멀웨어 개발자들, 비주류 프로그래밍 언어에 눈 뜨다

2021-07-27 19:16
  • 카카오톡
  • url
멀웨어 개발자들도 C와 C++ 등의 주류 언어들을 선호한다. 하지만 이 언어들은 너무 잘 알려져 있어 탐지에 잘 걸린다. 그래서 공격자들은 새롭게 공부를 해 비주류 언어들을 익히고 있다. 고, 러스트, 님, 디랭 등으로 만들어진 멀웨어가 최근 늘어났다고 한다.

[보안뉴스 문가용 기자] 멀웨어 개발자들 사이에서 비인기 프로그래밍 언어의 인기가 높아지고 있다. 고(Go), 러스트(Rust), 님(Nim), 디랭(DLang)이 대표적이다. 비인기 언어를 사용함으로써 멀웨어 및 바이러스 탐지 엔진을 우회하거나 개발 과정에서의 취약한 부분을 보완할 수 있기 때문이라고 한다. 이러한 내용을 보안 업체 블랙베리(BlackBerry)가 발표했다.


[이미지 = utoimage]

블랙베리에 의하면 위 네 가지 언어들로 만들어진 멀웨어가 빠르게 증가하는 중이라고 한다. 물론 ‘생소한 언어’로 만들어진 멀웨어가 최근 들어 처음 나온 건 아니다. 블랙베리가 집중한 건 그런 현상이 확연하게 빈번해지고 있다는 점이다. 새 언어를 사용했을 때 멀웨어 개발자들은 1) 더 간략한 신택스를 활용하고, 2) 보다 효율적으로 메모리를 관리할 수 있게 되며, 3) 멀웨어의 성능 자체가 좋아진다는 장점이 있다고 블랙베리는 지적한다. “물론 만들기 나름이긴 하지만 환경에 따라 새 언어의 효율이 높아지는 경우가 있습니다.”

이러한 비주류 언어들의 인기가 높아진다는 건 보안 비상등이 켜진다는 것과 다름이 없다. 일단 멀웨어 탐지기들은 ‘모든 프로그래밍 언어들’을 탐지하지 않는다. 고, 러스트, 님, 디랭으로 작성된 바이너리는 잘 알려진 C나 C++로 만들어진 것들보다 훨씬 더 복잡하게 보일 수 있다. 따라서 분석 엔진들이 제 기능을 발휘 못할 때가 많다. 분석가들도 이 점에 있어서는 마찬가지의 한계를 보이며, 새로운 언어를 익히기 위해 공부를 새롭게 해야 한다.

이 점을 공격자들도 파악한 듯하다. 그래서 최근 C++ 등으로 만들어진 예전 멀웨어를 새로운 언어로 다시 작성하는 경우가 늘어나고 있다. 이 경우 멀웨어를 완전히 백지에서부터 개발하는 것이 아니기 때문에 작업 난이도도 낮다고 한다. 심지어 새 언어로 드로퍼 멀웨어만 작성하고 예전 페이로드를 그 드로퍼를 통해 피해자의 디스크나 메모리에 심어도, 새 언어로 페이로드를 만든 것과 비슷한 효과를 누릴 수 있다고 한다.

만약 공격자들이 드로퍼만 새 언어로 작성하고 본 페이로드는 예전 것을 그대로 차용할 경우 시그니처 기반의 멀웨어 탐지 솔루션이 잡아낼 수 있다. 하지만 페이로드마저 새 언어로 새롭게 작성할 경우 시그니처 기반 탐지 솔루션을 피해갈 가능성이 높아진다. 공격자마다 개발 난이도와 탐지 확률을 저울질함으로써 두 가지 방법 중 하나를 선택하고 있으며, 아직 어느 한 쪽이 뚜렷하게 선호되는 패턴은 나타나지 않고 있는 것으로 보인다.

블랙베리는 네 가지 ‘생소한’ 프로그래밍 언어들 중 ‘고’가 가장 인기가 높다고 말한다. 그리고 ‘분석 엔진의 탐지를 우회할 확률이 높다’는 것 외에 각 언어가 가진 특장점이 존재한다고도 지적한다.

예를 들어 고의 경우 C와 유사하되 신택스가 훨씬 간단하다. 또한 모든 주요 OS에 맞는 ‘교차 컴파일링’도 가능하다. 반면 님의 장점은 C나 C++, 자바스크립트와 같은 여러 언어로 컴파일링 된다는 큰 장점을 가지고 있다. 디랭은 ‘교차 컴파일링’과 ‘C와 유사하지만 더 강력한 신택스’라는 특징을 가지고 있는데, 배우기가 가장 쉽다고 한다. 러스트는 아직 두드러지는 언어는 아니지만 러스트로 만들어진 소프트웨어는 기능이 강력하다고 한다.

공격자들이 ‘새로운 언어’ 쪽으로 진화하자 보안 업계도 비슷한 움직임을 보이기 시작했다. 최근 레드 팀 전문가들을 위한 도구들이 비주류 언어들로 작성되는 경우가 늘어난 것이다. 이런 도구들 중 상당 수가 오픈소스로 공개되어 있기 때문에 레드 팀에 관심이 있는 보안 전문가라면 확인해 볼 것을 블랙베리는 권장한다.

“비주류 언어들로 만들어진 멀웨어는, 주류 언어들로 만들어진 멀웨어들보다 탐지가 덜 되는 것이 사실입니다. 아직 비주류 언어를 기반으로 하고 있는 멀웨어가 위험할 정도로 많은 수준은 아닙니다만, 이런 멀웨어들이 치고 올라오기 시작했다는 걸 보안 업계가 이야기 해야 할 시점이 아닌가 합니다.” 블랙베리 연구원들의 설명이다.

3줄 요약
1. 멀웨어 공격자들 사이에서 비주류 언어의 사용량이 점차 증가하고 있음.
2. 비주류 언어들을 사용할 경우 새로운 강력함을 활용할 수 있고, 탐지에 덜 걸릴 수 있음.
3. 이런 멀웨어들이 많은 건 아니지만 슬슬 대비를 시작해야 할 시점.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 이노뎁

    • 인콘
      통합관제 / 소방방재

    • 비티에스

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 아이브스

    • 아이디스

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 웹게이트

    • 한화시스템

    • 하이크비전코리아

    • 그린아이티코리아
      번호인식 카메라

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 주식회사 비앤에스

    • 이화트론

    • 코맥스

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 슈프리마
      출입통제 / 얼굴인식

    • 다후아테크놀로지코리아

    • 다누시스

    • CVT

    • ITX_AI

    • Tiandy

    • 성현시스템

    • 비전정보통신

    • 씨엠아이텍

    • 트루엔
      IP 카메라 / 인공지능 ..

    • 아이쓰리시스템(주)

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • (주)투윈스컴

    • A3시큐리티

    • 유니뷰코리아

    • AIS테크놀러지

    • 한국씨텍(주)

    • 이오씨

    • (주)포딕스시스템

    • (주)우경정보기술

    • 디비시스
      CCTV토탈솔루션

    • UHDPRO

    • (주)지와이네트웍스

    • 옵텍스코리아

    • (주)넥스트림

    • 화이트박스로보틱스

    • 신우테크
      팬틸드 / 하우징

    • (주)네이즈

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • (주)케이엠티

    • (주)셀링스시스템

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 새눈
      CCTV 상태관리 솔루션

    • 이후커뮤니케이션

    • (주)디지탈센스

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • NS게이트(주)

    • 다원테크

    • 구네보코리아주식회사

    • (주)일산정밀

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 두레옵트로닉스
      카메라 렌즈

    • 플랜비

    • 주식회사 에스카

    • 포커스테크

    • (주)모스타

    • (주)에이앤티글로벌

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • (주)에프에스네트웍스

    • 지엘에스이

    • 포커스에이치앤에스
      지능형 / 카메라

    • 티에스아이솔루션
      출입 통제 솔루션

    • 메트로게이트
      시큐리티 게이트

    • 수퍼락
      출입통제시스템

    • 글로넥스
      카드리더 / 데드볼트

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • 세환엠에스(주)

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기