보안 및 IT분야의 최신 뉴스를 확인해보세요!

보안 뉴스

보안 및 IT분야의 최신 뉴스를 빠르고 정확하게 전달해드립니다.

정보 탈취형 멀웨어 로키, 엑셀 문서 통해 퍼진다

로키(Loki)라는 정보 탈취형 멀웨어가 최근 MS 엑셀 문서를 통해 퍼지고 있다는 사실이 보안 업체 라스트라인 랩스(Lastline Labs)에 의해 밝혀졌다. 이 수법이 얼마나 교묘한지 초기에 이 공격을 탐지해내는 게 꽤나 어렵다고 라스트라인 측에서 말할 정도였다. “기존의 백신은 대부분 피해갈 수 있고, 경보가 울려도 오탐으로 보입니다.”


▲ 로키 산맥... 물론 그 로키가 그 로키는 아니지만[이미지 = iclickart]


라스트라인은 이번 달 초 보고서를 통해 “멀웨어를 다운로드 받고 실행시킬 수 있는 악성 액셀 파일에 대한 연구 결과”를 세상에 발표한 바 있다. 기존 MS 오피스 문서 기반 공격에서 흔히 발견되는 매크로나 셸코드, DDE 기능의 악용 증거는 발견되지 않았으며, 바이러스토탈(VirusTotal)에서도 탐지 비율이 매우 낮았다. 이는 기존에 알려지지 않은 위협이라는 뜻으로도 연결된다.

이 공격이 교묘할 수 있는 이유는 바로 스크립트렛(scriptlet). 라스트라인의 첩보 책임자인 앤디 노턴(Andy Norton)은 “매크로나 셸코드를 사용하지 않으면서도 새 페이로드를 다운로드 받고 실행시키는 이상한 엑셀 파일이 급증하고 있다는 걸 파악했고 분석을 이어간 결과 공격자들이 오피스 문서 내 스크립트렛에 악성 URL을 엠베드시키고 있었다는 걸 파악했다”고 설명한다.

이러한 악성 엑셀 파일을 열면 외부 링크를 업데이트 하라는 경고창이 뜬다. 이는 외부에서 특정 요소를 불러올 때를 위해 MS가 만들어 둔 기능이며, 파일 용량을 작게 유지하기 위해 사용자들도 곧잘 활용한다. 즉 정상적인 경고창으로 보인다는 것이다. 하지만 이 경우 경고창 내 링크가 가리키는 건 악성 스크립트렛이다. “악성 페이로드가 여태까지 잘 나타나지 않던 방법으로 전달되는 걸 발견한 것이죠.”

이번에 발견된 악성 스크립트렛은 로키를 가져오고 실행시키는 기능을 가지고 있는 것으로 분석됐다. 로키는 사용자 이름과 비밀번호를 빼돌리는 멀웨어다. 이메일 클라이언트, 브라우저, FTP 클라이언ㅌ, 파일 관리 클라이언트에서부터 이러한 중요 정보를 훔쳐간다. “솔직히 페이로드 전달 방법이 너무 새로워서 놀랐습니다. 해커들은 계속해서 우리에게 나쁜 걸 전달하기 위해 진화하고 있습니다.”

악성 파일이 사용자에게로 전달되는 방법은 바로 이메일이다. 로키는 성공적으로 크리덴셜을 훔쳐낸 후 공격자에게 어떤 웹사이트가 아이덴티티 탈취 공격에 취약한지 보여준다. 소셜 미디어 사이트, 지불 관련 포털, 비트코인 지갑 등이 여기에 포함된다. 

공격자들이 익스플로잇하는 취약점은 CVE-2017-0199로 MS 오피스 문건에서 발견됐다. 원격 시스템 통제를 가능하게 하며, 지난 4월에 패치되고, 9월에 다시 한 번 업데이트 됐다. 공격이 성립하려면 피해자가 문건을 반드시 열거나 미리보기를 해야 한다. 감염에 성공하면 공격자는 네트워크 내에서 횡적으로 움직일 수도 있게 된다. 하지만 로키의 가장 큰 목적은 크리덴셜 탈취다.

라스트라인은 로키와 같은 멀웨어가 발견됐을 때 시스템을 포맷하고 백업을 다시 설치하고 복구 이미지를 사용해 감염 이전으로 시스템을 돌려놓는 것만으로는 해결이 불가능하다고 말한다. “로키 자체는 그런 식으로 지워낼 수 있습니다. 하지만 로키의 목적이 무엇입니까? 크리덴셜 탈취죠. 훔쳐낸 크리덴셜을 공격자에게 전송한 것으로 로키는 모든 목적을 달성한 겁니다. 목적을 다 이룬, 시체 같은 멀웨어를 지워낸다고 방어에 성공했다고 할 수 없습니다. 피해자 자신이 사용하는 비밀번호를 대대적으로 바꾸는 작업이 같이 진행되어야 로키 공격은 무위로 돌아갑니다.”

또한 라스트라인은 “위협의 종류가 무엇인지, 하는 일이 정확히 무엇인지 파악하고, 그에 맞는 대처를 해야 한다”고 권고한다. “멀웨어에 대한 대처를 한답시고 무조건 포맷과 백업만 해서는 안 됩니다. 요즘의 사이버 공격은 ‘다단계’로 이뤄지기 때문에 우리 눈에 보이는 것 이후에도 추가타가 이어지기 마련입니다. 제대로 방비하지 못해 같은 공격에 또 당하는 것을 차치하더라도 말이죠.”

그러므로 현대의 ‘탐지 기술’은 공격자의 행동을 분석하는 것까이 아울러야 한다고 라스트라인은 주장한다. “멀웨어가 존재한다, 하지 않는다의 여부로 모든 걸 파악할 수 없습니다. 어떤 수상한 행동들이 네트워크 내에서 이뤄지고 있는지를 파악하는 게 더 정확합니다. 즉 행동 분석 기술이 현대의 방어 체계 내에 점점 더 필수 요소로 자리잡아가고 있다는 겁니다.”