여러 복합적인 기능에 하루 8시간 사용자 지원 서비스까지
멀웨어 시장 경쟁 치열... 서비스형 멀웨어 출몰 빈번해지고 있어

[보안뉴스 문가용] 금융 기관에 다시금 제우스의 악몽이 시작될 것 같은 분위기다. 덴마크의 보안업체인 헤임달 시큐리티(Heimdal Security)의 연구원이 금융 기관들을 대상으로 대규모 사이버 공격을 가능하게 하는 스카일렉스(Scylex) 멀웨어를 암시장에서 발견했기 때문이다.



해당 멀웨어가 발견된 곳은 멀웨어가 주로 거래되는 포럼인 람페두자(Lampeduza)로, 여기에 실린 스카일렉스에 관한 내용을 살펴보면 1) 사용자 모드 루트 킷, 2) 웹 주입, 3) 보안 소켓 리버스 프록시 등의 기능이 가능하다고 한다. 이를 발견한 안드라 자하리아(Andra Zaharia) 보안 연구원은 “아직 실제로 사용된 예는 발견할 수 없었다”라고 설명했다.

현재 이 킷의 가격은 7500 달러라고 한다. 여기에 2천 달러를 추가하면 기능이 강화된 버전의 멀웨어를 살 수 있다. 프록시를 통해 사용자 PC와 악성 서버 간 데이터를 전송할 때 보안 소켓 호환 등의 기능이 여기에 포함된다. 1만 달러짜리 프리미엄 패키지 상품도 있다. 여기에는 HVNC(hidden virtual network computing, 비밀 가상 네트워크 컴퓨팅)이라는 모듈이 덧입혀진다.

HVNC란 은행을 겨냥하는 트로이목마류 멀웨어 제작자들이라면 늘 구현하고 싶은 기능으로, 공격자들이 원격에서 피해자의 컴퓨터를 조정해 은행 계좌로 소리 소문 없이 접속할 수 있을 정도로까지 높은 장악력을 보여준다.

해당 멀웨어 가격은 최초의 구매에만 국한되지 않는다. 구매자에게 하루에 8시간까지 지원이 들어가며 소프트웨어 업데이트도 약속된다. 게다가 현재 새로이 개발되고 있는 제품에는 소셜 네트워크나 디도스 모듈, 리버스 FTP 기능까지 포함될 예정이라고 한다.

“이런 멀웨어가 등장하고 있는 걸 보건데, 사이버 범죄자들이 금융 기관을 타격하기 위해 준비를 하고 있는 것으로 보입니다. 그것도 대단위 규모로 말이죠. 아마도 몇 년 전 등장했던 제우스 게임오버(Zeus GameOver)의 악몽을 다시 한 번 구현하려고 하는 것 같습니다.”

제우스라고 불리는 종류의 멀웨어 패밀리는 2007년경 처음 등장했으며 수천 만대의 컴퓨터를 감염시켜 수천만 달러를 전 세계 은행으로부터 빼돌린 것으로 알려져 있다. 제우스 운영자들은 약 5년 전 갑자기 도난 행위를 중단, 소스코드를 무료로 공개했다. 그때부터 제우스의 카피캣들이 등장해 대대적인 금융권 공격이 이루어진 바 있다.

그러나 스카일렉스의 저자들은 “제우스 코드와는 완전히 별개의 것”이라고 강조하고 있다. “C++를 사용해 99% 백지에서 직접 제작한 멀웨어”라는 문구가 스카일렉스 광고에 등장한다. 헤임달 시큐리티는 “제우스나 시타델(Citadel) 등의 뒤를 잇겠다는 건, 그 영향력을 말하는 것”이라며 “악명 높은 멀웨어들이 갑자기 사라진 자리에서 새로운 시장을 확보하겠다는 의도”로 해석하고 있다.

현재까지의 분석에 의하면 스카일렉스 멀웨어는 어느 정도 해킹 기술을 가진 사람에게 적합한 것으로 보인다. 다만 스카일렉스 판매자들은 “누구나 사용이 가능”하다는 점을 강조하고 있다. “그건 아무래도 사용자에게 일정 시간 지원을 해주는 시스템까지도 같이 판매하고 있기 때문일 겁니다. 요즘 이런 멀웨어들이 많이 등장해요. 대신 공격을 해주거나, 사용할 때마다 혹은 월단위로 정액제를 내는 식의 서비스로서 제공되죠. 스카일렉스도 그런 최근 암시장 트렌드가 반영된 채로 판매되고 있습니다.”

이런 형태의 멀웨어를 서비스형 멀웨어 혹은 MaaS(malware as a service)라고 부른다. “멀웨어가 너무 흔하다보니까 시장에서 살아남으려면 독특한 서비스를 추가해야 했죠. 그 중 하나가 MaaS고요. 멀웨어 시장도 경쟁이 치열합니다. 다음으로 어떤 형태의 제품이 등장할지도 궁금해집니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>