AI가 발전하고 컴퓨팅 인프라가 변화하면서 맬웨어도 빠르게 진화하고 있다. 점점 더 교묘해지는 위협에 맞서 시스템을 방어하려면 보안 전문가는 이런 동향을 부단히 파악하고 연구해야 한다.

새로운 기법이 발전하고 효과가 떨어지는 과거의 접근 방식이 도태되면서 고양이와 쥐처럼 쫓고 쫓기는 방어자와 보안 공격자 간의 싸움은 더욱 치열해졌다. 여기서는 맬웨어 세계에서 무엇이 부상하고 쇠퇴하고 있는지 살펴본다.

초기 액세스를 상품화하는 인포스틸러

사이버보안 업체 이머시브(Immersive)에 따르면 인포스틸러의 감염 시도가 전년 대비 58% 증가하는 등 최근 크게 늘었다. 현재 모든 자격 증명 도난 사건에서 루마 스틸러(Lumma Stealer), 스틸C(StealC), 라이즈프로(RisePro)와 같은 맬웨어가 차지하는 비중이 75%에 이른다.

인포스틸러는 브라우저 쿠키, VPN 자격 증명, MFA(multi factor authentication) 토큰, 암호화폐 지갑 데이터를 비롯한 다양한 정보를 훔친다. 사이버 범죄자는 인포스틸러가 획득한 데이터를 다크웹 시장을 통해 판매하고, 공격자는 이것을 구매해서 기업 시스템에 손쉽게 액세스할 수 있게 된다.

이머시브의 수석 사이버보안 엔지니어인 벤 매카시는 “이 같은 변화는 초기 액세스를 상품화한다. 즉, 복잡한 공격 없이 간단한 거래를 통해 공격 집단의 목표를 달성할 수 있게 해준다”라고 말했다.

개발자 환경을 표적으로 삼는 악성 패키지

위협 행위자는 기업에서 애플리케이션을 구축하는 데 사용되는 정상적인 개발 툴과 라이브러리, 프레임워크에 악성 코드를 내장하는 방식으로 소프트웨어 공급망을 체계적으로 침해하고 있다.

이머시브의 매카시는 “이런 공급망 공격은 개발자와 패키지 리포지토리 간의 신뢰를 악용한다. 악성 패키지는 합법적인 패키지를 가장해 표준 코드 리뷰를 피하면서 유해한 코드를 실행하는 경우가 많다”라고 설명했다.

2024년에 NPM, PyPI 등의 소프트웨어 개발 생태계, 그리고 허깅페이스(HuggingFace)와 같은 AI 플랫폼에서 연구원들이 발견한 악성 패키지의 수는 전년 대비 156% 증가한 51만 2,847개에 달했다.

더 표적화되고 정교해지는 랜섬웨어

수사 기관들이 록빗(LockBit)를 비롯한 여러 주요 그룹을 소탕한 이후 랜섬웨어 환경도 큰 변화를 겪었다.

랜섬허브(RansomHub), 아키라(Akira) 등 최근 랜섬웨어 공격집단은 이제 고도로 표적화된 소규모 공격을 더 선호하며, 이런 공격에서 전체 침투와 데이터 유출 이후 마지막 단계로 랜섬웨어를 사용한다. 즉, 광범위한 공격을 통해 뭔가 걸려들 가능성에 기댔던 방식의 기존 수법에서 가치가 높은 표적을 집중해서 노리는 캠페인으로 전환됐다.

이머시브의 매카시는 “표적화된 접근 방식은 위협 행위자가 특정 취약점에 대한 더 많은 인사이트를 확보하고 정찰과 맞춤형 공격 개발 활동에 대대적인 투자를 할 준비가 되어 있음을 보여준다”라고 말했다.

이런 그룹은 발각되지 않고 활동하기 위해 자급자족식(living-off-the-land, LOTL) 전술과 합법적인 관리 툴 등의 고급 회피 기법을 사용한다. 또한 공격 방식도 파일 암호화에서 데이터 절도/갈취로 전환해서 데이터를 공개하겠다고 피해자를 협박하는 수법을 사용한다.

네트워크 탐지 및 대응 솔루션 업체 엑스트라홉(ExtraHop)의 선임 기술 마케팅 관리자인 제이미 몰스는 “랜섬웨어 툴체인 내에서 클라우드 기반 서비스와 원격 관리 플랫폼을 사용하는 경우가 눈에 띄게 늘었다. 이는 더 전반적인 트렌드와도 맥을 같이한다. 즉, 공격자들은 기존의 맬웨어 페이로드에만 의존하지 않고 이제 기업이 신뢰하는 플랫폼과 LOTL 기법을 악용하는 쪽으로 차츰 옮겨가고 있다”라고 말했다.

신속한 몸값 지불을 유도하는 긴급성을 악용하면서 핵심 인프라에 대한 위협이 계속 증가하고 있는 가운데, 의료 분야가 여전히 랜섬웨어 공격의 가장 주된 표적이 되고 있다.

소셜 엔지니어링 기법을 도입하는 맬웨어

사이버 범죄자가 소셜 엔지니어링 기법을 사용해 최종 사용자 디바이스를 감염시키는 공격에서 맬웨어 배포 수단으로 클릭픽스(ClickFix)를 사용하는 경우가 늘고 있다.

클릭픽스는 사용자를 속여 시스템에서 스스로 악성 코드(일반적으로 파워셸 스크립트)를 실행하도록 유도한다. 사용자는 온라인에서 자신이 ‘인간임을 입증’하기 위해 여러 관문을 통과해야 한다는 점에 피로감을 느끼고 있는데, 클릭픽스는 바로 이 피로감을 악용하는 새로운 위협이다.

공격자는 익숙한 캡차(CAPTCHA) 프로세스에 대한 신뢰를 악용해 사용자가 자기 자신에 대한 침해에 적극적으로 참여하도록 유도한다. 클릭픽스에서 사용자가 시스템에 붙여넣는 명령은 캡차를 위장한 악성 명령이다.

센티넬랩스(SentinelLABS)의 선임 위협 연구원인 짐 월터는 “지난 한해 동안 피싱 사이트와 침해된 웹페이지, 소셜 엔지니어링 캠페인 전반에서 이 수법의 사용 빈도가 크게 증가했다. 간단하고 효과적이며 점점 더 확산되고 있다”라고 말했다.

이런 위협은 시스템 취약점이 아닌 사람의 행동을 이용해 기존의 많은 탐지 방법을 우회하기 때문에 CISO의 경계가 필요하다. 월터는 “이 맬웨어 유포 방식에 대응하기 위해서는 인식 제고, 엔드포인트 실행 정책 강화, 행동 탐지 툴 구현이 필수적”이라고 조언했다.

맥OS 기업 사용자를 노리는 맬웨어

기업 내의 맥OS 사용자를 노리는 맬웨어 캠페인이 급증했다는 보고도 있다. 센티넬랩스/센티넬원의 맥OS 맬웨어 연구원인 필 스톡스는 인터뷰에서 “비즈니스 툴로 위장한 인포스틸러부터 고도로 정교한 모듈형 백도어에 이르기까지 다양한 수법이 발견되고 있다. 이는 위협 행위자들이 기업 환경의 애플 사용자를 노리는 전략을 강화했음을 명확하게 보여주는 지표”라고 설명했다.

예를 들어 아토믹 인포스틸러(Atomic Infostealer)는 보안의 오랜 골칫거리인 크랙된 게임 또는 개인용 툴뿐만 아니라 유명한 기업용 앱의 가짜 버전을 통해서도 확산된다.

랜섬웨어와 인포스틸러가 여전히 가장 활발한 위협 요소 자리를 지키는 사이 오래된 상용 맬웨어와 해킹 기법 사용은 감소하는 추세다.

탐지 메커니즘을 회피하는 다형성 맬웨어

다형성(polymorphic) 맬웨어는 복제되거나 새 시스템을 감염시킬 때마다 자동으로 코드를 수정하기 때문에 시그니처 기반 탐지 방법으로는 식별이 잘 되지 않는다. 이 유형의 맬웨어는 안티바이러스 소프트웨어가 탐지하거나 보안 연구원이 분석하기가 어렵다.

팔로알토 네트웍스 산하의 위협 인텔리전스 및 사고 대응 사업부인 유닛 42(Unit 42)의 수석 위협 연구원 알렉스 힌클리프는 “해시 기반 스캐너와 같이 매우 기본적이거나 특정적인 탐지 메커니즘은 다형성으로 무력화된다. 그런데 악성 프로그램은 예를 들어 실행 파일로 컴파일될 때마다 새로운 고유한 지문 또는 해시를 생성한다는 점에 주목해야 한다. 게다가 컴파일된 프로그램에 적용할 수 있는 무료 및 상용 압축기, 패커, 보호기 툴이 수없이 많은 만큼 ‘동일한’ 프로그램에서 같은 지문을 가진 더 많은 변형과 조합이 만들어질 수 있다”라고 말했다.

또한 다형성 맬웨어는 암호화를 사용해서 페이로드를 숨기는 경우가 많다는 점도 탐지와 분석의 어려움을 높이는 요인이다.

도태된 맬웨어 수법

그 외에 주목할 만한 추세는 일부 악성코드와 해킹 기법이 점차 “쇠락”이다. 이는 보안 방어 체계와 기술이 발전하면서 해당 공격 기법의 효과가 떨어졌기 때문으로 분석된다.

예를 들어 위협 행위자가 방어 회피와 공격의 지속성을 위해 시스인터널 스위트(Sysinternals Suite), LOLBins(Living-Off-the-Land Binaries)과 같은 합법적인 관리 툴을 사용하는 경우가 늘면서 악성 실행 파일에 대한 의존도는 낮아졌다.

매니지드 탐지 및 대응 솔루션 업체 헌트리스(Huntress)의 기술 필자인 린지 웰치는 “해킹 툴 측면을 보면 코발트 스트라이크(Cobalt Strike), 실버(Sliver)와 같은 종합적인 툴 제품군 사용은 줄었지만 비밀번호 스니핑, 메모리 덤핑, 권한 승격, 횡적 이동과 같은 기능을 위해 미미캐츠(Mimikatz), 크랙맵엑스(CrackMapExec)와 같은 전문화된 툴 사용은 지속되고 있다”라고 말했다.
dl-itworldkorea@foundryco.com