랜섬웨어 조직과 봇넷 운영 세력, 금융 사기 범죄 조직 등 특정 유형에 해당하는 사이버 범죄 조직은 공격 행위와 작전 개시 상황으로 특별히 주목받는다. 그러나 디지털 범죄의 기반이 되는 광범위한 생태계에는 기본적으로 범죄 조직 단위 고객을 위한 서비스를 지원할 다양한 해커 세력과 악성 조직이 포함되었다. 오늘날 보안 기업 eSentire 연구팀이 기업과 여러 기관 보안을 침입하고는 다른 사이버 범죄 세력을 대상으로 보안 피해가 발생한 기업의 디지털 접근 권한을 판매하는 오래된 어느 한 범죄 조직의 작전을 무력화할 방법을 공개했다.
서비스로서의 초기 접근 권한(initial-access-as-a-service) 작전으로도 알려진 구트로더(Gootloader) 멀웨어와 이를 이용한 공격 배후에 있던 사이버 범죄 세력은 수년간 전 세계 여러 기업과 기관의 보안 침해와 사기 공격을 개시했다. 구트로더 조직은 피해 기관의 시스템 감염 피해를 일으키고는 고객이 우선시하는 멀웨어가 보안 침입이 발생한 피해 네트워크를 전달할 수 있는 접근 권한을 판매했다. 거래 대상은 랜섬웨어 조직, 데이터 유출 메커니즘 공격 조직, 혹은 피해 기관의 시스템을 더 깊은 곳까지 침입하고자 하는 해커 조직 등 모든 사이버 범죄 조직이나 해커 세력이다. eSentire 연구팀은 구트로더 페이지 데이터를 추적하려 악명 높은 러시아 랜섬웨어 조직 레빌(REvil)이 2019년부터 2022년까지 구트로더를 이용해 피해 기관 시스템 초기 접근 권한을 손에 넣은 증거를 주기적으로 수집했다. 구트로더 멀웨어와 레빌의 관계는 다른 보안 연구팀도 이미 알아낸 사실이다.
eSentire 수석 보안 연구원 조 스튜어트(Joe Stewart)와 수석 위협 연구원 키간 케플링어(Keegan Keplinger)는 웹 크롤러를 설계해, 실시간 구트로더 웹 페이지와 이미 구트로더에 감염된 웹사이트를 계속 추적했다. 지금까지 구트로더 웹페이지 약 17만 8,000개와 과거 구트로더에 감염된 사실이 확인된 웹사이트 10만 곳 이상 관측하였다. 2022년, 회고적 자문을 통해 미국 사이버 보안 및 인프라안보국(CISA)은 구트로더 멀웨어가 2021년 가장 널리 악용된 멀웨어 10종 중 하나라고 경고했다.
스튜어트와 케플링어는 시간에 따라 구트로더의 활동과 작전을 조사하면서 구트로더가 추적 사실을 발견하고는 보안 탐지를 피하려는 방식의 특성을 확인했다. 해당 특성은 사이버 공격 방어 세력이 네트워크 감염을 예방하는 데도 활용할 수 있다.
스튜어트는 “구트로더 시스템과 멀웨어 감염 피해 정도를 깊이 파헤쳐 보면, 구트로더를 동원한 공격 작전에 영향을 미칠 수 있는 사소한 기회를 발견할 수 있다. 주의를 끌면 지나치게 집착하게 된다. 반대로 멀웨어 개발 세력은 사이버 보안 전문가가 멀웨어에 관심을 보이지 않고 자체 연구에만 몰두하는 것을 원하지 않는다”라고 말했다.
[사진=Freepik]
눈에서 멀어지면 관심도 멀어진다
구트로더는 2010년 초반 주로 유럽을 중심으로 감염 피해를 일으킨 뱅킹 트로이 목마인 ‘구트키트(Gootkit)’에서 진화하였다. 구트키트는 피싱 메일이나 악성 프로그램에 감염된 웹사이트를 통해 배포되어 신용카드 데이터, 은행 계좌 로그인 정보 등 금융 정보를 탈취하도록 설계됐다. 2020년 초반 시작된 활동 결과로 연구팀은 구트로더를 별도로 추적하기 시작했다. 구트로더가 스파이웨어와 랜섬웨어를 포함한 다양한 범죄 소프트웨어 배포 시 사용되는 사례가 갈수록 증가했기 때문이다.
구트로더 운영 세력은 종종 보안 침입 피해가 발생한 문서로 연결할 링크를 유포한다. 특히 템플릿 및 기타 일반 양식의 링크를 배포하는 것으로 널리 알려졌다. 공격 표적이 링크에 접속해 악성 문서를 내려받는다면, 의도치 않게 구트로더 멀웨어를 설치하게 된다. 공격자는 피해자가 멀웨어를 다운로드하도록 하고자 이른바 검색 엔진 최적화 감염(search-engine-optimization poisoning) 전략을 이용해 특히 워드프레스 블로그를 중심으로 정상적인 블로그 보안을 침입하고는 악성 문서 링크가 포함된 콘텐츠를 재빨리 추가한다.
구트로더는 몇 가지 특성으로 악성 프로그램에 감염된 블로그 게시글 연결을 감시하도록 설계됐다. 예를 들어, 관리 권한을 떠나 누군가가 보안 침입이 발생한 워드프레스 블로그에 접속한다면, 악성 링크를 포함한 블로그 게시글을 볼 수 없도록 차단된다. 구트로더는 관련 워드프레스 계정 접속 주소 숫자와 비슷한 IP 주소를 영구 차단한다. 같은 조직에 소속된 이들이 악성 게시물을 볼 수 없도록 하려는 조처이다.
공격자는 특정 주제를 중심으로 한 블로그 탈취에 초점을 맞추면서 잠재적 피해자 범위를 좁히고는 특정 업계나 분야를 공격 표적으로 삼는다. 계약서나 법률 합의서 형태의 템플랫으로 악성 문서를 광고하고 관련 블로그 보안 침입을 일으키면서 기업 법무 부서와 법무법인을 공격 대상으로 삼은 구트로더 멀웨어가 발견된 적이 있다. eSentire 연구팀은 2023년에만 구트로더 감염 피해 기관 12곳의 감염 문제를 해결했다. 그중 7곳은 법무법인이었다.
케플링어는 “구트로더는 악성 문서를 이용해 특정 대상을 표적으로 삼는 것으로 알려진 최대 규모 공격 작전이며, 검색 엔진 최적화 감염은 실제로 독특한 사례이다. 구트로더는 감염된 각각의 도메인에 이용할 100여 가지 합의서나 계약 조항을 생성하며, 해당 문서를 수만 번 이용할 수도 있다. 만약, 운동화를 판매한다면, 검색 엔진 최적화 시 ‘운동화’라는 키워드를 사용자는 다른 판매자와 경쟁하게 된다. 이처럼 같은 법률 문구를 사용하는 누군가와 경쟁한다. 구트로더에 감염되었을 때는 경쟁 상황에 놓이는 일이 거의 없다”라고 말했다.
블로그 운영자가 악성 페이지를 볼 수 없도록 차단하는 것 이외에도 구트로더 작전은 괌범위한 차단 시스템에 의존하고는 지역별로 피해 대상을 지정하는 동시에 다른 이들의 감지를 피하게 된다. 예를 들어, 공격자는 현재 구트로더 멀웨어를 미국, 캐나다, 영국, 호주를 포함한 특정 국가에만 유포하도록 시스템을 설정할 수 있다. 구트로더 멀웨어 유포 대상으로 지정되지 않은 국가와 관련된 IP 주소를 통해 악성 링크에 접속했다면, 멀웨어에 감염되지 않는다. 이처럼 구트로더는 윈도 기기만 공격 표적으로 삼는다면, 브라우저 지표가 윈도가 아닌 다른 운영체제로 접속했음을 시사할 때는 멀웨어에 감염되지 않는다.
한 가지 간단한 속임수
중요한 사실은 시스템이 사용자가 하루당 멀웨어 하나만 내려받도록 설계되었다는 점이다. 이 덕분에 기기가 구트로더 멀웨어에 감염돼 IT 혹은 보안 담당 부서 인력이 브라우저 검색 이력을 조사하고 악성 페이지를 다시 본다면, 가짜 블로그 게시글만 보게 된다. 스튜어트와 케플링어는 구트로더 방어 메커니즘을 이용하여 구트로더 감염을 막을 수 있다는 점을 깨닫게 되었다.
스튜어트는 “구트로더 멀웨어가 하루에 한 번만 다운로드 가능하다는 점이 약점이다. 연구팀과 보안팀이 멀웨어를 포함한 블로그 페이지를 볼 수 있도록 하지만, 멀웨어에 감염된 블로그에 의존하여 블로그를 방문한 IP 주소를 알아낸다. 따라서 인터넷상의 모든 IP 주소가 멀웨어에 감염된 페이지에 접속한 것처럼 보이도록 속이는 방식을 이용하여 차단을 유도할 수 있다. 따라서 하루에 한 번만 멀웨어에 감염된 웹사이트에 접속해도 누구나 구트로더 멀웨어를 볼 수 없도록 선택적으로 차단할 수 있다. 인터넷의 광범위한 영역을 보호할 수도 있다”라고 말했다.
스튜어트와 케플링어는 구트로더 조직이 시스템 설계를 변경할 확률이 높다는 점에서 구트로더 멀웨어 연구 결과 발표를 고민했다고 밝혔다. 그러나 구트로더의 위험성을 더 널리 알리고자 연구 결과를 공개했다. 연구로 제시한 방법으로 사이버 공격 방어자가 IP 주소 보호라는 구트로더 멀웨어 예방 방식을 알고, 확장된 멀웨어 모니터링 서비스에서 구트로더에 감염된 페이지를 표시하기 시작할 수 있다. 스튜어트와 케플링어는 공격자가 차단 목록을 제거하면 멀웨어 샘플을 더 쉽게 구할 수 있다는 점에서 스캐너가 더 많은 탐지를 추가할 수 있게 될 것이라고 설명했다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202305/4727_6194_1644.jpg)
뉴스레터 신청