이미지 및 동영상 파일을 통해 사용자의 클릭을 유도
클릭 후에는 멀웨어가 설치되고 추가 범죄 행위 시작

[보안뉴스 문가용] 이번 블랙햇에는 멀웨어나 취약점에 대한 강연도 굉장히 많다. 새롭게 발견된, 아무도 모르는 정보도 있지만 한참 전에 발견된 멀웨어 및 취약점에 대한 강연도 상당수 존재한다. 둘의 공통점은 바로 아직까지 마땅한 해결책이 없다는 것이다. 델 시큐어웍스가 발표하는 ‘러크’ 멀웨어도 이런 ‘늙었어도 여전히 위험한’ 부류에 속한다.
 

 ▲ 멋진 풍경이지? 클릭해, 어서!

자사 고객의 사이트에서 발생한 보안 사고를 조사하던 델 시큐어웍스(Dell SecureWorks)는 러크(Lurk)란 멀웨어를 발견했다. 이 러크는 사용자의 클릭을 유도하는 가짜 이미지 파일을 통해 퍼진다는 것도 이 조사를 통해 알아냈다. 이런 식의 숨김 기술을 스테가노그래피라고 하는데, 주로 특정 대상을 노린 타깃형 공격에 활용되지 대단위 멀웨어 배포에는 적합하지 않다. 러크는 그래서 특이한 경우에 속했다.

러크 사건에서 공격자들은 1년이 안 되는 기간 동안 35만 명의 희생자를 발생시켰으며 25만 달러의 손해를 입혔다. 스테가노그래피를 활용한 공격은 멀웨어 감지 툴이나 방어 소프트웨어로 어떻게 할 수가 없다. 그래서 이미지 파일 등에 악성 코드가 숨겨져 있다면 눈 뜨고 당할 수밖에 없는 것이다. “방법 자체가 어려운 건 아닌데 감지가 너무 힘들어서 문제입니다.” 델 시큐어웍스 측의 설명이다.

러크가 세상에 알려진 게 올해 초의 일이다. 당시에는 어도비 플래시에서 발견된 취약점을 거친 웹 사이트의 아이프레임을 통해 멀웨어가 퍼진 것으로 보고가 되었다. 이런 식으로 감염된 사이트 중에는 이하우(eHow)와 리브스트롱(Livestrong) 등이 있었다. 그렇기 때문에 이 공격이 성공하려면 사용자의 플래시 버전에 취약점이 있어야 한다. 그 취약점을 건드리면 사용자 시스템에서 가짜 이미지 파일을 다운로드하며, 이 이미지 파일에는 두 번째 멀웨어를 다운로드시키기 위한 URL 정보가 있는 것이다.

“스테가노그래피 공격이 빠르게 늘어나고 있습니다. 제우스의 변종인 킨스(KINS) 역시 非디지털 스테가노그래피 파일을 활용해 이미지 파일에 커맨드를 전달하거나 설정 파일을 첨부하는 기능을 가졌죠.” 러크 멀웨어에는 제우스와는 달리 디지털 스테가노그래피가 활용됐고 제우스보다 감지가 훨씬 어려웠다. 그렇기 때문에 아직도 인터넷 상에서 활발히 돌아다니고 있다.

스테가노그래피 기술을 접목한 멀웨어에 대항한 대처법은 아직 ‘예방’ 뿐이다. “아예 처음부터 감염되지 않는 수밖에 없습니다. 소프트웨어 업데이트를 주기적으로 하시고 암호를 자주 바꾸세요.” 안 그래도 위협적인 멀웨어인데, 이게 또 어떤 식으로 더 발전할지 모르니 보안의 기본을 잘 지키는 게 최상의 방법이다.

델 시큐어웍스는 이번 블랙햇 행사와 자신들의 웹 사이트를 통해 러크에 대한 기술적인 내용을 상세히 전달했다.
(http://www.secureworks.com/cyber-threat-intelligence/threats/malware-analysis-of-the-lurk-downloader/?view=Standard)
ⓒDARKReading

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>