Home > 전체기사
멀웨어를 하나도 사용하지 않는 공격 단체 골메이커 발견
  |  입력 : 2018-10-12 09:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정상 툴을 비정상적으로 사용해 공격하는 그룹, 시만텍이 찾아내
사용자 프로세스와 구분하기 어려워...다중 방어체계 갖춰야


[보안뉴스 문가용 기자] 안티멀웨어의 탐지를 피하고자 하는 사이버 범죄자들이 최근 다양한 툴들을 활용하기 시작했다. 그 중 단연 눈에 띄는 건 ‘정상 소프트웨어’다. 악성 판단이 내려지지 않는 소프트웨어를 활용해 자기들의 목적을 달성하는 것이다. 최근에는 아예 멀웨어를 전혀 사용하지 않는 공격 단체마저 등장했다.

[이미지 = iclickart]


이 공격 단체를 제일 먼저 발견한 건 보안 업체 시만텍(Symantec)으로, “이 공격자들은 누구나 사용할 수 있도록 만들어진 합법적인 소프트웨어만을 사용해 공격을 실시한다”며 “매우 은밀하고 탐지가 어렵다”고 설명한다. 시만텍은 이들을 골메이커(Gallmaker)라고 부른다.

시만텍의 이번 주, 보고서를 통해 골메이커에 대해 파악한 바를 보안 업계에 공개했다. “골메이커는 정부 기관과 군 관련 기관들을 주로 공격하는데, 현재까지는 동유럽과 중동에서 주로 발견됐습니다. 동유럽 국가들의 경우는 주로 외교 단체가, 중동 국가들의 경우는 국방 관련 조직들이 당했습니다.”

또한 골메이커는 정치외교적인 사안을 주제로 한 문서들을 공격 미끼로 활용한다고 한다. 시만텍의 수석 첩보 분석가인 존 디마지오(Jon DiMaggio)는 “주로 정찰을 목적으로 움직이는 단체로 보인다”고 설명한다. “기존의 정찰 그룹들이 하던 일들을 거의 그대로 하고 있습니다. 돈을 노리는 공격자들이었다면, 외교 기관이나 군 기관만을 집중적으로 노릴 이유가 없어 보이기도 합니다.”

골메이커는 2017년 12월부터 활동을 시작한 것으로 보인다. 가장 최근에는 2018년 6월에 공격 캠페인을 벌였다. “골메이커의 가장 큰 특징은 멀웨어를 전혀 사용하지 않는다는 겁니다. 일반 기업이나 사용자들이 정상적인 목적을 달성하기 위해 사용하는 툴과 프로토콜만을 활용합니다. 주로 침투 테스트 툴과 데이터 압축 툴들입니다.”

디마지오에 의하면 골메이커는 공격 표적을 정하고, 거기에 소속된 개인에게 악성 오피스 문건을 전송한다고 한다. 여기에 속아 문서를 열면 공격자들은 원격에서 오피스 동적 데이터 교환(DDE) 프로토콜을 사용해 시스템 메모리 내에서 명령을 실행할 수 있게 된다. 그 시점부터 골메이커는 메모리 내에서 다양한 툴들을 활용할 수도 있게 된다. 정상 소프트웨어를 사용하는 것뿐만 아니라 메모리 내에서만 움직이기 때문에 탐지가 거의 불가능하다.

DDE는 데이터를 공유하는 마이크로소프트 앱들 간 메시지 교환을 가능하게 해주는 프로토콜이다. 원래는 디폴트로 활성화 되어 있는 기능인데, 지난 12월 패치를 통해 디폴트가 ‘비활성화’로 바뀌었다. 해커들이 이를 악용해 워드와 엑셀 문서를 통해 악성 코드를 실행시킨 사례가 나왔기 때문이었다. 골메이커에 당한 조직들은 이 패치를 적용하지 않은 것으로 보인다.

골메이커는 이러한 ‘DDE 공격’을 통해 렉스 파워셸(Rex Powershell) 스크립트를 실행했다. “그렇게 했을 때 골메이커는 메트스플로잇(Metasploit)이라는 침투 테스트 툴을 통해 역 TCP 셸 연결을 할 수 있게 됩니다.” 여기까지 성공하면 원격에서 시스템을 장악할 수 있다는 뜻인데, “공격자들은 그 후 윈집(WinZip)을 다운로드 받아 자신들이 빼낼 데이터를 압축한다.” 역시나 정상적인 툴이 사용되는 것이다.

이런 일련의 과정을 탐지하는 게 어려운 이유 중 하나는, 이것이 매우 정상적인 프로세스로 보이기 때문이다. “예를 들어 렉스 파워셸은 원래 메타스플로잇과 잘 호환되도록 설계된 라이브러리입니다. 메타스플로잇도 침투 테스터들이 자주 사용하는 툴이죠. 메타스플로잇이 있다고 해서 반드시 해커가 사용했다는 증거가 되는 툴이 아닙니다. 윈집은 압축 툴의 대명사 같은 위치에 있는 것이고요.”

그렇다면 시만텍은 골메이커를 애초에 어떻게 찾아낸 것일까? “한 고객의 웹사이트에서 파워셸 명령이 실행되고 나서 DDE가 실행되는 것이 탐지됐습니다. 수상해서 조사를 진행해보니 정상적인 행위가 아니었습니다.”

디마지오는 “정상 툴을 사용하는 공격이 사이버 범죄자들 사이에서 유행처럼 떠오르고 있다”고 경고한다. “장점이 분명한 전략입니다. 보안 담당자 입장에서 탐지가 훨씬 더 어렵다는 것이죠. 일반 사용자의 정상적인 업무 프로세스에 녹아들어 눈에 띄지 않기 때문에 정말 까다로운 공격이 아닐 수 없습니다.”

이러한 종류의 공격은 결국 “다층위 방어 체계로 막아야 한다”고 디마지오는 강조한다. “방화벽과 침투 방지 시스템, 엔드포인트 보안 툴이 함께 복합된 것을 말합니다. 또한 기업 내 네트워크에서의 관리자 툴 사용을 철저하게 관리할 필요가 있습니다.”

또한 첩보 공유도 이러한 유형의 공격을 방어하는 데 도움이 된다. 사이버 위협 연맹(Cyber Threat Alliance, CTA)의 수석 분석 책임자인 네일 젠킨스(Neil Jenkins)는 “첩보를 공유함으로써 방어자들은 보다 다양한 종류의 공격을 염두에 두고 점검 및 모니터링을 할 수 있게 된다”고 말한다.

“현재 CTA의 회원들은 ‘독자적으로는 사이버 공간에서의 위협들을 전부 파악할 수 없다’는 걸 잘 이해하고 있습니다. 그래서 공동의 전선을 펴나가기 시작한 것이죠. 정보를 공유하는 건 위협의 큰 그림을 그려내는 데에 반드시 필요한 요소입니다.”

3줄 요약
1. 새로운 공격 단체 골메이커 발견됨. 오로지 정상 소프트웨어만 사용해 공격함.
2. 정상 라이브러리, 정상 프로토콜, 정상 침투 테스트 툴, 정상 파일 압축 툴 사용.
3. 이러한 교묘한 공격은 다층 방어막 형성과 정보 공유로 막아야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정모니터랩 파워비즈 5월 31일까지파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 디지털 도어록이 등록되지 않은 스마트워치로 무방비로 열리는 취약점이 발견돼 이슈가 되고 있는데요. 현재 귀하의 집에 설치된 디지털 도어록의 경우 비밀번호와 함께 주로 사용하고 있는 개폐 수단은 무엇인가요?
생체인식
카드키
교통카드(티머니)
스마트워치
스마트폰
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

동양유니텍
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

보쉬시큐리티시스템즈
CCTV / 영상보안

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

테크어헤드
얼굴인식 소프트웨어

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

디비시스
CCTV토탈솔루션

다민정보산업
기업형 스토리지

구네보코리아
보안게이트

엔토스정보통신
DVR / NVR / CCTV

옵티언스
IR 투광기

씨오피코리아
CCTV 영상 전송장비

DK솔루션
메트릭스 / 망전송시스템

티에스아이솔루션
출입 통제 솔루션

진명아이앤씨
CCTV / 카메라

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

일산정밀
CCTV / 부품 / 윈도우

두레옵트로닉스
카메라 렌즈

브이유텍
플랫폼 기반 통합 NVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

아이엔아이
울타리 침입 감지 시스템

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

엘림광통신
광전송링크

퍼시픽솔루션
IP 카메라 / DVR

CCTV프랜즈
CCTV

지에스티엔지니어링
게이트 / 스피드게이트

아이유플러스
레이더 / 카메라

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

글로넥스
카드리더 / 데드볼트

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향