세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
아이스드아이디, 새롭게 등장한 고급 뱅킹 멀웨어
  |  입력 : 2017-11-14 09:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
새로운 뱅킹 멀웨어, 기존 유명 멀웨어의 전략 본 따
상당한 실력자 뒤에 있는 듯...동유럽이 근원지로 보여


[이미지 = iclickart]

[보안뉴스 문가용 기자] 새로운 뱅킹 멀웨어가 발견됐다. 기존의 유명 뱅킹 트로이목마인 고지(Gozi), 제우스(Zeus), 드리덱스(Dridex)와 유사하다고 하는데, 코드가 겹치지는 않는다고 한다. 이 멀웨어의 이름은 아이스드아이디(IcedID)로 IBM의 엑스포스 팀에서 발견해 명명했다. IBM 보안 부문의 담당자인 리모 케셈(Limor Kessem)은 “바로 그 이상한 유사성이 문제”라고 말한다.

케셈에 따르면 “새로 등장한 뱅킹 멀웨어치고 기존 멀웨어에 바탕을 두고 있지 않은 경우는 거의 없다”고 한다. “올해 등장한 스카일렉스(Scylex)는 제우스와 흡사했습니다. 최근 나타난 사일런스(Silence)는 카르바낙(Carbanak)과 비슷했고요.” 하지만 9월에 처음 발견된 아이스드아이디는 조금 다르다.

“아이스드아이디는 은행, 지불카드 공급업체, 모바일 서비스 업체, 급여 대상 관리 업체, 웹 메일, 전자거래 사이트 등을 주로 노립니다. 특히 미국과 캐나다에서 기승을 부리고 있죠. 영국의 큰 은행 두 곳 역시 아이스드아이디의 표적이 되고 있습니다.” 여기까지야, 기존 뱅킹 멀웨어와 크게 다르지 않다.

그런데 아이스드아이디는 이모텟(Emotet)이라는 또 다른 트로이목마를 타고 퍼지고 있다. 이모텟은 뱅킹 멀웨어는 아니다. 봇넷을 유지하고 확대시키는 기능을 가지고 있다. 또한 이모텟은 스팸 이메일을 통해 주로 배포되며 악성 매크로가 심긴 업무용 문건 등의 형태로 피해자들을 속인다. 그리고 엔드포인트에 최대한 오랜 기간 머무르며 멀웨어를 계속해서 퍼트린다. 한 마디로 ‘배포’에 최적화된 멀웨어라는 것.

아이스드아이디가 이런 이모텟을 타고 퍼져가고 있다는 건 공격자들이 대기업을 노리고 있다는 뜻이 된다. 케셈은 “이렇게 대규모로 퍼져나가도록 설계된 공격 방식은 국가 간 사이버전에서나 목격되던 것이지, 뱅킹 멀웨어가 이렇게 작동하는 건 흔치 않은 일”이라고 설명한다. “금융권이 아니라 일반 대기업의 네트워크에 어떻게 해서든 침투하려고 할 때 이런 공격 방식이 활용되죠.”

또한 뱅킹 멀웨어가 피해자의 온라인 활동을 감시하는 기능도 독특하다. “아이스드아이디는 로컬 프록시 설정을 조작해서 엔드포인트 단에서 일어나는 통신을 전부 모니터링 합니다. 웹 인젝션 공격과 고급화된 우회 전략을 전부 활용하고 있는데, 이는 드리덱스가 가졌던 특징이기도 합니다.”

아이스드아이디의 우회 공격은 굉장히 교묘하다. 은행의 정상 URL이 주소창에 노출되고 정상적인 SSL 인증서 역시 사용자 눈에 보이도록 했다. 멀웨어는 특정 URL을 표적으로 삼고 기다리고 있다가 나타나면 웹 인젝션 공격을 실시한다. 피해자들은 순식간에 가짜 은행 웹사이트로 우회되고, 아무런 의심 없이 로그인 정보를 입력한다. 이 정보는 공격자들의 서버로 전송된다.

여기서부터 진행되는 세션은 공격자들의 통제 하에 이뤄진다. 공격자들은 소셜 엔지니어링 공격을 통해 다양한 인증 정보를 추가로 얻어낸다. 케셈은 “이러한 고차원적인 공격 방식을 봤을 때, 아마추어 단체의 소행은 아닌 것으로 보인다”고 믿고 있다. “공격 방식이 고급화된 것은 물론 과거 유명 범죄 단체로부터 많은 것들을 부분부분 따온 것으로도 보인다.”

이모텟은 동유럽의 사이버 범죄 단체 사이에서 주로 활용된다. 아이스드아이디의 코드를 분석해보면 러시아어로 보이는 코멘트들이 군데군데 눈에 띈다. 이러한 이유로 케셈은 “아이스드아이디의 근원지가 동유럽인 것으로 보고 있다.” 하지만 기존 유명 뱅킹 멀웨어 제작자들이 새롭게 프로젝트를 시작한 것인지, 새로운 실력자가 나타난 것인지는 확실치 않다.

현재 아이스드아이디는 여러 버전의 윈도우에서 돌아갈 수 있도록 설계되어 있다. 분석 방지 기능은 거의 존재하지 않는다. 하지만 일부 샌드박스 기능을 탐지해 피해가는 기능 정도는 갖추고 있다. 전문가들은 아직 아이스드아이디의 개발이 완료되지 않은 것으로 보고 있다. “앞으로 포렌식 방해 기능이 더 추가될 것을 보입니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)