폭발적인 익스플로잇 킷의 행보, 꼬리 길면 잡히...나?

기존의 안티바이러스 기술로 감지하기 힘든 상황
익스플로잇 킷과 함께 극에 달한 DNS 인프라 수

[보안쥬스 주소형] 최근 익스플로잇 킷(Exploit kit)의 활동이 심상치 않다. 특히 지난 3분기의 경우 공격 명령 서버(command and control infrastructure) 뒤에서 발생되는 익스플로잇 킷의 움직임은 가히 폭발적이었다고 네트워크 솔루션 기업인 인포블록스(Infoblox)와 IID가 보고서를 발표했다.

보고서에 따르면 올해 3분기 익스플로잇 킷용 DNS 인프라스트럭처(DNS Infrastructure)가 전년동기대비 무려 75% 급증했다. 인프라스트럭처가 늘어나자, 공격자들이 이를 발판으로 익스플로잇 킷을 마구잡이로 사용해대고 있다고 보고서는 분석했다.

암시장에 접속하게 되면 사이버범죄에 사용되는 다양한 익스플로잇 킷을 접할 수 있다. 이를 통해 기술적인 지식이 없는 사람들도 멀웨어들을 양산시키고 서비스 거부 공격과 정보 탈취 공격 등이 가능해 각종 기기들을 감염시키고 있다고 설명했다.

익스플로잇 킷이 유명해지기 시작한 것은 2012년 경 블랙홀 킷(Blackhole kit)이라는 익스플로잇 킷이 등장하면서도 부터다. 당시만 해도 블랙홀 익스플로잇 킷의 한 달 가치는 만 달러를 호가했다. 하지만 그 후 무수히 많은 익스플로잇 킷들이 등장하면서 그에 대한 가치는 점점 떨어지기 시작했다. 경쟁 익스플로잇 킷들이 대거 나타났기 때문이다. 한 달 사용 가치가 약 30~150달러 수준까지 낮아졌다. 이렇게 시장 원리가 작용하면서 익스플로잇 킷의 가격이 낮아진 것이 익스플로잇의 폭발적인 증가에 기여를 했다. 게다가 글로벌 보안기업인 트러스트웨이브(Trustwave)의 전문가들에 따르면 익스플로잇 킷이 범죄에 사용되면 한 달에 약 8만 달러 이상의 수익을 올린다고 하니, 해커들 입장에선 사용하지 않는 게 오히려 더 이상한 상황.

보고서는 최근 가장 눈에 띄게 늘어나고 있는 멀웨어 4가지를 꼽았다. 앵글러(Angler), 매그니튜드(Magnitude), 뉴트리노(Neutrino), 뉴클리어(Nuclear)다. 특히 앵글러의 확산세가 가장 돋보인다고 덧붙였다. 이렇게 앵글러 익스플로잇 킷이 무서운 속도로 늘어나고 있다는 지적은 이번이 처음이 아니다. 올해 여름 영국 보안기업인 소포스(Sophos)가 발표한 보고서에서도 전체 익스플로잇 킷 시장에서 앵글러의 점유율이 82% 수준이라고 분석했기 때문이다.

“최근 앵글러 익스플로잇 킷은 가장 위협적인 사이버범죄 가운데 하나로 자리 잡았다. 3분기 익스플로잇 킷을 위한 DNS 인프라스트럭처는 극에 달했다. 특히 앵글러 킷의 경우 인기 높은 소프트웨어에 제로데이 취약점을 빠르게 업데이트 시키는데 기술 또한 교묘해서 기존의 안티바이러스 기술로는 감지하기도 힘들다.” 인포블록스 연구원의 말이다.

악명 높은 크립토월 3.0(Cryptowall 3.0)이 그렇게 빠르고 널리 확산되어 랜섬웨어 공격으로까지 사용될 수 있었던 것도 모두 앵글러 익스플로잇 킷이 배경에 있었기 때문이라고 보고서는 강조했다.

그나마 다행인 건 익스플로잇의 활동에는 패턴이 있어 예상이 가능하고 보고서는 설명했다.

“사이버범죄는 ‘심기’와 ‘거두기’에 의해 완성된다. 멀웨어와 익스플로잇 킷은 심기에 해당되는 것이고, 그렇게 심기를 당해 악성 도메인이 된 곳에 가서 공격자가 정보를 탈취하는 것아 거두기에 해당된다.”

해당 패턴 외에 특별히 다른 방법이나 경로를 통해 공격이 행해지는 것은 없다는 것. 이에 따라 올해 3분기에 발생했던 익스플로잇 킷을 통한 공격들을 분석하면 향후 발생할 공격을 방어할 수 있는 것으로 보고서는 예상했다.

한편 해당 보고서는 여기를 누르면 연결된다.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 주소형 기자(sochu@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)