[보안뉴스 문가용 기자] 기업의 이메일 계정과 메일함은 사이버 범죄자들이 가장 열심히 공격하는 표적 중 하나다. 그에 따라 이메일을 보호하는 방어 도구들의 기능도 강력해지고 있다. 당연하게도 공격자들 역시 강화된 방어막을 뚫기 위해 새로운 기술과 전략을 동원하기 시작했다.
[이미지 = utoimage]
최근 새로운 공격 방식을 동원해 메일함을 적극 피격하고 있는 건 랜섬웨어 공격자들이다. 보안 업체 프루프포인트(Proofpoint)에 의하면 이들은 “뱅킹 트로이목마 공격자들과 같은 다른 유형의 사이버 범죄 조직들을 활용하여 랜섬웨어를 퍼트리는 전략을 구하고 있다”고 한다. 즉 침투로를 뚫어놓는 것까지만 완료하고, 그 침투로 자체를 판매하는 범죄 서비스와 협력하기 시작했다는 것이다.
프루프포인트는 2013년부터 현재까지 수집된 사이버 공격 관련 데이터를 분석함으로써 공격자들의 트렌드가 어떤 식으로 변했는지를 파악했다. 특히 이메일을 통해 접근을 시도하는 유형의 공격들이 주요 분석 대상이었다. 그 결과 2015년 이전에는 랜섬웨어 공격자들이 직접 피해자들의 이메일로 악성 페이로드를 전송하는 일이 꾸준히 있어 왔음을 알게 되었다고 한다. 록키(Locky)라는 랜섬웨어를 운영하던 자들의 경우 이 시점에 하루 100만 통의 악성 메일을 보내기도 했다.
그러다가 2018년부터 이런 공격 방식이 급감하기 시작했다. 공격자들은 악성 이메일을 가지고 페이로드를 보내는 것이 아니라 다른 전략들을 실험하거나 차용하기 시작했다. 수상한 이메일을 탐지하는 기술이 발전했고, 따라서 랜섬웨어 복구 비용을 내는 피해자들이 줄어들기 시작했기 때문이다. 그러면서 수동형 랜섬웨어와 웜 방식으로 퍼져가는 랜섬웨어가 대두되기 시작했다. 인간 운영자가 맞춤형으로 공격을 진행하거나, 자가 증식하는 기능을 가진 페이로드가 사용되기 시작했다는 뜻이다.
“2018년 정도부터는 기업들이 단일 시스템으로 들어오는 랜섬웨어 공격은 쉽게 막기 시작했습니다. 해당 장비를 도난당한 것으로 취급하며 정상적인 활동을 이어가면 된다는 걸 터득한 것이죠.” 프루프포인트의 위협 분석 국장인 셰럿 드그리포(Sherrod DeGrippo)의 설명이다. “이 때문에 랜섬웨어 공격자들은 이전처럼 쉽게 돈을 뜯어낼 수 없게 되었습니다. 그래서 머리를 굴렸죠. 직접 페이로드를 유포하는 게 아니라 다운로더와 같은 멀웨어로 먼저 감염시켜서 정교하게 피해 조직을 정찰하고, 그에 맞춰서 피해를 최대화 하는 방향으로 선회했습니다.”
현재 이메일을 통해 직접 랜섬웨어 페이로드가 전파되는 사례는 극히 드물다. 있다 해도 현대의 보안 솔루션들은 이를 대부분 잡아낸다. “이런 오래된 방식으로 유포되는 랜섬웨어는 2020년과 2021년 현재까지 딱 한 개의 종류만 발견되었을 뿐입니다.”
랜섬웨어가 모습을 감춘 이메일함에서 가장 많은 부분을 차지하고 있는 멀웨어는 뱅킹 트로이목마다. 2021년 전반기 기준, 이메일함에서 발견되는 멀웨어의 20%가 뱅킹 트로이목마였다고 한다. 그리고 이 뱅킹 트로이목마 유포자들 중 상당수가 랜섬웨어 운영자들과 협력 관계를 맺고 있는 것으로 나타났다. 프루프포인트가 찾아낸 것만 해도 10개가 넘는 뱅킹 트로이목마 그룹이 랜섬웨어 그룹과 연결되어 있었다.
이런 류의 멀웨어들 중 가장 악명을 높이고 있는 것은 이모텟(Emotet)이었다. 2018년부터 2020년 사이에 가장 많은 랜섬웨어 사건을 일으킨 장본인이었다. 하지만 올해 초 국제 공조로 크게 타격을 입은 후 왕좌에서 물러났다. 그러자 그 빈 자리를 차지하기 위해 트릭봇(TrickBot), 드리덱스(Dridex), 큐봇(Qbot), 아이스드아이디(IcedID), 지로더(ZLoader), 어즈니프(Ursnift) 등이 경쟁을 벌이기 시작했다. 이들 모두 최초 감염을 성공시킨 뒤 랜섬웨어 페이로드를 2차, 3차로 피해자의 네트워크에 심는다.
그 외에 전통적인 다운로더형 멀웨어를 활용한 랜섬웨어 공격도 심상치 않게 증가 중에 있다. 지난 6개월 동안 약 300개의 다운로더를 통해 600만 개의 악성 메시지들이 유포됐다고 한다. 특히 부어 로더(Buer Loader)와 바자로더(BazaLoader)가 눈에 띄어 프루프포인트가 추적 중에 있다. 부어를 통해 퍼지는 대표적인 랜섬웨어로는 콘티(Conti)가 있다. 소디노키비(Sodinokibi)와 메이즈(Maze)의 경우 아이스드아이디(IcedID)라는 다운로더와 자주 엮이는 모습을 보여준다.
3줄 요약
1. 랜섬웨어 공격자들, 예전에는 이메일로 페이로드를 직접 유포.
2. 그러자 이메일 방어 솔루션들이 강화됨.
3. 그러자 랜섬웨어 공격자들은 뱅킹 트로이목마와 다운로더로 먼저 침투한 다음 랜섬웨어를 퍼트리는 방식으로 접근.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>