VPN필터 경계해야...사물인터넷 멀웨어 시대의 포문 연 공격
[보안뉴스 문가용 기자] 암호화폐 채굴 공격이 안정기에 접어들었다. 그리고 랜섬웨어쪽에서는 갠드크랩(GandCrab)이 두각을 보이기 시작했다. 게다가 VPN필터(VPNFilter)라는 새로운 유형의 다용도 멀웨어가 새로운 공격의 유행을 만들 가능성을 보이고 있기도 하다. 보안 업체 멀웨어바이츠(Malwarebytes)가 2사분기를 조사해 내린 결론이다.
[이미지 = iclickart]
멀웨어바이츠는 자사 소프트웨어를 사용하는 전 세계 수백만 시스템으로부터 정보를 취합해 2사분기에 대한 보고서를 작성해 발표했는데, 제일 먼저 랜섬웨어 공격이 줄어들고 있다는 다른 전문가들의 발표에 동의하고 있다. “소비자들이 겪는 랜섬웨어 공격은 12% 줄었고, 사업체들이 겪는 랜섬웨어 공격은 35% 줄었습니다.”
그렇다고 랜섬웨어가 완전히 사라졌다는 뜻은 아니다. 갑자기 갠드크랩이라는 새로운 강자가 출현했기 때문이다. 갠드크랩은 매그니튜드(Magnitude)라는 봇넷을 통해 퍼지기 때문에 강한 확장력을 보인다. 현재 노모어랜섬(NoMoreRansom) 웹사이트에 갠드크랩의 복호화 도구가 올라와 있긴 하지만 최신 버전의 갠드크랩에도 통할지는 의문이다. 갠드크랩은 자주 업데이트가 되는 랜섬웨어다.
갠드크랩만큼 두각을 나타내진 못했지만 새롭게 나타난 랜섬웨어들도 있다. 그 중 하나는 스파르타쿠스(Spartacus)다. 아주 간단한 랜섬웨어인데, 멀웨어바이츠가 “아마추어 중 아마추어가 만든 것으로 보인다”고 설명하고 있을 정도다. “온라인 상태에서 실행되는 기능은 단 한 개도 없습니다.”
반면 최근 아틀랜타시와 핸콕 헬스(Hancock Health)를 마비시키며 화려하게 부활한 삼삼(SamSam) 랜섬웨어의 경우 정반대의 위치에 있다. “최근 삼삼 랜섬웨어는 공격 방법과 전략에 있어 큰 변화를 겪었습니다. 이 때문에 올해만 1백만 달러라는 수익을 거뒀을 정도입니다. 삼삼 랜섬웨어의 가장 큰 특징은 무작위 공격이 아니라 표적형 공격을 한다는 겁니다.”
상반기 동안 보안 전문가들 사이에서 가장 많이 나왔던 말은 아마 “암호화폐 채굴 공격이 늘어나면서 다른 사이버 공격이 줄어들었다”일 것이다. 이에 대해 멀웨어바이츠는 “지금은 안정기에 접어들었다”고 말한다. “소비자들을 대상으로 한 채굴 코드 공격은 이미 감소세를 보이고 있습니다. 산업 시설이나 기업 영역에서의 채굴 공격 역시 다음 사분기부터 줄어들 것으로 예상됩니다. 하지만 이는 암호화폐의 가치가 어떤 식으로 변하느냐에 따라 달라질 수 있습니다.” 2사분기 동안 채굴 코드의 기업 내 탐지율은 5% 올랐고, 일반 소비자의 컴퓨터나 모바일에서의 탐지율은 36% 줄었다.
이와 정 반대의 현상을 보이는 멀웨어가 있는데, 바로 애드웨어다. 애드웨어는 거의 항상 1위를 기록하는 멀웨어 유형으로, 이번 사분기 동안 소비자들 사이에서 19%나 증가했으며 기업들 사이에서는 7% 감소했다고 한다.
그러나 멀웨어바이츠는 정말 경계해야 할 건 바로 백도어라고 말한다. “백도어가 공격자들 사이에서 다시 각광받고 있습니다. 2사분기 동안 개인 시스템에서 발견된 백도어는 지난 4분기에 비해 442%나 증가했습니다. 기업의 경우는 109% 증가했고요. SMB 프로토콜의 취약점을 익스플로잇하는 기능이 확산되기 시작하면서 웜 형태로 백도어가 빠르게 퍼지게 되었습니다. 당분간 백도어 증가 추세는 이어질 것으로 전망됩니다.”
재미있는 건 백도어의 인기가 오른데 반해 스파이웨어는 크게 줄어들었다는 것이다. 일반 개인 시스템에서는 32% 증가하긴 했지만 기업 시스템에서는 41%나 그 수가 줄어들었다. “가장 많이 등장한 스파이웨어는 트릭봇(TrickBot)입니다. 스파이웨어 기능에 암호화폐 지갑을 훔치는 기능까지도 첨부되었거든요. 하지만 스파이웨어라는 멀웨어들 자체가 지금 줄어들고 있는 추세라, 3사분기에는 그 영향력이 크게 떨어질 것으로 보입니다.”
멀웨어바이츠는 VPN필터에 특히 주목하고 있다. “VPN필터는 소규모 사업장이나 일반 소비자용 라우터 및 NAS 장비를 약 50만 대 감염시킨 멀웨어입니다. FBI에 의하면 러시아 정부의 지원을 받는 팬시 베어(Fancy Bear) 혹은 APT28이란 단체가 사용한 것이기도 하고요. 아직 VPN필터가 최초 감염을 어떤 식으로 시키는지는 알려진 바가 없으나, 여러 단계를 거쳐 공격을 실시하는 것은 알려져 있습니다. 또한 정보를 수집하는 기능에 더해 데이터 파괴 기능까지도 가지고 있어, 실질적인 피해를 일으킬 수 있습니다.”
이런 모든 현상들을 종합한 멀웨어바이츠는 “사이버 범죄자 세계에 뭔가 거대한 변화가 시작되는 시기”라고 평한다. “채굴 코드 공격은 계속해서 줄어들 거라고 예상하고, 랜섬웨어는 슬슬 다시 전성기로 되돌아가려는 움직임을 보일 거라고 생각합니다. 익스플로잇 키트의 활용 또한 덩달아 올라가겠지만, 예전만큼 활발하지는 않을 거라고 봅니다. 또한 GDPR의 발효로 인해 데이터의 가치가 더 올라갔고, 따라서 데이터를 훔치는 공격이 주류로 자리 잡을 것입니다.”
그리고 멀웨어바이츠는 VPN필터의 아류들이 등장하게 된다면 상황이 매우 복잡해질 것이라고 내다본다. “많은 사람들이 사용하는 장비를 감염시켜 두고, 그것을 활용해 추가 공격을 준비한다는 개념이 범죄자들에게는 꽤나 매력적일 겁니다. 결국 VPN필터는 사물인터넷 멀웨어 공격의 장을 연 것이라고 보고 있고, 따라서 여러 아마추어 해커들이 이를 실험해보려고 할 겁니다.”
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>