직원의 부주의한 온라인 서핑은 IT 네트워크에서 멀웨어를 차단하려는 CISO의 골칫거리다. 최근 마이크로소프트는 깃허브, 디스코드, 드롭박스로 거의 100만 대의 기기에 멀웨어를 배포한 대규모 데이터 도난 캠페인을 감지했다고 보고했다.

초기 원인은 불법 복제된 동영상을 스트리밍하는 웹사이트에 게시된 악성 광고를 클릭하는 사람들로 지목됐다.

마이크로소프트는 이 캠페인이 소비자 기기와 기업 기기를 포함한 광범위한 기업과 산업에 영향을 미쳤다고 보고했다.

여러 전문가는 이번 보고서가 깃허브, 디스코드, 드롭박스 같은 플랫폼이 보안을 강화해야 한다는 것을 보여줄 뿐 아니라, 보안 인식 교육의 일환으로 CISO가 직원에게 직장과 가정에서 모두, 유익한 정보를 약속하는 웹사이트에 접속하는 위험성을 정기적으로 상기시켜야 한다는 것을 보여준다고 말했다.

보안 인식 교육업체 노우비포(KnowBe4)의 데이터 기반 방어 에반젤리스트 로저 그라임스는 “악성 광고를 통해 멀웨어가 확산되고 있으며 거기에 깃허브가 관련되어 있다는 것은 새로운 일이 아니다”라고 말했다. 광고를 통한 멀웨어는 거의 일상적인 일이다. 그라임스는 인터넷 검색 엔진과 광고가 나쁜 결과를 가져올 수 있다는 내용이 모든 사이버보안 교육에 포함되어야 하고, 일반 사용자도 점점 심각해지는 현실을 알아야 한다고 주장했다.

그라임스는 인터넷 탐색 중 악성 사이트로 이동하더라도 사용자가 특정 조치를 취해야 하고, 여러 보안 경고를 무시해야 하는 경우가 많기 때문에 멀웨어가 실행된다고 지적했다.

패치가 적용되지 않은 기기에서는 멀웨어가 설치된 순간부터 악의적인 활동을 시작한다. 그라임스는 ”보통은 수동으로 직접, 또 적극적으로 멀웨어를 허용해야 침입이 이루어진다. 따라서 사용자는 악성 광고가 존재한다는 사실을 인지해야 하며, 콘텐츠를 수동으로 실행하지 않으면 일반적으로 안전하다는 사실을 알아야 한다”라고 말했다.

SANS 연구소의 연구 책임자 요하네스 울리히는 이번 보고서가 CISO에게 광고 차단 프로그램뿐 아니라 다른 방어 수단을 실행하는 것이 얼마나 중요한지 보여준다고 말했다. 또한, 직원이 회사 정책을 무시하고 승인되지 않은 웹사이트에 접근하는 경우에만 문제가 되는 것이 아니라고 강조했다. 안타깝게도 악성 광고가 합법적인 사이트에도 여전히 표시되고 있기 때문이다.

악성코드 캠페인은 여러 단계로 구성된다

멀웨어 배포의 대부분은 깃허브를 통해 이루어졌고, 깃허브를 소유한 마이크로소프트는 감염된 저장소를 삭제해 캠페인을 무력화시켰다. 그러나 악용되는 사이트가 깃허브만은 아니다. 울리히는 모든 파일 호스팅 사이트가 이런 문제에 직면해 있다고 말했다.

울리히에 따르면 초기 페이로드는 단순한 ‘드롭퍼’였다. ‘드롭퍼’는 코드를 다운로드, 해독, 실행하는 매우 단순한 소프트웨어로 완전히 본질적으로 악의적인 것은 아니며, 악의적인 목적으로 사용되기 전에는 식별하기 어렵다. 울리히는 마이크로소프트가 저장소 폐쇄에 더 적극적이고 공개적으로 대처하고 있기 때문에 다른 파일 호스팅 사이트에 비해 깃허브가 더 부각되는 것 같다고 말했다.

여러 보안 연구원은 특히 깃허브가 멀웨어 확산에 악용되고 있다고 보고하고 있다. 깃허브가 오픈소스 코드를 확보하기 위해 애플리케이션 개발자들이 신뢰하는 곳이기 때문이다.

지난달 카스퍼스키 랩은 알려지지 않은 위협 행위자가 깃허브 저장소 200개를 생성하는 캠페인을 발견했다고 밝혔다. 이 저장소에는 텔레그램 봇, 발로란트 해킹 도구, 인스타그램 자동화 유틸리티, 비트코인 지갑 관리자 등 악성 코드를 제공하는 가짜 프로젝트가 섞여 있다.

카스퍼스키 랩은 이 캠페인이 최소 2년 동안 진행되어 왔다고 밝혔다.

그리고 1년 전, 아피로(Apiiro) 연구진은 타이포 스쿼팅(오타를 이용해 합법적인 코드 저장소와 유사한 이름을 부여하는 것)을 통해 합법적인 저장소를 모방하거나, 기존 저장소를 복제하는 방법을 사용해 10만 개가 넘는 깃허브 코드 저장소를 발견했다고 보고했다.

이 예는 보안 인식 교육에서 개발자가 기업용 애플리케이션을 위한 코드를 다운로드하기 전에 저장소의 합법성을 확인해야 함을 강조해야 한다는 것을 보여준다.

최근 마이크로소프트의 악성 광고 보고서에 따르면, 감염된 불법 스트리밍 웹사이트는 영화 프레임 내에 악성 광고 리디렉터를 삽입해 위협 행위자에게 유료 시청 또는 클릭당 지불 수익을 창출한다. 피해자가 첫 번째 단계 페이로드를 설치하기 위해 여러 번 악성 깃허브 저장소로 리디렉션되는 것도 포함한다.

마이크로소프트는 2025년 1월 중순 현재 발견된 1단계 페이로드가 새로 생성된 인증서로 디지털 서명되었다고 밝혔다. 총 12개의 서로 다른 인증서가 확인되었으며, 모두 취소되었다.

그런 다음, 2단계 파일은 피해자의 PC에 무엇이 있는지 알아내고 시스템 정보를 빼내는 데 사용되었다. 멀웨어에는 룸마 스틸러(Lumma Stealer)와 도너리움(Doenerium)이 포함될 가능성이 있다. 추가 파일을 다운로드하고 데이터를 훔치기 위해 2단계 페이로드에 따라 다양한 3단계 페이로드가 배포되었다.

초기 페이로드에 따라 원격 모니터링 및 관리(RMM) 프로그램인 넷서포트(NetSupport)가 정보 탈취 프로그램과 함께 배포된 경우가 있었다. 정보 도용자 외에도 파워셸, 자바스크립트, VBS스크립트, 오토잇 스크립트가 호스트에서 실행되었다. 위협 행위자들은 PowerShell.exe, MSBuilt.exe, RegAsm.exe 등의 LOLBAS(living-off-the-land 바이너리 및 스크립트)를 사용해 명령 및 제어(C2) 서버에 연결하고 사용자 데이터 및 브라우저 자격 증명을 유출했다.

마이크로소프트의 방어적 권고 사항에는 엔드포인트 탐지 강화, 특히 악성 아티팩트 차단, 로그인 시 다중 인증 사용 등이 포함된다.

보안 인식 교육의 중요성

영국의 국립 사이버보안 센터는 효과적인 보안 인식 및 교육 프로그램은 긍정적인 보안 문화 조성의 일환으로 기업 내부 구성원이 실제로 보안을 다루는 방식을 인식하고 그에 맞게 조정되어야 한다고 말했다.

기업이 사이버보안 및 개인정보 보호 학습 프로그램을 구축하는 데 도움이 되는 무료 자료는 적지 않다. 예를 들어, 미국 국립표준기술원(NIST)의 최신 지침은 87페이지 분량의 개요로, 계획에는 잠재적인 사이버보안 사건을 인식하고 보고하는 직원 능력, 직원 행동 변화, 연중 내내 이루어지는 피드백과 같은 성공 측정 기준이 필요하다는 점을 강조하고 있다.

이 지침에서는 “사이버보안 및 개인정보 보호에 대한 인식 제고 학습 활동은 연중 지속적으로 실시되어야 한다. … 이를 통해 직원이 기업 내에서 자신의 역할과 정보, 자산, 개인의 개인정보를 보호하기 위해 취해야 할 적절한 조치를 인식할 수 있도록 해야 한다”라고 명시되어 있다.

그 외 모든 기업 구성원에게 적합한 인식 제고 활동의 예는 다음과 같다.

• 로그온 화면의 메시지, 기업 화면 보호기, 이메일 서명 블록
• 사이버보안 및 개인정보 보호에 관한 기사가 실린 직원 뉴스레터
• 사이버보안 및 개인정보 보호 팁이 실린 포스터(물리적 또는 디지털)
• 사이버보안 인식의 달(10월) 또는 데이터 개인정보 보호 인식 주간(1월) 활동 박람회
• 사이버보안 및 개인정보 보호에 관한 알림 및 팁이 실린 직원 자료(예: 펜, 메모장 등)
• 사이버보안 또는 개인정보 보호 관련 사건이나 문제에 대한 즉각적인 팁을 제공하거나 이에 대한 응답으로 발송되는 정기 또는 필요에 따라 발송되는 이메일 메시지

dl-itworldkorea@foundryco.com