[보안뉴스 문가용 기자] 다크웹에서 새로운 범죄 서비스가 발견됐다. 악성 마이크로소프트 워드 문서를 제작해 주는 것으로, 공격자들이 여전히 오피스 소프트웨어의 매크로를 적극 활용하고 있다는 사실을 보여준다. 보안 업체 인텔471(Intel471)이 이러한 사실에 대한 보고서를 발표했다.
[이미지 = pixabay]
이 서비스의 이름은 에터사일런트(EtterSilent)로, 사이버 범죄자들 사이에서 꽤나 빠르게 인기를 높여가고 있다. 이들이 제작하는 악성 문서는 도큐사인(DocuSign) 문서인 것처럼 보이지만, 악성 매크로를 내포하고 있거나 이미 공개된 취약점에 대한 익스플로잇이 감춰져 있다. 피해자가 매크로를 활성화시키고 있거나 특정 취약점 패치를 하지 않은 상황이라면 이런 공격에 속수무책으로 당할 수밖에 없다.
다행인 점은 많은 조직들에서 매크로를 금지시키고 있다는 것이다. 마이크로소프트도 디폴트 설정을 통해 매크로를 제한하고 있다. 매크로 기능을 사용하려면 여러 가지 제한 사항을 뛰어넘어야 하는 게 현재의 일반적인 사무 환경이다. 하지만 매크로 사용자가 적은 것은 절대 아니라고 인텔471의 CISO인 브랜든 호프만(Brandon Hoffman)은 설명한다.
“결국 숫자 놀음이에요. 만약 제가 이런 악성 문서를 사서 1만 곳에 뿌렸다고 했을 때, 100명만 걸려들어도 저는 성공했다고 생각할 겁니다. 게다가 그 100명 중에 대기업 직원이 있다? 완벽한 성공이죠. 그러니 매크로 사용이 점점 제한되더라도 공격자들은 악성 매크로를 계속해서 연구하고 유포하는 겁니다. 100명 중 한 명만 걸려도 되거든요.”
악성 매크로가 다양한 피해 사례를 만들기 시작한 건 이미 20년도 넘게 지속되어 온 일이다. 1999년 악명을 떨쳤던 이메일 바이러스인 멜리사(Melissa)의 경우, 매크로가 심긴 워드 문서를 통해 시스템들을 감염시키고 피해자의 주소록 정보를 빼돌렸었다. 작년만 해도 엑셀 4.0 매크로를 활용한 공격으로 악성 스크립트를 실행시킨 공격이 발견된 바 있다. 악성 매크로는 윈도 시스템만이 아니라 맥 시스템에도 충분한 위협이 된다.
매크로가 오랜 기간 동안 위험 요소로서 작용하는 건 사용자들이 매크로를 쉽게 활성화시킬 수 있기 때문이다. “악성 문서를 피해자들이 열었을 때 ‘매크로를 활성화 하겠는가’라는 팝업이 뜨면 ‘확인’을 누르기만 하면 됩니다. 또한 문서가 충분히 진짜처럼 보이기만 하면 사용자들은 별 저항없이 문서를 열기도 하죠.”
이런 상황에서 에터사일런트가 범죄자들 사이에서 입소문이 나기 시작했다는 건 꽤나 심각한 일이라고 인텔471은 주장한다. 악성 매크로를 통해 기업들을 노리는 공격에 대해 경계해야 할 것이라는 경고도 덧붙였다. “에터사일런트의 고객들은 쉽게 매크로가 덧붙은 악성 문서를 제작할 수 있게 됩니다. 여기에다가 추가 옵션을 구입하면 워드 취약점 익스플로잇도 포함시킬 수 있습니다.”
또 시그니처 기반 탐지 기술을 회피할 수 있도록 다양한 변종 제작도 가능하다는 것도 걱정되는 부분 중 하나다. 현재 바이러스토탈(VirusTotal)에 에터사일런트가 만든 문서를 업로드 하면 악성으로 분류되는 경우가 희박할 정도다. “성능이 좋은 에터사일런트 서비스인데, 저렴하기까지 합니다. 입소문이 나는 데에는 이유가 있죠.”
현재까지 인텔471이 찾아낸 악성 문서들은 트릭봇(TrickBot), 복봇(Bok Bot), 고지(Gozi), 큐봇(QBot) 등을 통해 유포되고 있었다고 한다. “에터사일런트 서비스는 사이버 범죄 산업 내에서 해킹 도구 및 공격 도구라는 것이 얼마나 흔하고 쉽게 거래되는지를 보여주기도 합니다. 일종의 시장 경제가 완전히 정착했다고 볼 수 있습니다. 모든 걸 다 할 수 없는 자들이라도 나름의 장기와 특장점을 살리기에 좋은 환경이 되어 가고 있다는 뜻이고, 따라서 사이버 범죄는 더욱 활성화 될 것입니다.”
3줄 요약
1. 악성 매크로가 포함된 워드 문서 만들어 주는 서비스, 다크웹에 새로 생김.
2. 바이러스토탈에서 탐지 못할 정도로 정교하고 효과도 좋으면서 가격도 저렴함.
3. 누구나 자기 재능 발휘할 수 있는 환경으로 조성되어 가는 다크웹의 범죄 시장.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>