사이버 범죄 시장, 서비스형 난독화 플랫폼까지 탄생시켰다

입력 : 2020-12-04 11:02

규모 제대로 갖춰가는 범죄자들의 시장...멀웨어 탐지 회피해주는 처리도 대행
아직까지는 어설픈 품질 수준...그러나 플랫폼 간 경쟁 발생할 경우 업그레이드는 시간 문제

[보안뉴스 문가용 기자] 새로운 구독형 서비스가 사이버 범죄 시장에 등장했다. 바로 ‘서비스형 난독화(obfuscation-as-a-service, OaaS)’다. 사이버 범죄 시장이 얼마나 조직적으로 규모를 갖추고 성장하고 있느지를 나타내는 사례라고 볼 수 있다. 해커와 보안 담당자의 머리 싸움이 아니라, 시장과 시장의 충돌로서 사이버 범죄를 바라봐야 하는 때가 다가오고 있다.


이번에 나타난 플랫폼은 완전 자동화 체제로 운영되고 있으며, APK 형태의 모바일 멀웨어가 백신에 탐지되지 않도록 조치를 취해준다. 누구나 돈만 내면 이 플랫폼에서 자신의 멀웨어에 난독화 기술을 덧입힐 수 있다. 난독화 처리를 하려는 APK 별로 가격을 계산하여 낼 수도 있고, 한 달에 한 번 정기 결제를 진행할 수도 있다. 영어와 러시아어로 서비스가 제공되고 있다.

보안 업체 고시큐어(GoSecure)의 마사라 파켓클라우스톤(Masarah Paquet-Clouston), 트렌드 마이크로(Trend Micro)의 빗 셈베라(Vit Sembera), 스트라토스피어 래보래토리(Stratosphere Laboratory)의 마리아 호세 에르퀴아가(Maria Jose Erquiaga), 세바스티안 가르시아(Sebastian Garcia)가 공동으로 이 플랫폼을 찾아 분석했다. 원래는 안드로이드 트로이목마 하나를 추적했었는데, 이 과정에서 이 OaaS 플랫폼과 맞닥트린 것이라고 한다.

이 플랫폼에서 제시하는 가격은 다음과 같다고 한다.
1) APK 하나 당 20 달러
2) 10개 APK 한꺼번에 결제 시 100 달러
3) 30일 무제한 사용료는 850 달러
현재까지 약 3000개의 APK 파일들이 이 플랫폼에 제출된 것으로 보인다.

연구진들은 이 서비스를 사용하는 범죄자들을 관찰하다가 비슷한 기능을 제공하는 다른 OaaS 플랫폼들이 다수 존재한다는 것을 알게 되었다. 총 7개의 OaaS 플랫폼이 현재까지 발견됐다고 한다. 다만 위에서 처음으로 언급된 OaaS 플랫폼의 경우 가격이 가장 저렴했다고 한다. “가격 차이를 봤을 때 다른 6개의 플랫폼은 수동 난독화를 진행하는 것 같고, 저희가 연구한 플랫폼은 자동화 기술을 채용한 것이 맞아 보입니다.” 파켓클라우스톤의 설명이다. 한편 이 서비스들 전부 재버(Jabber)나 텔레그램(Telegram)을 통해 고객과 거래를 진행하는 것으로 나타났다.

그렇다면 이 플랫폼을 거쳐 간 멀웨어들은 실제 낮은 탐지율을 기록하고 있을까? 파켓클라우스톤은 “중급 정도의 품질을 가진 서비스”라고 평가한다. 또한 “APK에 탑재된 악성 요소가 비교적 적은 상태에서 난독화를 거치면 오히려 탐지율이 높아진다”고 설명을 덧붙이기도 했다. “따라서 악성 요소들이 많으면 많을수록 이 플랫폼을 사용했을 때 효율이 높아집니다. 고도의 악성 애플리케이션 제작자들이 주요 고객층일 것 같습니다.”

시장 경쟁을 통해 이들의 서비스가 더 활성화 되고 품질이 높아진다면 멀웨어 탐지를 담당하는 사람들의 입장은 곤란해질 것으로 보인다. 하지만 나쁜 소식만 있는 건 아니다. 연구원들은 “아직까지는 OaaS 플랫폼들이 대부분 엉성한 편”이라고 결론을 내린다. “난독화 처리를 하는 과정에서 더 많은 디지털 지문을 남기는 경우가 많다”며 “지금 당장의 위협은 아니라고 봐도 된다”고 덧붙이기도 했다.

하지만 모든 멀웨어가 “우스운” 초기 단계를 지나 성숙해지고 정식 위협이 되는 것을 보안 업계는 여러 차례 목격해왔다고 셈베라는 강조한다. “이들은 시장을 갖추고 있습니다. 규모가 제대로 성립된 시장이에요. 여기서는 발전이 계속해서 일어날 수밖에 없습니다. 그러므로 지금의 어설픈 위협이 나중에 어떤 모양으로 우리에게 칼을 겨누게 될지 모릅니다. 미리 방비해야 할 것입니다.”

그런 의미에서 연구원들은 이 OaaS 플랫폼의 기술적 세부 사항들을 웹 페이지(https://www.gosecure.net/blog/2020/12/02/deep-dive-into-an-obfuscation-as-a-service-for-android-malware/)를 통해 공개했다. 누구나 열람이 가능하다.

3줄 요약
1. 범죄자들 사이에서 OaaS라는 새로운 플랫폼 등장.
2. 난독화를 대행해주는 서비스로, 현재까지 7개 플랫폼 발견됨.
3. 다행히 아직까지는 품질이 어설프지만, 시장 내 경쟁 통해 업그레이드 된다면 위험해질 듯.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 3

  2024년 가을, 정보보안 전문가 채용......

• 4

  FBI는 어떻게 사이버 범죄자들을 소탕했을까...

• 5

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 1

  위험 수위 넘어 급속도로 확산되고 있는 딥페...

• 2

  [Security China 2024 취재記...

• 3

  [테크칼럼] 놀랍고 혁신적인 보안 기술 ‘엔...

• 4

  해킹그룹 어웨이큰리코, ‘메시에이전트’라는 ...

• 5

  친러 성향 해커 ‘서버 킬러스’, 서울·인천...

• 1

  윈도 다운그레이드를 통해 취약점을 부활시키는...

• 2

  [긴급] 삼성 일부 모바일 프로세서에서 취약...

• 3

  슬랙 광고 클릭하면 설치되는 멀버타이징 공격...

• 4

  OT 환경에서의 인증 취약점 악용 공격 급증...

• 5

  ‘건강검진 사칭’ 문자 주의보! 공식 문자에...