Home > 전체기사
[RSAC 2020] 이모텟, 가장 경계해야 할 멀웨어
  |  입력 : 2020-02-27 12:39
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
마임캐스트, 2000억 개 넘는 메일 분석...“거의 모든 공격에 이모텟 있어”
현재로서는 이모텟 통해 랜섬웨어 심는 것이 주요 공격...압축파일과 문서 파일 주의


[보안뉴스 문가용 기자] 2019년 4사분기 동안 이모텟(Emotet) 멀웨어의 양이 145%나 증가했다는 보고서가 RSAC에서 발표됐다. 마임캐스트(Mimecast)가 무려 2020억 개의 이메일을 분석한 후 내린 결론이다. 보고서는 ‘마임캐스트 위협 첩보 보고서 : RSAC 에디션’이라는 이름으로 발표됐다.

[이미지 = 보안뉴스]


마임캐스트는 2019년 10월부터 12월까지 석 달 동안 생성된 이메일들을 분석했다. 상당량의 이메일이 분석된 만큼 갖가지 유형이 공격이 발견되었는데, 그 중 이모텟 멀웨어의 증가가 가장 눈에 띄는 현상이었다고 한다.

이모텟이 무서운 속도로 증가하고 있다는 지표는 이전부터 나온 바 있다. 올해만 해도 시스코의 탈로스(Talos) 팀이 미군, 미국 주 정부 기관, 연방 정부 기관 등을 겨냥한 공격에 이모텟이 사용되고 있다는 경고성 보고서를 발표했었다. 또 다른 보안 업체 코펜스(Cofense)는 UN 공격에 이모텟이 사용되었다고 발표하기도 했다.

마임캐스트는 “최근 발생한 사이버 공격의 거의 모든 사례에서 이모텟을 발견할 수 있을 정도”라고 보고서를 통해 주장했다. “이모텟은 구독 형태로 제공되는 멀웨어 서비스로, 사이버 범죄자들이 마음만 먹으면 얼마든지 활용 가능합니다. 기능성과 접근성 모두를 잡은 멀웨어라고 할 수 있죠.”

흥미로운 건 이모텟 운영자들이 ‘파일레스(fileless) 멀웨어 체제에서 돌아섰다’는 것이다. “처음에는 파일레스 형태로 이모텟을 운영하려는 경향이 있었어요. 하지만 곧 첨부파일 방식으로 돌아오더군요. 물론 이것이 영구적인 변화는 아니겠지요. 앞으로도 전략은 계속해서 바뀔 겁니다. 파일레스로 다시 돌아설지도 몰라요. 중요한 건 이 과정에서 공격자들의 실력이 향상되고 있다는 겁니다.” 마임캐스트의 부회장인 조시 더글라스(Josh Douglas)의 설명이다.

현재 이모텟을 활용한 사이버 공격 캠페인에는 대부분 랜섬웨어가 연루되어 있다는 특징도 발견됐다. 사이버 공격자들 사이에서 랜섬웨어를 통한 수익 창출이 높은 인기를 구가하고 있으며, 랜섬웨어를 보다 효과적으로 배포하는 데에 이모텟이 고려되고 있다는 뜻이라고 마임캐스트는 분석한다.

“또한 지난 4사분기 동안에는 이모텟이 압축파일 형태로 많이 퍼졌습니다. 그런 와중에 .doc와 .docx 파일 형태가 증가하고 있다는 것도 눈여겨봐야 할 현상입니다. 압축파일은 다양한 멀웨어를 숨겨둘 수 있는 방법이고, 파일 이름까지도 정상적으로 보이도록 조작할 수 있어 당분간 공격자들이 계속해서 활용할 것으로 예상합니다.”

이모텟이 늘어난 것과 동시에 스팸 활동도 크게 증가했다고 마임캐스트는 짚었다. “스팸은 네 가지 주요 위협 중 하나입니다. 네 가지 위협이란 스팸, 신원 위장 공격, 기회성 공격, 표적형 공격입니다. 그 중 스팸은 법률 기관, 소프트웨어 업체, 은행을 상대로 한 공격에 주로 사용되는 편이었습니다. 아마 이 현상은 한 동안 지속되리라 생각합니다.”

공격의 지속 시간이 짧아졌다는 것도 특이한 점이다. “어떤 캠페인은 하루나 이틀 정도만 지속되는 경우도 있었어요. 여태까지 캠페인은 수일 동안 지속되는 게 보통이었거든요. 이런 현상이 나타나는 건 표적 공격이 점점 늘어나고 있기 때문에 나타나는 거라고 봅니다. 고도로 표적화 된 공격은 필요한 행위만 깔끔하게 수행하는 경우가 많기 때문에, 오래 머물러 있을 필요가 없는 겁니다.”

‘깔끔하게’, ‘짧은 시일 안에’ 치고 빠지려면 공격이 단순하고 담백해야 한다. 마임캐스트는 실제로 “사이버 공격이 단순해지고 있다”고 말한다. “다만 볼륨은 커지고 있어요. 단순한 공격이 증폭하고 있다는 것인데요, 이는 공격 경험이 많이 없는 자들이 사이버 캠페인을 벌이고 있다는 뜻입니다. 공격을 쉽게 해주는 각종 서비스나 키트를 통해 부족한 실력을 메우고 공격을 실시하는 것이죠. 그러니 양은 늘어나고, 공격 자체는 단순해지는 것이기도 합니다.”

3줄 요약
1. 이모텟 통해 랜섬웨어 퍼트리는 공격 크게 늘어나고 있음.
2. 압축파일, .doc, .docx 파일 형태로 퍼지고 있는 것이 현재 추세.
3. 스팸 공격이 늘어나고 있다는 것도 주의해야 할 부분.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)