이미 수백 개의 업체 당해...공격의 시작은 악성 엑셀 파일로부터
암호화폐 채굴 효율 좋아...그만큼 피해자 시스템과 네트워크 마비 가능성 높아

[보안뉴스 문가용 기자] 이터널블루(EternalBlue)라고 알려진 익스플로잇의 새로운 버전 하나가 중국의 기업 수백 곳을 타격하고 있다는 소식이다. 이 캠페인은 암호화폐를 노리는 ‘크립토재킹’을 위주로 한 공격으로, 비피(Beapy)라고 불린다. 공격자들은 이메일을 통해 최초 침투를 시도하며 네트워크 내에서 횡적으로 움직여 암호화폐 채굴 멀웨어를 곳곳에 심는다고 한다.

[이미지 = iclickart]

보안 업체 시만텍(Symantec)이 자사 블로그를 통해 발표한 바에 의하면 이 ‘비피’ 캠페인은 이전에 발견됐던 블루윔스(Bluewimps) 웜과 동일한 전략을 차용하고 있다. “공격은 제일 먼저 악성 엑셀 파일로부터 시작됩니다. 피싱 이메일에 첨부된 형태로 기업에 전송되죠. 기업 내 누군가가 이 첨부파일을 받아 열면, 더블펄사(DoublePulsar)라는 백도어가 다운로드 됩니다.”

다운펄사라는 이름이 익숙한 사람이 많은 것이다. 이는 몇 년 전 셰도우 브로커스(Shadow Brokers)라는 해커 그룹이 “NSA의 해킹 툴”이라고 유출시킨 파일 덤프 속에 포함된 익스플로잇 중 하나로, 이터널블루와 마찬가지로 보안 업계와 해커들 사이에서 주목을 받은 바 있다. 또한 다운펄사는 2017년 워너크라이(WannaCry) 랜섬웨어 사태에서 등장하기도 했다.

시만텍의 위협 첩보 전문가인 알란 네빌(Alan Neville)은 “다운펄사를 통해 비피라는 이름의 파일이 다운로드 된다”고 설명을 이어간다. 이 비피 파일이 공격의 핵심이기 때문에 캠페인 전체에도 비피라는 이름이 붙었다. “비피는 네트워크 전체로 퍼져가려는 시도를 합니다. 이 때 이터널블루를 사용하거나, 다른 곳에서 취득한 네트워크 크리덴셜을 대입합니다. 크리덴셜을 사용해서 횡적으로 움직이는 경우가 더 위험한데, 이는 사실상 공격자를 정상 사용자로 둔갑시켜주기 때문입니다. 그런 후 비피는 화폐 채굴 코드를 다운로드 해서 설치합니다.”

최종 목적인 암호화폐 채굴인 만큼 데이터가 밖으로 새나가거나 유출될 걱정은 없는 게 정상이지만 보안 업체 발빅스(Balbix)의 제품 관리 책임자인 조나단 벤센(Jonathan Bensen)은 “그래도 심각한 위험”이라고 강조한다. “암호화폐 채굴에 대해서 ‘피해자가 없는 범죄’라는 인식이 퍼져가고 있습니다. 하지만 암호화폐 채굴은 시스템과 네트워크의 성능과 속도를 크게 저하시킴으로서 시간과 자원을 낭비시킵니다. 비피의 경우는 크리덴셜까지 훔치기 때문에 다른 암호화폐 채굴 공격보다 더 위험합니다.”

또한 지금은 비피 캠페인을 통해 데이터가 유출되고 있지 않다고는 하지만, 크리덴셜 대입을 통해 네트워크 전체에 영향력을 펼치고 있는 공격자가 언제 공격의 유형을 바꿔도 이상하지 않다고 벤센은 경고한다. “데이터를 훔치는 것도 사이버 범죄자들에게는 돈이 되는 일이거든요. 사이버 범죄자들은 어떻게 해서든 수익 창출의 기회를 마련하는 이들이고요.”

이러한 우려를 표현하는 건 시만텍도 마찬가지다. “비피 캠페인은 웹 서버를 노리기도 합니다. 웹 서버를 호스트로 활용하기 때문이기도 합니다. 또한 비피의 초기 버전은 미미캐츠(Mimikatz) 모듈을 사용해 크리덴셜을 훔치기도 했는데요, 아파치 톰캣(Apache Tomcat)과 오라클 웹로직(Oracle WebLogic) 서버를 집중적으로 공략했습니다. 웹 서버를 노린다는 건 차후에 더 위험한 공격으로 발전한 가능성을 내포하고 있다는 뜻이 됩니다.”

네빌은 “비피 공격이 현재 상태로도 매우 수익률이 높다”고 말한다. “비피 공격자들이 사용하는 암호화폐 채굴 코드가 기존의 채굴 방법과 조금 달라 채굴 속도가 높기 때문입니다. 기본적으로 CPU를 직접 가동시키는 원리로 되어 있습니다. 중간에 거치는 것이 없기 때문에 채굴 효율이 굉장히 좋습니다. 다만 그렇기 때문에 시스템이 완전히 멈출 수도 있습니다.”

보안 업체 노미넷(Nominet)의 부회장인 스튜어트 리드(Stuart Reed)는 “비피를 방어하려면 피싱 이메일 보안 솔루션을 설치하고, 직원들을 교육시켜야 한다”고 설명한다. “직원 한 명만 비피 엑셀 파일을 열어도 공격은 성공합니다. 단 한 명도 악성 이메일이 걸리지 않게 하려면 솔루션과 교육을 병행해야만 합니다.”

또한 회사 차원에서 시스템 패치를 점검하는 것도 매우 중요하다. 이터널블 공격에 대한 패치는 이미 오래전에 배포됐기 때문이다. “공격자들이 이터널블루를 통해 횡적으로 움직인다는 건, 피해 조직이 패치를 제대로 하지 않았다는 뜻입니다. 패치만 해도 공격자들의 공격 루트 하나가 줄어듭니다.”

3줄 요약
1. 중국 업체들 사이에서 현재 대규모 암호화폐 채굴 캠페인 벌어지고 있음.
2. 이 캠페인의 이름은 비피. NSA의 해킹 도구였던 이터널블루와 더블펄사가 활용되고 있음.
3. 암호화폐만이 아니라 데이터 유출 공격으로 변모할 가능성도 다분함.
[국제부 문가용 기자(globoan@boannews.com)]

[출처]보안뉴스 https://www.boannews.com/media/view.asp?idx=79043&kind=