2013년 사라진 블랙홀의 후계자, 2014년 중반부터 급증
암시장도 보통의 시장 원리 일부 그대로 적용돼

[보안뉴스 문가용] 최근 가장 ‘핫’한 익스플로잇 킷은 무엇일까? 영국의 보안전문 업체인 소포스(Sophos)가 최근 조사한 바에 의하면 블랙홀(Blackhole) 익스플로잇 킷의 시대가 지나고 떠오르고 있는 강자는 앵글러(Angler)라고 한다.
 


“블랙홀 익스플로잇 킷이 2013년 10월 관련자들의 체포로 사실상 멸종된 이후 다른 익스플로잇 킷들이 차례로 등장했습니다. 그리고 그쪽 시장을 서로 나눠가졌죠. 그 가운데 앵글러가 강력하게 떠오르더니 어느 덧 시장을 장악하기에 이르렀습니다.” 소포스의 수석 바이러스 연구원인 프레이저 하워드(Fraser Howard)의 설명이다.

앵글러가 처음 모습을 드러낸 건 2013년이다. 하지만 본격적으로 해커들의 입소문을 타기 시작한 건 2014년 중반에서였다. 그렇게 탄력을 받기 시작하자 2014년 9월부터 2015년 5월까지 앵글러는 23%의 시장점유율로부터 82%까지 급성장했다. 소포스는 5월 한 달 동안만 앵글러 덫이 깔린 웹 페이지를 수천 개 찾아냈다고 말했다.

그렇다면 왜 앵글러의 인기가 이렇게 급증한 것일까? 다른 익스플로잇 킷에 비해 어떤 차이가 있었을까? 앵글러는 다른 익스플로잇 킷과 마찬가지로 여러 방법을 동원해 사용자들을 감염된 사이트로 유인한다. 하지만 방법에 차이가 있다. iFrame 인젝션이라는 보편적인 방법을 사용하지 않는 것이다. 대신 도메인 생성 알고리즘과 같은 방법을 사용해 보다 은밀히 공작을 진행한다.

“도메인 생성 알고리즘을 사용하면 뭐가 좋을까요? 블랙리스트를 피해갈 수 있습니다. 호스트네임과 IP 숫자를 빠르게 바꾸기 때문이죠. 합법적인 도메인과 아주 흡사한 도메인을 가지고 있기 때문에 눈에 잘 띄지도 않습니다. 도메인 이름을 매일 바꾸면서도 스크립트 자체의 길이를 길지 않게 하기 때문에 대단히 효율적입니다.”

또한 앵글러는 모든 단계에서의 감지기술 회피 방법을 보유하고 있다. 예를 들어 콘텐츠 감지를 피하기 위해 공격 대상자에 해당하는 콘텐츠를 매번 다이내믹하게 생성하기도 한다. 여기에는 엔코딩 기술과 암호화 기술이 동원된다. 그밖에 샌드박스 기술에 대항할 수 있는 안티샌드박스라는 기능도 있다.

“지난 1년여 정도, 앵글러는 메인 스크립트를 페어런트 HTML의 데이터 스트링 내에 저장하는 방식을 고수했습니다. 물론 암호화 한 상태로요. 그러다 브라우저가 도착 페이지를 로딩하면 그 암호가 다운로드되고 복호화 되었죠. 그게 앵글러의 작동방식이었습니다.”

그리고 이는 멀웨어 킷으로 형태를 바꾼다. 왜냐하면 멀웨어 킷이 기존 방식보다 감염된 사이트로 사용자를 우회시키는 성공률이 더 높고 한번 감염되면 훨씬 더 오랫동안 시스템에 머물 수 있기 때문이다. 그러나 이게 전부는 아니다.

“앵글러가 익스플로잇 킷 시장에서 급부상한 건 최근의 일입니다. 이에는 여러 가지 요소가 작용했을 겁니다. 앵글러에 감염된 페이지들의 트래픽이 더 높다거나 멀웨어 배포 성공률이 더 높았다거나, 마케팅 전략이 좋았다거나, 가격 정책이 매력적이었다거나 하는 것들이요. 즉 기능적인 측면에서도 뛰어났고 동시에 판매 전략도 우수했다는 겁니다. 익스플로잇 킷 시장도 양지에 있는 다른 시장과 원리는 같습니다. 싸고 가격효율이 좋은 제품이 잘 나갑니다.”

유행이 돌고 돌듯이 해커들의 암시장도 돌고 돈다. 다크웹을 파헤쳐 방어전략을 수립하는 보안업체가 많아지는 건 암시장에도 시장 원리가 똑같이 적용되기 때문이다. 이 패턴을 파악하면 어느 정도 다음 공격방법이나 수단을 예측할 수 있을 것으로 보인다. 암시장 및 다크웹에 보안 업체의 관심이 쏠리고 있다.
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>