이번 주만 세 번 발견된 Socks5 프록시 공격...랜섬웨어 발전도 눈에 띄어
가치관이 의외로 취약점으로 작용할 수 있어...북한, 사이버 행위도 제재 받나

[보안뉴스 문가용 기자] 지난 한 주 동안 해외 보안 업계에서는 어떤 일들이 있었을까? 8월 둘째 주 동안 보안 업계에서 일어났던 사건들의 본질을 꿰뚫는다고 느껴지는 업계 종사자들의 말을 간략하게 정리해 보았다.


[이미지 = iclickart]

Socks5(프록시)
“이번 미라이 변종은 토르라는 익명 네트워크에 C&C 서버를 두고 있기 때문에 추적을 통해 위치를 파악하고 무력화시키는 게 어렵습니다. 또한 30개 정도의 IP 주소들이 하드코드 되어 있고, socks5 프로토콜을 사용합니다. 하드코드 된 서버들 전부 토르 네트워크의 socks 프록시입니다.”
트렌드 마이크로

“폴아웃 익스플로잇 키트를 통해 다나봇(Danabot)이라는 뱅킹 멀웨어가 다운로드 되는데, 이 때 시스템BC라는 Socks5 프록시가 함께 설치되는 걸 목격했습니다.”
프루프포인트

“Gwmndy는 장비에 백도어와 SSH 터널을 만듭니다. 동적 포트 포워딩을 하기 위함입니다. 그런 후에는 Socks5 프록시 서비스를 로컬에서 생성하기도 합니다.”
360넷랩

이번 주 세 개 보안 회사 혹은 연구소에서 Socks5를 활용한 프록시 공격을 각각 하나씩 발견했다. 우연일까, 아니면 프록시 기술을 사용하는 공격이 사이버 범죄자들 사이에서 유행을 하기 시작한 걸까. 현재까지 공격자들은 프록시 서버를 로컬에서 생성함으로써 자신들만의 전용 통신 채널을 만드는 방법을 실험 중에 있는 것으로 보인다. 보안 전문가들은 그 방법이 그렇게까지 효율적이 않다며 고개를 갸우뚱거리고 있다.

익숙함
“상어의 공격은 대부분 해안가로부터 100피트도 되지 않는 거리에서 발생합니다.”
보안 업체 기가몬(Gigamon), 셰인 버클리(Shane Buckley)

셰인 버클리는 내셔널지오그래픽의 연구 결과를 인용하며, 현대 인터넷 공간이 상어가 득실거리는 해안가와 같다고 말한다. 그러면서 가시성이 중요하다고 강조했다. 시야를 가로막는 요인들 중 하나는 ‘익숙함’이라고 경고했는데, 바다에서나 웹에서나 ‘익숙하다’는 느낌을 ‘안전하다’로 착각하는 경우가 많다고 지적했다.

메가코텍스 랜섬웨어
“2019년 전반기에 발견된 파괴형 멀웨어가 2018년 후반기에 발견된 것보다 200% 많습니다. 이 중에는 삭제 기능을 가진 랜섬웨어인 록커고가(LockerGoga)와 메가코텍스(MegaCortex)도 포함되어 있습니다.”
IBM의 엑스포스 팀

“메가코텍스 2의 개발자들은 이 부분을 크게 개선시켰습니다. 스스로 랜섬웨어 페이로드가 발동될 수 있도록 했고, 비밀번호를 입력해야만 설치가 되던 것도 바뀌었습니다. 심지어 비밀번호가 바이너리 안에 하드코딩 되어 있기도 합니다.”
액센추어(Accenture) 수석 멀웨어 분석가, 레오 페르난데스(Leo Fernandes)

랜섬웨어가 다시 한 번 발전하는 모습을 보였다. 자동화 기능과 데이터 삭제 기능을 탑재하면서 공격의 효율성을 높인 것이다. 그러면서 메가코텍스라는 것이 연거푸 언급됐다. 이전보다 뛰어난 자동화 기능이 추가됐고, 사용자가 돈을 더 확실히 내도록 공포심을 강화하는 삭제 기능도 덧붙었다고 한다. 메가코텍스도 그렇지만 파괴하고 삭제하는 랜섬웨어에 대한 주의가 요구된다.

가치관, 뜻밖의 취약점
“교육 기관은 꽤나 중요한 가치관 충돌이 존재하는 곳입니다. 특히 대학 기관은 더 그런데요, 교육 콘텐츠를 모든 사람에게 열어두고 제공하는 것이 꽤나 중요하게 인식되고 있죠. 교육의 기회를 열어두는 게 사회적 책임이라고 보는 의견도 있고, 이에 따라 대학은 생각보다 열린 곳으로서 남아있게 됩니다.”
마임캐스트(Mimecast)

교육 산업 쪽이 해킹 공격에 취약한 것은 익히 알려진 사실이다. 그 이유에 대해 여러 가지 분석이 나왔는데 대부분은 네트워크가 지나치게 광범위하고 교수들과 학생들 대부분 보안 인식이 낮기 때문이라는 데 의견이 모아졌었다. 최근 마임캐스트는 여기에 다른 이론을 더했다. 교육과 정보의 공개라는 측면에 있어서 ‘열린’ 태도가 교육 기관의 가치관처럼 자리를 잡고 있기 때문이라는 것이다. 가치관도 의외의 취약점이 될 수 있다.

북한 vs. 세계, 미국 vs. 중국
“앞으로 제재를 가함에 있어 이러한 사이버 범죄 행위도 고려해야 할 것”
UN 안보리

“특히 시스템의 중요하고 꼭 필요한 기능과 역할을 담당해야 한다면 중국의 기술을 절대로 사용할 수 없다”
미국 정부

북한 정부의 독특한 점은, 정부가 앞장서서 사이버 금전털이에 나선다는 것이다. UN 안보리는 이번 주 북한이 이렇게 모은 돈으로 핵 무기 개발에 힘쓰고 있으며, 북한의 이러한 악질적인 사이버 행위를 차기 제재에 고려해야 한다고 발표했다. 미국 정부는 각 기관들에 “중국 기업들과 손잡지 말라”고 명령을 내렸다. 북한의 해커들은 좀 주춤할까. 오히려 세계의 주목을 비교적 덜 받도록 표적을 한국으로 한정할 수 있을 듯하다.

보안의 고민
“스포트라이트를 받고 있는 상황을 어떻게 활용해야 하는가,를 고민해야 합니다.”
블랙햇(Black Hat)의 창시자, 제프 모스(Jeff Moss)

“보안과 이용성을 모두 잡아야 하는 시스템 디자이너들의 현 상황 때문에 취약점이 발생합니다.”
텐센트(Tencent)가 운영하는 보안 연구실 주안우 랩(Zuanwu Lab), 주오 마(Zhuo Ma)

“저희가 제공한 건 현상을 직시한 내용뿐입니다. 보안 전문가가 먼저 활용하느냐, 해커가 먼저 활용하느냐가 관건입니다.”
세이프브리치의 CTO인 이트직 코틀러(Itzik Kotler)와 부회장인 아밋 클레인(Amit Klein)

올해 블랙햇에서는 보안의 시대가 한 차례 바뀌었음이 선포됐다. 4~5년 전만 해도 보안을 ‘전도’해야 하는 상황이었는데, 이제는 누구나 보안의 중요성을 아는 때가 되었다는 것이다. 이런 상황에서의 소통법을 새롭게 고민해야 할 차례가 됐다. ‘보안이 중요해!’라는 건 사람들을 하품 나게만 만든다.

또한 이용성과 안전성을 모두 확보하려는 게 취약점 탄생의 근본적인 요인이라는 지적도 나왔다. 정말 이 두 가지가 모든 상황과 서비스에서 양립할 수 있을까 처음부터 생각해봐야 한다. 공격법의 개발 이후 방어가 아니라 해킹 공격에 더 빨리 적용되는 것도 보안의 고민거리다. 내부에 첩자가 있거나, 원래 나쁜 일에 더 빠르게 달려가는 게 사람의 본성이거나...
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>