Home > 전체기사
암호화 기술, 범죄자들 사이에서 빠르게 인기 얻는 중
  |  입력 : 2020-02-20 11:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
암호화 기술 활용하기 때문에 멀웨어 작고 가벼워져...탐지는 더욱 힘들어지고
암호화 활용하는 멀웨어들, 성공 확률 높아...트릭봇, 아이스드아이디, 드리덱스가 최상위


[보안뉴스 문가용 기자] 범죄자들 사이에서 암호화 기술의 인기가 빠르게 올라가고 있다. 2019년 전반기 동안 암호화 기술이 악의적인 목적으로 활용된 사례가 2018년 전체의 그것과 거의 일치할 정도라고 한다. 암호화를 사용해 자신들의 악성 행위를 감추는 자들이 늘어나고 있다는 것이다. 현재 TLS를 사용하는 멀웨어가 전체 멀웨어의 1/4 정도 된다고 한다.

[이미지 = iclickart]


암호화의 인기가 올라가는 이유는 간단하다. 멀웨어 코드를 감춰주기 때문이다. 따라서 보안 담당자의 탐지와 분석이 어렵게 된다. 사용자들이 뭔가 이상한 낌새를 눈치 채고 악성 파일을 지우려고 해도 암호화가 적용되어 있으면 쉽지 않다. 악성 행위자들 사이의 통신이 드러날 일도 없다. 즉 암호화는 자신의 흔적을 최대한 감추려는 사이버 공격자들에게 있어 최적화 된 도구라는 것이다.

멀웨어는 그 종류가 무수히 많지만, 대부분 피해자의 시스템 정보를 어디론가 보내는 기능을 1단계에서 수행한다. 이 트래픽이 있는 그대로 전송되고, 트래픽이 가는 곳이 수상한 주소를 가졌다면 쉽게 탐지된다. 하지만 최근 공격자들은 트래픽을 암호화 하고, 데이터의 도착지를 페이스트빈(Pastebin)이나 깃허브(GitHub)와 같은 정상 사이트로 지정한다. 그러므로 탐지 확률이 크게 낮아진다.

암호화 기술의 인기가 높아지면서 생기는 또 다른 현상은, 멀웨어가 작고 가벼워진다는 것이다. 트래픽을 감출 수 있으니 공격자들은 더 이상 멀웨어에 모든 기능을 욱여넣지 않는다. 작고 가벼운 것을 심어두고 C&C 통신을 통해 명령을 내릴 뿐이다. 그렇기 때문에 멀웨어는 더더욱 탐지가 어려워진다. 보안 업체 소포스(Sophos)의 연구원인 루카 나기(Luca Nagy)는 자사 블로그에 “암호화만 없었어도 분석가들의 눈에 분명하게 띌 행위들이, 암호화 때문에 거침없이 이뤄지고 있다”고 쓰기도 했다.

소포스가 연구 및 추적한 바에 따르면 “전체 멀웨어 패밀리들 중 23%가 암호화 된 통신 기술을 활용해 C&C 서버와 소통하고 있었다”고 한다. 지난 6개월 동안의 기록이다. “또한 멀웨어 전체의 16%가 정보를 탈취하는 것을 목적으로 만들어진 것이었는데, 이중 44%가 443번 포트를 통한 트래픽을 유지하고 있었습니다.” 443번 포트는 TLS 암호화 통신을 위한 것이며, 멀웨어 전체의 암호화 트래픽 사용 평균은 23%다.

패밀리 별로 봤을 때 암호화 된 기술을 가장 많이 활용하는 멀웨어는 트릭봇(TrickBot)인 것으로 나타났다. 시스템 정보를 수집해서 공격자에게 전송하는 것이 주된 목적인 멀웨어이니 당연하다. 이메일 계정 정보와 은행 계정 비밀번호 등 각종 크리덴셜을 훔치는 것을 목표로 하고 있는 멀웨어라서 더 그렇기도 하다.

소포스에 따르면 “트릭봇은 보통 https를 사용해 모듈을 다운로드 하고, 그 후에 모듈을 svchost.exe라는 윈도우 정상 프로세스에 주입한다”고 한다. 또한 수집한 데이터를 HTTPS POST 메소드를 통해 빼돌리는데, 이 때도 TLS 포트 443번이나 449번이 사용된다. 이 데이터는 크립토API(CryptoAPI)로 한 번 더 암호화 된다.

두 번째로 암호화 기능을 많이 사용하는 멀웨어 패밀리는 아이스드아이디(IcedID)인 것으로 집계됐다. 아이스드아이디는 뱅킹 트로이목마의 일종이며, 브라우저를 겨냥해 웹 주입 공격을 실시한다. 트릭봇과 마찬가지로 svchost.exe 프로세스에 스스로를 주입하며, 네트워크 내에서 횡적으로 돌아다닌다. SSL/TLS를 통해 C&C와 통신을 하며, 추가 환경 설정파일 역시 TLS를 통해 다운로드 된다.

세 번째 패밀리는 드리덱스(Dridex)다. 역시 뱅킹 트로이목마이며 피싱 캠페인이나 이모텟(Emotet) 드로퍼를 통해 퍼진다. 드리덱스가 처음 발견된 건 2011년이었고, 현재까지 꾸준히 계발 및 향상되고 있다. 크리덴셜, 쿠키, 인증서, 키스트로크, 스크린샷 등을 훔치는 기능을 가지고 있으며, 이런 행위를 할 때 443번 포트를 가장 많이 이용한다.

이처럼 멀웨어 활동에 암호화 기술을 적용하는 사례는 계속해서 증가할 것으로 보인다. 따라서 암호화가 된 트래픽을 탐지하고 검사할 수 있는 방법과 제도를 마련하는 것이 시급하다. 조직 차원에서는 TLS 인증서 및 HTTPS 트래픽과 관련된 세부 사항을 꼼꼼하게 점검할 수 있느냐 마느냐로 방어의 성공과 실패가 갈릴 것이라고 소포스는 경고한다. “당분간은 HTTPS 트래픽의 양 자체가 급증하는 것에 대해 민감하게 반응할 준비를 갖춰야 합니다.”

3줄 요약
1. 암호화 기술, 공격자들 사이에서 인기가 급증하고 있음.
2. 암호화 기술 활용해 가장 성공한 멀웨어는 트릭봇, 아이스드아이디, 드리덱스.
3. 암호화 기술로 명령 전달하는 게 가능해 멀웨어 자체는 작고 가벼워지고 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)