세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
워너크라이의 배후에서 실익 챙겨가고 있는 아딜커즈 공격
  |  입력 : 2017-05-19 11:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
워너크라이와 똑같은 툴과 취약점 활용한 공격으로 시스템 감염
은밀하게 시스템 감염시켜 모네로 채굴하고 사용료도 가로채


[보안뉴스 문가용 기자] 워너크라이 랜섬웨어 사태로 NSA가 보유하고 있던 익스플로잇의 무시무시한 확장력이 드러났다. 이 때문에 앞으로 더 큰 공격이 충분히 있을 수 있다는 불안감이 보안 업계에 퍼지고 있다. 그런데 보안 업체인 프루프포인트(Proofpoint)가 암호화 가상 화폐를 채굴하는 툴인 아딜커즈(Adylkuzz)를 설치하는 대규모 공격을 발견했다고 발표했다. 이미 수십만 대의 시스템에서 이 공격이 발견되었다고 한다.

[이미지 = iclickart]


워너크라이와 마찬가지로 아딜커즈의 배후에 있는 악성 행위자들은 NSA의 익스플로잇 툴이라고 여겨지는 이터널블루(EternalBlue)를 사용하고 있다고 프루프포인트는 주장하고 있다. 노리는 건 오래된 윈도우 시스템, 즉 SMB 취약점을 그대로 가지고 있는 시스템들이다. 이 점 역시 워너크라이와 완전히 같다. 프루프포인트는 “이터널블루로 공격에 성공하면 기기는 더블펄사(DoublePulsar)라는 것에 감염된다”고 설명한다. 더블펄사는 아딜커즈를 다운로드 받아 실행시키는 기능을 가지고 있다.

아딜커즈는 설치가 완료되면 모든 SMB 통신을 차단한다. 그리고 이전 버전의 아딜커즈가 감염된 시스템 내에서 설치되거나 활동한 적이 있는지 찾아내서 정지시킨다. 자기 외에는 다른 아딜커즈가 없도록 만든다는 것인데, 이 과정이 끝나면 추가로 화폐 채굴 툴과 채굴 관련 설명서를 다운로드 받는다. 아딜커즈는 랜섬웨어와는 전혀 다른 것으로, 모네로(Monero)라는 가상 화폐를 채굴한다.

이 단계까지 끝나면 감염된 시스템은 거대하게 분산된 모네로 뱅킹 네트워크의 일부로 편입된다. 프루프포인트의 부회장인 케빈 엡스테인(Kevin Epstein)은 “이렇게 거대한 네트워크를 형성하면, 모네로 환경 내에서 벌어지는 부기 및 거래 활동을 유지하고 화폐 공급 또한 유지시키는 게 가능해진다”며 공격자들이 계속해서 감염을 확산시키는 이유를 설명했다.

여기서 알아두어야 할 건 불법적으로 감염된 시스템이 합법적인 모네로 네트워크 내로 들어간다는 것이다. 즉 합법적인 모네로 뱅킹 네트워크 내에 편입되기 위해 공격자들은 아딜커즈를 사용한다는 것인데, 여기에는 이유가 있다. “모네로 네트워크에 가입하면 그 대가로 205달러 정도가 모네로 네트워크 쪽으로부터 지급됩니다. 모네로가 ‘당신 컴퓨터를 사용하게 해줘서 고맙다’고 표현하는 것이죠. 사용자가 자발적으로 참여한 거면 문제가 안 되는데, 위에서 설명한 것처럼 감염을 통해 모네로 네트워크에 들어가게 되면 공격자가 이 돈을 대신 받게 됩니다.”

이것만이 전부가 아니다. 말 그대로 시스템들의 꾸준한 채굴 활동을 통해 생기는 수익도 만만치 않다. “노트북 한 대 감염시켜봤자 일주일에 채굴하는 돈이 얼마 되지도 않습니다. 하지만 이런 노트북이 수만 대면 어떨까요? 1주일에 노트북 한 대가 백 원만 채굴한다고 해도, 총 수백만 원의 수입이 되는 것이죠.”

게다가 더 무서운 건 아딜커즈가 랜섬웨어처럼 시끌벅적한 멀웨어가 아니라는 것이다. 그래서 일반적인 피해자들은 감염 사실을 알아차릴 수가 없다. 물론 시스템 속도나 성능이 조금 떨어지기도 하지만 “그렇다고 해서 아딜커즈를 먼저 떠올릴 일반 사용자는 거의 없는 게 사실”이다. “아딜커즈는 매우 은밀합니다. 기본적으로 시스템에 오래 남아있는 게 목표거든요.”

프루프포인트의 보안 전문가들은 워너크라이에 대한 조사를 계속해서 진행하다가 아딜커즈를 발견했다고 한다. “워너크라이가 시끄럽게 주목을 끄는 동안 아딜커즈가 은밀하게 진행되고 있었습니다. 그러면서 많은 돈을 가지고 가게 되었죠. 동시에 많은 서버와 시스템들의 성능을 갉아먹기도 했고요.”

엡스테인은 “NSA의 익스플로잇 툴이 공개된 마당에 이런 식의 공격이 계속해서 발견될 것”이라며 “정보보안이 전체적으로 한 단계 크게 성장해야만 하는 때가 왔다”고 말한다. “이전에 하던 대로만 하는 건 아무 것도 안 하는 것과 같습니다. 달라지지 않으면 이제 우리는 국가 수준의 공격을 일상적으로 받게 될 겁니다. 어쩌면 정보보안 역사상 가장 큰 위기의 때가 아닐까 합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



5월 9일 대통령 선거 이후, 차기 정부의 사이버보안 정책 및 산업 육성은 어디서 총괄해야 한다고 보시나요?
별도의 ICT 전담부처(미래창조과학부, 정보통신부 등)
별도의 사이버보안 전담부처(사이버보안청 등)
대통령 직속 위원회 또는 대통령실 산하 별도조직
사이버보안 정책은 전담부처, 산업 육성은 산업통상자원부로 이원화
국가정보원
기타(댓글로)