세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
씨클리너 멀웨어의 진짜 목적은 대기업 스파이 공격이었다?
  |  입력 : 2017-09-22 16:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
무차별 살포형 공격인줄 알았는데...20대 기술 기업 목록 C&C서 발견
중국이 공격자? 현재까지 나온 증거로는 단언하기 어려워


[보안뉴스 오다인 기자] 어베스트 씨클리너(CCleaner)가 멀웨어 배포에 사용됐다는 사실이 드러나면서 시스코 탈로스(Cisco Talos)와 모피섹(Morphisec)은 수백만 대의 엔드포인트가 위험하다는 사실을 인지하게 됐다. 현재 보안 전문가들은 씨클리너 공격의 목적이 스파이였을 가능성이 높다고 분석하고 있다.

[이미지=iclickart]


이번 주 초 시스코 탈로스와 모피섹은 씨클리너 5.33 버전의 침해 세부사항에 대한 연구를 발표했다. 해당 연구는 2017년 8월 15일부터 9월 12일 5.34 버전이 나오기 전까지 다운로드 받을 수 있었다. 5.33 버전에 포함된 바이너리는 여러 단계의 멀웨어 페이로드로 구성돼 있었다. 현재 작동 중인 프로세스의 목록과 기기에 설치된 모든 소프트웨어 목록 등의 정보를 수집하기 위한 것이었다.

9월 20일 시스코 탈로스는 이번 공격에 대한 심층적인 분석을 내놓았는데 매우 우려되는 부분들이 드러났다.

연구자들은 공격자의 명령 및 제어(C&C) 서버에 저장된 파일들을 확보할 수 있었다. 이 파일에는 대기업 공격용으로 2단계 로더 코드 목록이 포함돼 있었다. 기기가 이런 네트워크 중 하나에 연결돼있으면 두 번째 페이로드 공격에 당하는 구조다.

시스코 탈로스의 수석 기술자 크레이그 윌리엄스(Craig Williams)는 “공격자가 이 거대한 망을 이용하고 있다는 사실”에 주목해야 한다고 말했다. “나흘 만에 C&C 서버는 연결된 망을 통해 700,000만 명의 피해자 데이터를 수집할 수 있었습니다. 공격자가 원하는 건 그 중 극히 작은 부분인 데도 말입니다.”

C&C 추적 데이터베이스 분석은 9월 중 4일 동안 진행됐다. 이 분석을 통해 2단계 페이로드에 공격당한 피해 기기를 최소 20건 밝혀낼 수 있었다. 공격 대상 기업으로는 마이크로소프트, 구글, HTC, 소니, 삼성, 디링크, 아카마이, VMware, 링크시스, 시스코 등이 있었다.

분석하는 동안 이 멀웨어는 감염 시스템에 대한 정보를 보내려고 C&C 서버에 주기적으로 접촉했다. 멀웨어는 IP 주소, 온라인 시간, 호스트명, 도메인명, 프로세스 목록 등의 정보를 보냈다. 연구자들은 공격자가 공격 캠페인 마지막 단계에서 어떤 기기를 공격해야 할지 결정하기 위해 이런 정보를 활용했다고 보고 있다.

윌리엄스는 “이런 결과는 바로 우리가 예상하던 바였다”면서 “APT가 무엇인지 그 정의에 꼭 들어맞는 공격”이라고 설명했다.

시스코 탈로스는 씨클리너 5.33 버전의 다운로드 가능 기간 중 나흘 간 활동 분석을 했기 때문에 공격 대상 기업 목록이 얼마나 자주 바뀌었을지는 알 수 없다고 윌리엄스는 지적했다. 시스코 탈로스는 공격 대상 기업 목록이 C&C 서버가 다른 여러 기업들을 공격하기 위해 활동하는 기간 중에 바뀌었을 것이라고 판단하고 있다.

보안 업체 피델리스 사이버시큐리티(Fidelis Cybersecurity)의 위협 시스템 매니저 존 밤베넥(John Bambenek)은 “200만 대의 기기가 감염됐다는 건 범죄자가 상용화된 제품을 노렸다는 뜻”이라고 말했다. “우리는 지금 기업 환경에 대해 이야기하고 있습니다. 스파이 공격이라고 밖에는 볼 수 없죠.”

윌리엄스는 이번 사건으로 영향을 받은 기업들에게 기존의 권고사항을 따르라고 말했다. 즉, 시스템을 깨끗이 갈아엎은 뒤 백업으로 데이터를 복구하거나 재설치하라는 것이다. 공급망 형태의 공격이 확장될수록 사용자가 믿을 만한 백업을 해두는 것이 중요한 이유이다.

“이번 발견을 통해 저희는 사용자에게 백업으로 복구해야 한다고 경고하기도 했습니다.” 윌리엄스는 “무슨 일이 일어날지 모르니까 백업으로 복구할 준비를 해야만 한다고 사람들에게 말해왔다”고 강조했다.

공격자는 누구인가?
밤베넥과 윌리엄스는 모두 공격자의 정체가 아직 드러나지 않았지만 이번 공격은 매우 잘 만들어진 것으로 노련한 공격자의 작품일 가능성이 높다고 말했다.

C&C 서버에서 확보한 웹 디렉토리 콘텐츠에는 PHP 파일이 포함돼 있었다. PHP 파일은 감염 기기 간 통신 제어를 담당한다. 이런 파일 중 하나에는 코어 변수와 사용된 오퍼레이션이 포함돼 있었는데, 시간대로 중화인민공화국(PRC)이 특정돼 있었다.

윌리엄스는 중국 공격자라고 확정짓기는 어렵다고 말했다. 그 반대가 진실일 수도 있다는 것이다. 이 멀웨어는 개발에 엄청난 시간이 투자됐고 복잡한 데이터베이스로 구성된, 매우 정교한 형태라는 점을 기억해야 한다는 것이다. 만약 공격자가 진짜 중국이라면, 왜 타임 스탬프를 남겼느냐는 것이다.

윌리엄스는 “이건 위장술책일 가능성이 높다”고 말했으나 여전히 의혹은 남는다고 덧붙였다.

흥미롭게도 밤베넥은 공격자가 피해자 선별을 위해 씨클리너를 선택한 이유가 궁금하다고 말했다. “첫 번째로 든 생각은, 얼마나 많은 기업이 씨클리너를 사용했을지 모른다는 것이었습니다. 기업 환경에서 찾아보기 어려운 앱에 대해 거대한 망을 던져놓은 셈이죠.”

밤베넥은 해커의 진짜 목적을 생각해볼 때 이번 공격이 완전히 성공했다고는 말할 수 없지만, 해커가 목적 달성을 위해 독창적인 방법을 생각해낼 능력이 있다는 점을 보여준 사례라고 설명했다.

“200만 대의 컴퓨터가 감염됐다는 건 사실 아무 것도 아닙니다.” 밤베넥은 “공격자들이 새로운 것, 새로운 실험을 시도하고 있다는 사실이 중요하다”고 말했다. “적들은 기업 내에서 어떤 것이 사용되는지 100%의 가시성을 갖고 있지 않습니다. 다만 추측해볼 뿐이죠.”
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
애플이 아이폰X에 얼굴인식 방식인 페이스ID를 새롭게 도입한다고 해서 관심이 모아지고 있습니다. 이를 계기로 스마트폰에 탑재되는 생체인식기술 간 보안성 및 편리성 대결도 벌어지고 있는데요. 이를 모두 고려할 때 스마트폰에 탑재되는데 있어 가장 효과적인 생체인식기술은 무엇이라고 보시나요?
지문인식
홍채인식
얼굴인식
화자인식(목소리로 누구인지 식별)
다중인식(지문+홍채, 지문+얼굴 등)
기타(댓글로)