암호화 기술, 범죄자들 사이에서 빠르게 인기 얻는 중

암호화 기술 활용하기 때문에 멀웨어 작고 가벼워져...탐지는 더욱 힘들어지고
암호화 활용하는 멀웨어들, 성공 확률 높아...트릭봇, 아이스드아이디, 드리덱스가 최상위

[보안뉴스 문가용 기자] 범죄자들 사이에서 암호화 기술의 인기가 빠르게 올라가고 있다. 2019년 전반기 동안 암호화 기술이 악의적인 목적으로 활용된 사례가 2018년 전체의 그것과 거의 일치할 정도라고 한다. 암호화를 사용해 자신들의 악성 행위를 감추는 자들이 늘어나고 있다는 것이다. 현재 TLS를 사용하는 멀웨어가 전체 멀웨어의 1/4 정도 된다고 한다.

[이미지 = iclickart]

암호화의 인기가 올라가는 이유는 간단하다. 멀웨어 코드를 감춰주기 때문이다. 따라서 보안 담당자의 탐지와 분석이 어렵게 된다. 사용자들이 뭔가 이상한 낌새를 눈치 채고 악성 파일을 지우려고 해도 암호화가 적용되어 있으면 쉽지 않다. 악성 행위자들 사이의 통신이 드러날 일도 없다. 즉 암호화는 자신의 흔적을 최대한 감추려는 사이버 공격자들에게 있어 최적화 된 도구라는 것이다.

멀웨어는 그 종류가 무수히 많지만, 대부분 피해자의 시스템 정보를 어디론가 보내는 기능을 1단계에서 수행한다. 이 트래픽이 있는 그대로 전송되고, 트래픽이 가는 곳이 수상한 주소를 가졌다면 쉽게 탐지된다. 하지만 최근 공격자들은 트래픽을 암호화 하고, 데이터의 도착지를 페이스트빈(Pastebin)이나 깃허브(GitHub)와 같은 정상 사이트로 지정한다. 그러므로 탐지 확률이 크게 낮아진다.

암호화 기술의 인기가 높아지면서 생기는 또 다른 현상은, 멀웨어가 작고 가벼워진다는 것이다. 트래픽을 감출 수 있으니 공격자들은 더 이상 멀웨어에 모든 기능을 욱여넣지 않는다. 작고 가벼운 것을 심어두고 C&C 통신을 통해 명령을 내릴 뿐이다. 그렇기 때문에 멀웨어는 더더욱 탐지가 어려워진다. 보안 업체 소포스(Sophos)의 연구원인 루카 나기(Luca Nagy)는 자사 블로그에 “암호화만 없었어도 분석가들의 눈에 분명하게 띌 행위들이, 암호화 때문에 거침없이 이뤄지고 있다”고 쓰기도 했다.

소포스가 연구 및 추적한 바에 따르면 “전체 멀웨어 패밀리들 중 23%가 암호화 된 통신 기술을 활용해 C&C 서버와 소통하고 있었다”고 한다. 지난 6개월 동안의 기록이다. “또한 멀웨어 전체의 16%가 정보를 탈취하는 것을 목적으로 만들어진 것이었는데, 이중 44%가 443번 포트를 통한 트래픽을 유지하고 있었습니다.” 443번 포트는 TLS 암호화 통신을 위한 것이며, 멀웨어 전체의 암호화 트래픽 사용 평균은 23%다.

패밀리 별로 봤을 때 암호화 된 기술을 가장 많이 활용하는 멀웨어는 트릭봇(TrickBot)인 것으로 나타났다. 시스템 정보를 수집해서 공격자에게 전송하는 것이 주된 목적인 멀웨어이니 당연하다. 이메일 계정 정보와 은행 계정 비밀번호 등 각종 크리덴셜을 훔치는 것을 목표로 하고 있는 멀웨어라서 더 그렇기도 하다.

소포스에 따르면 “트릭봇은 보통 https를 사용해 모듈을 다운로드 하고, 그 후에 모듈을 svchost.exe라는 윈도우 정상 프로세스에 주입한다”고 한다. 또한 수집한 데이터를 HTTPS POST 메소드를 통해 빼돌리는데, 이 때도 TLS 포트 443번이나 449번이 사용된다. 이 데이터는 크립토API(CryptoAPI)로 한 번 더 암호화 된다.

두 번째로 암호화 기능을 많이 사용하는 멀웨어 패밀리는 아이스드아이디(IcedID)인 것으로 집계됐다. 아이스드아이디는 뱅킹 트로이목마의 일종이며, 브라우저를 겨냥해 웹 주입 공격을 실시한다. 트릭봇과 마찬가지로 svchost.exe 프로세스에 스스로를 주입하며, 네트워크 내에서 횡적으로 돌아다닌다. SSL/TLS를 통해 C&C와 통신을 하며, 추가 환경 설정파일 역시 TLS를 통해 다운로드 된다.

세 번째 패밀리는 드리덱스(Dridex)다. 역시 뱅킹 트로이목마이며 피싱 캠페인이나 이모텟(Emotet) 드로퍼를 통해 퍼진다. 드리덱스가 처음 발견된 건 2011년이었고, 현재까지 꾸준히 계발 및 향상되고 있다. 크리덴셜, 쿠키, 인증서, 키스트로크, 스크린샷 등을 훔치는 기능을 가지고 있으며, 이런 행위를 할 때 443번 포트를 가장 많이 이용한다.

이처럼 멀웨어 활동에 암호화 기술을 적용하는 사례는 계속해서 증가할 것으로 보인다. 따라서 암호화가 된 트래픽을 탐지하고 검사할 수 있는 방법과 제도를 마련하는 것이 시급하다. 조직 차원에서는 TLS 인증서 및 HTTPS 트래픽과 관련된 세부 사항을 꼼꼼하게 점검할 수 있느냐 마느냐로 방어의 성공과 실패가 갈릴 것이라고 소포스는 경고한다. “당분간은 HTTPS 트래픽의 양 자체가 급증하는 것에 대해 민감하게 반응할 준비를 갖춰야 합니다.”

3줄 요약
1. 암호화 기술, 공격자들 사이에서 인기가 급증하고 있음.
2. 암호화 기술 활용해 가장 성공한 멀웨어는 트릭봇, 아이스드아이디, 드리덱스.
3. 암호화 기술로 명령 전달하는 게 가능해 멀웨어 자체는 작고 가벼워지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)