Home > 전체기사
멀웨어를 하나도 사용하지 않는 공격 단체 골메이커 발견
  |  입력 : 2018-10-12 09:34
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
정상 툴을 비정상적으로 사용해 공격하는 그룹, 시만텍이 찾아내
사용자 프로세스와 구분하기 어려워...다중 방어체계 갖춰야


[보안뉴스 문가용 기자] 안티멀웨어의 탐지를 피하고자 하는 사이버 범죄자들이 최근 다양한 툴들을 활용하기 시작했다. 그 중 단연 눈에 띄는 건 ‘정상 소프트웨어’다. 악성 판단이 내려지지 않는 소프트웨어를 활용해 자기들의 목적을 달성하는 것이다. 최근에는 아예 멀웨어를 전혀 사용하지 않는 공격 단체마저 등장했다.

[이미지 = iclickart]


이 공격 단체를 제일 먼저 발견한 건 보안 업체 시만텍(Symantec)으로, “이 공격자들은 누구나 사용할 수 있도록 만들어진 합법적인 소프트웨어만을 사용해 공격을 실시한다”며 “매우 은밀하고 탐지가 어렵다”고 설명한다. 시만텍은 이들을 골메이커(Gallmaker)라고 부른다.

시만텍의 이번 주, 보고서를 통해 골메이커에 대해 파악한 바를 보안 업계에 공개했다. “골메이커는 정부 기관과 군 관련 기관들을 주로 공격하는데, 현재까지는 동유럽과 중동에서 주로 발견됐습니다. 동유럽 국가들의 경우는 주로 외교 단체가, 중동 국가들의 경우는 국방 관련 조직들이 당했습니다.”

또한 골메이커는 정치외교적인 사안을 주제로 한 문서들을 공격 미끼로 활용한다고 한다. 시만텍의 수석 첩보 분석가인 존 디마지오(Jon DiMaggio)는 “주로 정찰을 목적으로 움직이는 단체로 보인다”고 설명한다. “기존의 정찰 그룹들이 하던 일들을 거의 그대로 하고 있습니다. 돈을 노리는 공격자들이었다면, 외교 기관이나 군 기관만을 집중적으로 노릴 이유가 없어 보이기도 합니다.”

골메이커는 2017년 12월부터 활동을 시작한 것으로 보인다. 가장 최근에는 2018년 6월에 공격 캠페인을 벌였다. “골메이커의 가장 큰 특징은 멀웨어를 전혀 사용하지 않는다는 겁니다. 일반 기업이나 사용자들이 정상적인 목적을 달성하기 위해 사용하는 툴과 프로토콜만을 활용합니다. 주로 침투 테스트 툴과 데이터 압축 툴들입니다.”

디마지오에 의하면 골메이커는 공격 표적을 정하고, 거기에 소속된 개인에게 악성 오피스 문건을 전송한다고 한다. 여기에 속아 문서를 열면 공격자들은 원격에서 오피스 동적 데이터 교환(DDE) 프로토콜을 사용해 시스템 메모리 내에서 명령을 실행할 수 있게 된다. 그 시점부터 골메이커는 메모리 내에서 다양한 툴들을 활용할 수도 있게 된다. 정상 소프트웨어를 사용하는 것뿐만 아니라 메모리 내에서만 움직이기 때문에 탐지가 거의 불가능하다.

DDE는 데이터를 공유하는 마이크로소프트 앱들 간 메시지 교환을 가능하게 해주는 프로토콜이다. 원래는 디폴트로 활성화 되어 있는 기능인데, 지난 12월 패치를 통해 디폴트가 ‘비활성화’로 바뀌었다. 해커들이 이를 악용해 워드와 엑셀 문서를 통해 악성 코드를 실행시킨 사례가 나왔기 때문이었다. 골메이커에 당한 조직들은 이 패치를 적용하지 않은 것으로 보인다.

골메이커는 이러한 ‘DDE 공격’을 통해 렉스 파워셸(Rex Powershell) 스크립트를 실행했다. “그렇게 했을 때 골메이커는 메트스플로잇(Metasploit)이라는 침투 테스트 툴을 통해 역 TCP 셸 연결을 할 수 있게 됩니다.” 여기까지 성공하면 원격에서 시스템을 장악할 수 있다는 뜻인데, “공격자들은 그 후 윈집(WinZip)을 다운로드 받아 자신들이 빼낼 데이터를 압축한다.” 역시나 정상적인 툴이 사용되는 것이다.

이런 일련의 과정을 탐지하는 게 어려운 이유 중 하나는, 이것이 매우 정상적인 프로세스로 보이기 때문이다. “예를 들어 렉스 파워셸은 원래 메타스플로잇과 잘 호환되도록 설계된 라이브러리입니다. 메타스플로잇도 침투 테스터들이 자주 사용하는 툴이죠. 메타스플로잇이 있다고 해서 반드시 해커가 사용했다는 증거가 되는 툴이 아닙니다. 윈집은 압축 툴의 대명사 같은 위치에 있는 것이고요.”

그렇다면 시만텍은 골메이커를 애초에 어떻게 찾아낸 것일까? “한 고객의 웹사이트에서 파워셸 명령이 실행되고 나서 DDE가 실행되는 것이 탐지됐습니다. 수상해서 조사를 진행해보니 정상적인 행위가 아니었습니다.”

디마지오는 “정상 툴을 사용하는 공격이 사이버 범죄자들 사이에서 유행처럼 떠오르고 있다”고 경고한다. “장점이 분명한 전략입니다. 보안 담당자 입장에서 탐지가 훨씬 더 어렵다는 것이죠. 일반 사용자의 정상적인 업무 프로세스에 녹아들어 눈에 띄지 않기 때문에 정말 까다로운 공격이 아닐 수 없습니다.”

이러한 종류의 공격은 결국 “다층위 방어 체계로 막아야 한다”고 디마지오는 강조한다. “방화벽과 침투 방지 시스템, 엔드포인트 보안 툴이 함께 복합된 것을 말합니다. 또한 기업 내 네트워크에서의 관리자 툴 사용을 철저하게 관리할 필요가 있습니다.”

또한 첩보 공유도 이러한 유형의 공격을 방어하는 데 도움이 된다. 사이버 위협 연맹(Cyber Threat Alliance, CTA)의 수석 분석 책임자인 네일 젠킨스(Neil Jenkins)는 “첩보를 공유함으로써 방어자들은 보다 다양한 종류의 공격을 염두에 두고 점검 및 모니터링을 할 수 있게 된다”고 말한다.

“현재 CTA의 회원들은 ‘독자적으로는 사이버 공간에서의 위협들을 전부 파악할 수 없다’는 걸 잘 이해하고 있습니다. 그래서 공동의 전선을 펴나가기 시작한 것이죠. 정보를 공유하는 건 위협의 큰 그림을 그려내는 데에 반드시 필요한 요소입니다.”

3줄 요약
1. 새로운 공격 단체 골메이커 발견됨. 오로지 정상 소프트웨어만 사용해 공격함.
2. 정상 라이브러리, 정상 프로토콜, 정상 침투 테스트 툴, 정상 파일 압축 툴 사용.
3. 이러한 교묘한 공격은 다층 방어막 형성과 정보 공유로 막아야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2019년 국정감사에서 가장 중점적으로 다뤄야 할 보안이슈는 무엇이라고 보시나요?
잇따른 개인정보 유출사고
드론 테러 대응 대책
보안 관련 법 체계, 제도 정비
국가 사이버안보 거버넌스(보안 콘트롤타워) 정립
국가 차원의 사이버테러 대응 방안
스마트시티에서의 보안위협 대응
https 접속 차단 정책
국가핵심기술 및 기업 기밀 보호 방안
기타(댓글로)
      

유니뷰코리아
CCTV / 영상보안

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

아이디스
DVR / IP / VMS

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

Videotec
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

도마카바코리아
시큐리티 게이트

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

비전정보통신
IP카메라 / VMS / 폴

슈프리마
출입통제 / 얼굴인식

동양유니텍
IR PTZ 카메라

트루엔
IP 카메라

링크플로우
이동형 CCTV 솔루션

보쉬시큐리티시스템즈
CCTV / 영상보안

엔토스정보통신
DVR / NVR / CCTV

CCTV협동조합
CCTV

아이티엑스엠투엠
DVR / NVR / IP CAMERA

디비시스
CCTV토탈솔루션

씨오피코리아
CCTV 영상 전송장비

테크어헤드
얼굴인식 소프트웨어

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

구네보코리아
보안게이트

다민정보산업
기업형 스토리지

에스카
CCTV / 영상개선

이스트시큐리티
엔트포인트 보안

신우테크
팬틸드 / 하우징

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

알에프코리아
무선 브릿지 / AP

사라다
지능형 객체 인식 시스템

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

창우
폴대

퍼시픽솔루션
IP 카메라 / DVR

새눈
CCTV 상태관리 솔루션

이노뎁
VMS

케이티앤씨
CCTV / 모듈 / 도어락

아이유플러스
레이더 / 카메라

진명아이앤씨
CCTV / 카메라

브이유텍
플랫폼 기반 통합 NVR

아이엔아이
울타리 침입 감지 시스템

두레옵트로닉스
카메라 렌즈

이후커뮤니케이션
CCTV / DVR

DK솔루션
메트릭스 / 망전송시스템

옵티언스

대산시큐리티
CCTV 폴 / 함체 / 랙

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

더케이
투광기 / 차량번호인식

유진시스템코리아
팬틸트 / 하우징

세환엠에스
시큐리티 게이트

지에스티엔지니어링
게이트 / 스피드게이트

카티스
출입통제 / 외곽경비

유니온커뮤니티
생체인식 / 출입통제