일본, 언어의 장벽 때문에 사이버 공격으로부터 자유로워
유럽을 돌다 온 로브닉스, 언어 차이 무시하고 일본 은행 14개 공격
[보안뉴스 문가용] 일본의 은행들을 여태껏 트로이목마나 각종 멀웨어로부터 보호한 건(물론 100%는 아니지만) 언어의 장벽이다. 특별히 최근 유행하고 있는 지속적인 공격을 하려면 반드시 일본어에 대한 이해가 필요했다. 그런데 얼마 전부터 해커들이 일본어 공부라도 했다는 듯이 일본의 금융기관이 사이버 공격을 받기 시작했다.
.jpg)
그중 가장 최근에 발견된 멀웨어는 로브닉스(Rovnix)다. 굉장히 고급형 멀웨어 툴로 일본의 메이저 은행 14곳의 고객들을 겨냥하여 활동하고 있다.
IBM의 엑스포스(X-Force)팀 보안 전문가들은 지난 몇 달 간 로브닉스 멀웨어를 추적해왔으며 지난 주에는 “앞으로도 지속적이고 큰 피해를 일으키기에 부족함이 없는” 것으로 묘사하기에 이르렀다. 해당 멀웨어의 공격은 12월 초부터 시작된 것으로 알려졌으며 보통 로브닉스 다운로더가 첨부된 이메일의 형태로 표적을 공격한다고 한다. 이 첨부파일은 보통 국제적인 운송 및 교통회사의 영수증 따위로 위장되어 있다.
최근까지 로브닉스의 사용자들은 주로 유럽의 은행들을 노렸다. 아무래도 위장된 문서가 첨부된 이메일로 공격을 하려면 영어를 비롯한 여러 유럽 언어들이 용이했기 때문이다. 하지만 어찌 된 일인지 이 공격자들은 일본으로 표적을 바꿨다. IBM의 전문가들에 의하면 로브닉스 공격이 일본으로 표적을 바꾼 게 그저 메일 주소만 바꾼 게 아니라 ‘일본 은행 고객’들을 위한 맞춤형으로 수정되었다고 한다. 그것도 14개 은행에 따라 다르게 말이다.
로브닉스는 웹 인젝션 기법을 사용해 표적이 된 은행의 웹 페이지를 거의 100% 똑같이 복제해낸다. 감염된 시스템에 사용자가 접속하면 정식 은행 웹 페이지가 아니라 이 가짜 페이지를 화면에 띄우도록 되어 있다. 그렇게 해서 인증에 필요한 ID와 암호를 알아낸다.
그것뿐이 아니다. 로브닉스는 사용자가 계정에 접속하기 위해 다른 인증 과정을 거친다고 해도, 그것에 완벽하게 맞출 수 있다. 예를 들면 사용자가 스마트폰에 악성 안드로이드 앱을 설치하도록 유도해 인증 코드를 받아내는 것도 로브닉스가 사용하는 한 방법이다.
하지만 정말 놀라운 건 일본어 구사력이다. “가짜 이메일 메시지의 일본어는 현지 일본인들이 속을 정도로 완벽합니다. 게다가 은행별로 맞춤형 공격이 들어가고 있는데요, 이 역시 일본어와 일본에 대한 놀라운 지식이 뒷받침되고 있음을 나타내죠.” 작년 여름부터 일본에 대한 사이버 공격이 부쩍 증가했는데, 그 때문에 가장 큰 타격을 입고 있는 건 금융가다. 작년에 두각을 나타냈던 멀웨어에는 쉬푸(Shifu)와 추쿠바(Tsukuba)가 있다.
IBM의 수석 사이버보안 전략가인 이테이 마오르(Etay Maor)는 다른 나라의 조직들도 로브닉스에 주목할 필요가 있다고 강조한다. 해커들이 언어의 장벽을 넘어선 첫 번째 징조로 보이기 때문이다. “해커들이 공격을 성공시키기 위해 얼마나 많은 노력을 기울이는지 알 수 있습니다. 수단과 방법을 가리지 않아요. 이제 언어 장벽도 깼으니까, 못 할 게 사실 없습니다. 이제 어느 나라든 모든 공격의 가능성이 더 활짝 열리게 된 것입니다.”
뭐가 이토록 해커들을 강력하게 이끄는 것일까? 바로 수익에 대한 기대다. “유럽 은행에서 해먹을 만큼 해먹었다 이거죠. 그래서 관심을 일본으로 바꾼 것이고요. 일본에서 제대로 한탕 했다면 앞으로 어떤 나라로 이동할지 모릅니다. 은행이 있고 돈이 있는 곳이면 다 잠재적으로 표적이 될 가능성을 가지고 있습니다.”
멀웨어의 기능이 발전한다는 사실 자체도 무시할 수 없다. 로브닉스만 하더라도 여러 보안 툴들을 우회하고 무시할 정도로 강력했다. “보안이 발전하는 만큼 우회 기술도 발전하고 있는 것이죠. 또한 작년에 멀웨어의 모듈화가 충격이 되었던 것이 불과 작년인데, 이제 그런 모듈화도 평범한 기술이 되어버린 듯 합니다. 로브닉스도 모듈화되어 있어요. 그러니 유연한 맞춤형 공격이 가능한 것이죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
유럽을 돌다 온 로브닉스, 언어 차이 무시하고 일본 은행 14개 공격
[보안뉴스 문가용] 일본의 은행들을 여태껏 트로이목마나 각종 멀웨어로부터 보호한 건(물론 100%는 아니지만) 언어의 장벽이다. 특별히 최근 유행하고 있는 지속적인 공격을 하려면 반드시 일본어에 대한 이해가 필요했다. 그런데 얼마 전부터 해커들이 일본어 공부라도 했다는 듯이 일본의 금융기관이 사이버 공격을 받기 시작했다.
그중 가장 최근에 발견된 멀웨어는 로브닉스(Rovnix)다. 굉장히 고급형 멀웨어 툴로 일본의 메이저 은행 14곳의 고객들을 겨냥하여 활동하고 있다.
IBM의 엑스포스(X-Force)팀 보안 전문가들은 지난 몇 달 간 로브닉스 멀웨어를 추적해왔으며 지난 주에는 “앞으로도 지속적이고 큰 피해를 일으키기에 부족함이 없는” 것으로 묘사하기에 이르렀다. 해당 멀웨어의 공격은 12월 초부터 시작된 것으로 알려졌으며 보통 로브닉스 다운로더가 첨부된 이메일의 형태로 표적을 공격한다고 한다. 이 첨부파일은 보통 국제적인 운송 및 교통회사의 영수증 따위로 위장되어 있다.
최근까지 로브닉스의 사용자들은 주로 유럽의 은행들을 노렸다. 아무래도 위장된 문서가 첨부된 이메일로 공격을 하려면 영어를 비롯한 여러 유럽 언어들이 용이했기 때문이다. 하지만 어찌 된 일인지 이 공격자들은 일본으로 표적을 바꿨다. IBM의 전문가들에 의하면 로브닉스 공격이 일본으로 표적을 바꾼 게 그저 메일 주소만 바꾼 게 아니라 ‘일본 은행 고객’들을 위한 맞춤형으로 수정되었다고 한다. 그것도 14개 은행에 따라 다르게 말이다.
로브닉스는 웹 인젝션 기법을 사용해 표적이 된 은행의 웹 페이지를 거의 100% 똑같이 복제해낸다. 감염된 시스템에 사용자가 접속하면 정식 은행 웹 페이지가 아니라 이 가짜 페이지를 화면에 띄우도록 되어 있다. 그렇게 해서 인증에 필요한 ID와 암호를 알아낸다.
그것뿐이 아니다. 로브닉스는 사용자가 계정에 접속하기 위해 다른 인증 과정을 거친다고 해도, 그것에 완벽하게 맞출 수 있다. 예를 들면 사용자가 스마트폰에 악성 안드로이드 앱을 설치하도록 유도해 인증 코드를 받아내는 것도 로브닉스가 사용하는 한 방법이다.
하지만 정말 놀라운 건 일본어 구사력이다. “가짜 이메일 메시지의 일본어는 현지 일본인들이 속을 정도로 완벽합니다. 게다가 은행별로 맞춤형 공격이 들어가고 있는데요, 이 역시 일본어와 일본에 대한 놀라운 지식이 뒷받침되고 있음을 나타내죠.” 작년 여름부터 일본에 대한 사이버 공격이 부쩍 증가했는데, 그 때문에 가장 큰 타격을 입고 있는 건 금융가다. 작년에 두각을 나타냈던 멀웨어에는 쉬푸(Shifu)와 추쿠바(Tsukuba)가 있다.
IBM의 수석 사이버보안 전략가인 이테이 마오르(Etay Maor)는 다른 나라의 조직들도 로브닉스에 주목할 필요가 있다고 강조한다. 해커들이 언어의 장벽을 넘어선 첫 번째 징조로 보이기 때문이다. “해커들이 공격을 성공시키기 위해 얼마나 많은 노력을 기울이는지 알 수 있습니다. 수단과 방법을 가리지 않아요. 이제 언어 장벽도 깼으니까, 못 할 게 사실 없습니다. 이제 어느 나라든 모든 공격의 가능성이 더 활짝 열리게 된 것입니다.”
뭐가 이토록 해커들을 강력하게 이끄는 것일까? 바로 수익에 대한 기대다. “유럽 은행에서 해먹을 만큼 해먹었다 이거죠. 그래서 관심을 일본으로 바꾼 것이고요. 일본에서 제대로 한탕 했다면 앞으로 어떤 나라로 이동할지 모릅니다. 은행이 있고 돈이 있는 곳이면 다 잠재적으로 표적이 될 가능성을 가지고 있습니다.”
멀웨어의 기능이 발전한다는 사실 자체도 무시할 수 없다. 로브닉스만 하더라도 여러 보안 툴들을 우회하고 무시할 정도로 강력했다. “보안이 발전하는 만큼 우회 기술도 발전하고 있는 것이죠. 또한 작년에 멀웨어의 모듈화가 충격이 되었던 것이 불과 작년인데, 이제 그런 모듈화도 평범한 기술이 되어버린 듯 합니다. 로브닉스도 모듈화되어 있어요. 그러니 유연한 맞춤형 공격이 가능한 것이죠.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
