Home > 전체기사 > 외신
서방 세계에서만 돌다가 일본까지 덮친 트릭봇, 곧 한국도?
  |  입력 : 2019-12-04 10:43
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
연휴 및 쇼핑 시즌 맞아 대규모 공격 준비 중인 공격자들, 일본에까지 도착해
이모텟으로 트릭봇 설치하고, 트릭봇 공격 끝나면 류크 랜섬웨어로 추가 공격


[보안뉴스 문가용 기자] 악명 높은 뱅킹 트로이목마인 트릭봇(Trickbot)이 현재 코드 수정 과정을 거치고 있는 것으로 나타났다. 트릭봇 운영자들이 연말연시를 맞아 대규모 공격을 준비하고 있는 것으로 보인다. 그리고 그 징조가 현재 일본에서 주로 나타나고 있다고 한다.

[이미지 = ilcickart]


IBM의 엑스포스(X-Force) 팀에 의하면 트릭봇은 현재 가장 활발히 활동하고 있는 뱅킹 트로이목마 유형의 멀웨어다. 지난 몇 년 동안 트릭봇은 계속해서 강화되어 왔다. 불과 얼마 전인 지난 8월에도 모바일 사용자들을 노릴 수 있도록 업그레이드 되었고, 의료 산업도 공격할 수 있도록 페이로드가 일부 수정되기도 했다. 이메일 첨부파일 형태로 퍼져가던 것에 더해 각종 우회 전략을 사용하는 모습을 보인 적도 있었다.

트릭봇은 주로 영어를 모국어나 공용어로 사용하는 서양 국가들에서 피해를 일으켰다. 그 외 지역에서의 피해가 아주 없던 것은 아니나, 미비한 수준이었다. 따라서 현재 트릭봇이 일본에서 기승을 부리고 있다는 건, 트릭봇 공격이 새로운 양상을 띄기 시작했다고 해석해도 될 만한 부분이다.

엑스포스의 전문가들은 일본의 전자상거래 및 암호화폐 플랫폼 사용자들이 이 사실을 반드시 알고 있어야 한다고 강조했다. 현재 트릭봇은 대부분 은행(76%)에서 발생하고 있고, 전자상거래(5%), 지불카드(3%), 신용조합(3%), 비트코인 거래소(3%)를 겨냥하는 비율도 점차 높아지고 있는 추세다.

일본의 조직들을 겨냥한 트릭봇 공격은 주로 악성 스팸메일로부터 시작한다. 이 메일에 속은 사용자는 이모텟(Emotet)이란 봇넷을 다운로드 받게 되고, 이 이모텟으로부터 재차 트릭봇을 허용하게 된다. 또한 은행 웹사이트를 겨냥한 웹 주입 공격도 눈에 띈다. 이 경우 은행 입출금 관련 사기로 이어진다. 혹은 사용자가 거래 시 입력하는 각종 정보를 훔쳐내기도 한다.

트릭봇 자체로도 걱정거리인데, 이 트릭봇이 류크(Ryuk) 랜섬웨어로 변모할 수 있다는 것도 염두에 두어야 한다. “이모텟에서 트릭봇으로 이어지는 공격 사슬은 거의 대부분 류크 랜섬웨어로 마무리 되어왔습니다. 류크 랜섬웨어는 전 세계적으로 다양한 조직들을 마비시켜온 전적이 있는 무서운 멀웨어고요. 이모텟과 트릭봇까지 봤으니 일본은 류크에 대한 대비도 해야 합니다.” 엑스포스의 리모 케셈(Limor Kessem)과 이트직 치미노(Itzik Chimino)의 설명이다.

류크 랜섬웨어는 2019년 현재까지도 활발하게 활동하고 있는 랜섬웨어다. ‘체류 시간’ 때문에 유명하다. 즉 최초 침투 시기와 실제 피해가 발동되는 시기의 차이가 너무 크다는 게 류크의 특징 중 하나라는 것이다. 또한 피해자에 따라 요구하는 금액이 다르다는 것도 류크의 특징이다. 이모텟으로 트릭봇을 설치하고, 트릭봇을 통해 파악한 피해자가 돈을 낼 여력이 있다고 판단되면 류크 공격이 시작된다.

케셈과 치미노는 “금융 기관과 전자 상거래 업체들이라면 OS와 애플리케이션 업데이트에 가장 많이 신경을 써야 한다”고 권고한다. “이모텟이나 트릭봇의 가장 주된 공격 대상은 패치가 안 된 시스템입니다. 패치가 원활하게 진행될 수 없는 상황이라면, 해당 자원을 따로 분리시키기라도 해야 합니다.”

또한 직원 교육을 통해 트릭봇 공격에 대해 알리고, 전사적인 경계 태세를 취하는 것도 중요하다고 엑스포스 팀은 강조한다. “직무에 따라 어떤 공격을 예상할 수 있고, 어떤 의심 행위가 나타날 수 있는지 알려줘서 실전에 대한 대비를 해줘야 합니다. 보안은 항상 기술과 교육의 합작품입니다.”

3줄 요약
1. 악명 높은 트릭봇, 현재 일본에서 기승 부리고 있음.
2. 트릭봇은 금융 관련 단체와 정보 노리는, 현재 가장 악독한 멀웨어.
3. 게다가 트릭봇 공격은 류크 랜섬웨어로 이어지는 게 보통.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
랜섬웨어
공급망 공격
클라우드
악성메일
IoT
다크웹
AI
기타(댓글로)