 실행시킨 사례가 나왔기 때문이었다. 골메이커에 당한 조직들은 이 패치를 적용하지 않은 것으로 보인다.

골메이커는 이러한 ‘DDE 공격’을 통해 렉스 파워셸(Rex Powershell) 스크립트를 실행했다. “그렇게 했을 때 골메이커는 메트스플로잇(Metasploit)이라는 침투 테스트 툴을 통해 역 TCP 셸 연결을 할 수 있게 됩니다.” 여기까지 성공하면 원격에서 시스템을 장악할 수 있다는 뜻인데, “공격자들은 그 후 윈집(WinZip)을 다운로드 받아 자신들이 빼낼 데이터를 압축한다.” 역시나 정상적인 툴이 사용되는 것이다.

이런 일련의 과정을 탐지하는 게 어려운 이유 중 하나는, 이것이 매우 정상적인 프로세스로 보이기 때문이다. “예를 들어 렉스 파워셸은 원래 메타스플로잇과 잘 호환되도록 설계된 라이브러리입니다. 메타스플로잇도 침투 테스터들이 자주 사용하는 툴이죠. 메타스플로잇이 있다고 해서 반드시 해커가 사용했다는 증거가 되는 툴이 아닙니다. 윈집은 압축 툴의 대명사 같은 위치에 있는 것이고요.”

그렇다면 시만텍은 골메이커를 애초에 어떻게 찾아낸 것일까? “한 고객의 웹사이트에서 파워셸 명령이 실행되고 나서 DDE가 실행되는 것이 탐지됐습니다. 수상해서 조사를 진행해보니 정상적인 행위가 아니었습니다.”

디마지오는 “정상 툴을 사용하는 공격이 사이버 범죄자들 사이에서 유행처럼 떠오르고 있다”고 경고한다. “장점이 분명한 전략입니다. 보안 담당자 입장에서 탐지가 훨씬 더 어렵다는 것이죠. 일반 사용자의 정상적인 업무 프로세스에 녹아들어 눈에 띄지 않기 때문에 정말 까다로운 공격이 아닐 수 없습니다.”

이러한 종류의 공격은 결국 “다층위 방어 체계로 막아야 한다”고 디마지오는 강조한다. “방화벽과 침투 방지 시스템, 엔드포인트 보안 툴이 함께 복합된 것을 말합니다. 또한 기업 내 네트워크에서의 관리자 툴 사용을 철저하게 관리할 필요가 있습니다.”

또한 첩보 공유도 이러한 유형의 공격을 방어하는 데 도움이 된다. 사이버 위협 연맹(Cyber Threat Alliance, CTA)의 수석 분석 책임자인 네일 젠킨스(Neil Jenkins)는 “첩보를 공유함으로써 방어자들은 보다 다양한 종류의 공격을 염두에 두고 점검 및 모니터링을 할 수 있게 된다”고 말한다.

“현재 CTA의 회원들은 ‘독자적으로는 사이버 공간에서의 위협들을 전부 파악할 수 없다’는 걸 잘 이해하고 있습니다. 그래서 공동의 전선을 펴나가기 시작한 것이죠. 정보를 공유하는 건 위협의 큰 그림을 그려내는 데에 반드시 필요한 요소입니다.”

3줄 요약
1. 새로운 공격 단체 골메이커 발견됨. 오로지 정상 소프트웨어만 사용해 공격함.
2. 정상 라이브러리, 정상 프로토콜, 정상 침투 테스트 툴, 정상 파일 압축 툴 사용.
3. 이러한 교묘한 공격은 다층 방어막 형성과 정보 공유로 막아야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해는 4차 산업혁명 시대에 따른 융합보안 이슈가 가장 큰 키워드가 되고 있습니다. 보안과 활발히 접목되고 있는 분야 가운데 가장 큰 관심 분야 한 가지만 꼽는다면?
인공지능(AI)
빅데이터
VR(가상현실)/VR(증강현실)
웨어러블
블록체인
스마트시티
자율주행차
클라우드 컴퓨팅
기타(댓글로)
      

하이크비전
CCTV / IP / NVR

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

피엔에이
CCTV / IP 카메라 모듈

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

동양유니텍
IR PTZ 카메라

다후아 코리아
CCTV / DVR

트루엔
IP 카메라

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

선진인포텍
보안 오디오 장비 / 소프트웨어

테크스피어
손혈관 / 차량하부 검색기

씨게이트
보안감시전용 드라이브

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

비전정보통신
IP카메라 / VMS / 폴

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

도마카바코리아
시큐리티 게이트

씨오피코리아
CCTV 영상 전송장비

다민정보산업
기업형 스토리지

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

에스카
CCTV / 영상개선

보쉬시큐리티시스템즈
CCTV / 영상보안

테크어헤드
얼굴인식 소프트웨어

에스에스엔씨
방화벽 정책관리

옵텍스코리아
실내 실외 센서

나우시스템
네트워크 IP 스피커

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

구네보코리아
보안게이트

브이유텍
플랫폼 기반 통합 NVR

진명아이앤씨
CCTV / 카메라

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

이후커뮤니케이션
CCTV / DVR

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

창우
폴대

두레옵트로닉스
카메라 렌즈

금성보안
CCTV / 출입통제 / NVR

지에스티엔지니어링
게이트 / 스피드게이트

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

수퍼락
출입통제 시스템

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

세환엠에스
시큐리티 게이트

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제