멀웨어이 고급화 수준 뛰어나...대형 범죄 조직이 만든 것으로 보여
[보안뉴스 문가용 기자] 아이스픽-3PC(ICEPick-3PC)라는 멀웨어가 새롭게 등장했다. 기기의 IP 주소를 대량으로 수집하는 기능을 가졌으며, 최소 2018년 봄부터 활동을 벌여온 것으로 추정된다.
[이미지 = iclickart]
아이스픽-3PC는 공격자가 먼저 클라이언트 플랫폼에 미리 로딩되는 웹사이트의 서드파티 툴을 하이재킹 한 후에 실행된다. 주로 HTML5를 통한 애니메이션 등 인터랙티브 웹 콘텐츠를 로딩하는 데 사용되는 툴들이 주요 대상이 된다. 이를 발견한 건 보안 업체 더 미디어 트러스터(The Media Trust)로, 1월 9일자 블로그를 통해 아이스픽-3PC에 대해 알렸다.
이런 감염 기법 때문에 더 미디어 트러스트의 보안 전문가들은 권고 사항을 온라인 광고 에이전시나 마케터들에게 전달하고 있다. “매니지드 서비스에서 셀프서비스 플랫폼으로 옮기는 부분에 대해 생각을 다시 한 번 해주시기 바랍니다.”
이렇게 아이스픽-3PC 공격자들이 침해한 서드파티 라이브러리가 탑재된 웹사이트를 사용자가 방문하면, 아이스픽-3PC가 사용자의 기기를 여러 가지 측면에서 검사하기 시작한다. 먼저는 사용자 에이전트, 기기 유형, 모바일 OS, 현재 배터리 양, 기기의 움직임과 방향을 검사하며, 멀웨어 스캐너 유무도 확인된다.
전부 확인을 마치고 별 다른 이상이 없는 것으로 보이면, 아이스픽은 RTC 피어 연결을 설정한다. 감염된 기기와 원격 피어를 이어주는 것이다. 이 단계가 성공하면 기기의 IP 주소를 공격자에게 전송한다.
현재까지 아이스픽-3PC에 당한 건 꽤 유명한 출판사 몇 곳과 도소매 산업 내에서 어느 정도 인지도가 있는 온라인 쇼핑몰, 의료 건강 서비스 업체 등이다. 그 외 다른 산업에서도 피해자가 늘어나고 있는 추세다.
더 미디어 트러스트는 “아이스픽이 안드로이드 기기들을 노리는 것으로 보인다”고 설명한다. “멀웨어의 고급화 수준이나 뛰어난 기능들을 볼 때 조직화 된 사이버 범죄 단체에서 투자를 감행해서 개발한 것으로 의심됩니다. 만약 그렇다면 유명 조직과 업체들로부터 공격이 이미 시작됐다는 게 불길한 전조가 될 수 있습니다. 앞으로 더 거대한 공격이 몰려올 것으로 보입니다.”
아이스픽이 처음 발견된 건 월마트나 아마존 상품권을 흉내 낸 피싱 메일 및 스팸 메일에 활용되면서다. 공격자들은 다수의 일반 사용자들에게 “월마트나 아마존 상품권에 당첨되었다”며, “몇 가지 정보를 입력하면 곧바로 사용이 가능하다”고 유혹했다. 당연히 여기서 말하는 몇 가지 정보란 개인정보였다.
그 후 아이스픽은 보다 나은 스텔스 기능과 공격 지속성 기능을 탑재했다. 공격자들은 이를 통해 더 다양한 공격을 실시하고 수익을 높일 수 있었다고 한다.
사이트가 아이스픽에 감염되는 걸 방지하려면 제일 먼저 인터랙티브한 광고를 삽입할 때 꼼꼼하게 점검해야 한다고 권장한다. “광고 요소는 물론 웹사이트 내 모든 페이지들을 주기적으로 스캔할 필요가 있습니다. 그래서 허가되지 않은 코드 혹은 출처가 분명하지 않은 코드가 있는지 확인하는 것입니다. 현재는 출판 및 도소매 업계에 공격이 집중되어 있으니, 해당 산업군의 보안 담당자들 특히 조심해야 할 것입니다.”
3줄 요약
1. 아이스픽-3PC, 출판 및 도소매 업계에서 활동하는 멀웨어로 IP 주소 수집 중.
2. 사이버 범죄 단체가 조직적으로 개발한 툴일 가능성 높음. 따라서 더 큰 공격 있을 것.
3. 광고 에이전시 등 인터랙티브한 콘텐츠와 툴 자주 사용한다면 특히 조심해야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>