한 보안 전문가가 올해 사이버 공간에 등장한 와이퍼 멀웨어만 골라서 분석했다. 여기 저기 큰 피해를 일으키고 있지만, 사실 10년 전 멀웨어나 지금의 멀웨어나 크게 바뀐 부분이 없다고 한다. 이미 10년 전에 충분한 파괴력을 탑재했기 때문이다.

[보안뉴스 문가용 기자] 파괴적인 공격을 하는 와이퍼 멀웨어는 지난 10년 동안 그리 크게 발전하지 않았다. 10년 전 샤문(Shamoon)이 등장해 사우디아라비아의 최대 국영 기업인 사우디아람코(Saudi Aramco)의 클라이언트 PC와 서버 3만 대 이상을 벽돌로 만든 뒤에도 와이퍼 멀웨어는 그리 크게 변하지 않고 있다. 그럼에도 그 공격의 방식 때문에 모든 조직들에 있어 거대한 위협으로 남아 있다.

​

[이미지 = utoimage]

보안 업체 트렐릭스(Trellix)의 멀웨어 분석가 맥스 커스텐(Max Kersten)은 올해 초부터 여러 사이버 보안 사고를 통해 나타나는 와이퍼 멀웨어 20종을 분석했다. 와이퍼 멀웨어란, 파일이나 디스크를 완전히 삭제함으로써 컴퓨터 시스템이 제대로 작동하지 못하게 하는 악성 소프트웨어를 말한다. 이 연구 결과는 이번 주 중동아프리카 지역에서 열리는 블랙햇(Black Hat) 행사를 통해 발표됐다.

와이퍼 유형의 멀웨어만을 분석했을 때 그는 다른 유형의 멀웨어와 큰 차이가 있음을 알게 됐다고 한다. 특히 발전 속도에 있어서 현격한 차이가 있다고 그는 강조했다. “예를 들어 에스피오나지 공격에 활용되는 멀웨어들은 지난 10년 동안 어마어마하게 발전했고, 고급화를 이뤄냈습니다. 기능도 다양하고 구성도 복잡하죠. 하지만 와이퍼 멀웨어는 예전 모습 그대로입니다. 예전이나 지금이나 뭔가를 삭제한다는 것에만 충실한 멀웨어이기 때문입니다.”

정보 탈취 멀웨어나 스파이웨어 등은 공격자들이 자꾸만 업그레이드를 할 만하다. 업그레이드를 해야 발전하는 방어막을 뚫을 수 있고, 방어막을 뚫을 때 꽤나 직접적인 이득이 생기기 때문이다. 하지만 와이퍼 멀웨어의 경우 발전의 동기부여가 존재하지 않다시피 한다. 피해자 네트워크에 조용히 들어갈 이유도 없고, 탐지를 피해 오랜 기간 머물러야 할 필요도 없기 때문이다. 어떻게든 침투한다, 그리고 삭제한다. 이 간단한 공격 전술을 변화시킬 이유가 없는 것이다.

커스텐은 “파일을 삭제하는 것이 공격의 본질이니 노이즈를 발생시킬 수밖에 없고, 그러니 조용하고 교묘해지기 위한 연구를 할 필요도 없다”고 짚는다. “그러니 구성이 복잡해질 이유도 없고 실험을 꼼꼼하게 할 필요도 없습니다. 어차피 피해자 시스템에 들어가 각종 문제만 일으키면 되니까요. 10년 전의 방법이 지금도 통하고, 그것만으로도 충분한 효과를 거둘 수 있는데 뭣하러 더 연구하고 향상시키겠습니까?”

또한 와이퍼 멀웨어는 개발이 어렵지도 않다. 모든 파일을 지우라는 스크립트 한 줄로도 만들 수 있는 게 와이퍼 멀웨어라고 커스텐은 설명한다. “다단계로 침투하거나 정보를 빼돌리는 기능도 필요 없습니다. 단순하게 뭐든 삭제만 하면 됩니다. 멀웨어 개발자들 입장에서는 단 몇 분만에 와이퍼 하나 완성시키는 게 일도 아닙니다. 물론 좀 더 복잡한 와이퍼들도 존재하긴 합니다. 이런 멀웨어들은 개발하는 데에 시간이 좀 더 걸리긴 합니다.”

여전한 위협

커스텐은 와이퍼 멀웨어를 방어할 때 보안 팀들이 생각해야 할 것들이 몇 가지 있다고 발표했다. 가장 중요한 건 공격자의 의도와 목적을 이해하는 것이라고 한다. “랜섬웨어나 와이퍼나, 데이터를 사용하지 못하게 한다는 측면에 있어서는 공통점을 가지고 있습니다. 하지만 랜섬웨어 운영자들은 그러한 상황을 통해 돈을 벌려고 하고, 와이퍼 운영자들은 좀 더 미묘하고 직관적으로 알기 힘든 목적을 가지고 움직이죠. 예를 들어 특정 국가를 정치적이나 외교적으로 돕기 위해서 활용되기도 하지요. 이번 해 러시아 해커들의 우크라이나 공격에서 볼 수 있었듯이 말입니다.”

그 다음으로 중요한 건 와이퍼 멀웨어가 ‘삭제’만 하는 건 아니라는 것이다. 각종 파일과 부트 기록을 삭제하는 것도 흔히 나타나는 유형인 것이 사실이지만, 일부는 파일을 덮어쓰기도 한다. 삭제된 파일과 덮어쓰기가 된 파일을 복구한다는 건 완전히 다른 일이기 때문에 와이퍼 멀웨어 공격이 의심되거나 예상되면 두 가지 시나리오 모두 준비해야 한다. “파일을 삭제할 때 사실 디스크에 파일이 그대로 남아 있는 경우가 꽤 많습니다. 그래서 와이퍼가 파일을 삭제한다고만 했을 때 복구 가능성이 높아집니다.”

반면 덮어쓰기를 한 파일은 복구가 어렵다. 커스텐은 최근 발견된 와이퍼 멀웨어인 휘스퍼게이트(WhisperGate)를 예로 들며, “반복적으로 내용을 덮어쓰기 하는 이 와이퍼 멀웨어는 복구 과정을 매우 어렵게 만든다”고 지적했다. “이는 사실상 최악의 상황이라고 볼 수 있으며, 그에 맞는 파일 복구 계획을 미리 세워두는 게 좋습니다.”

커스텐은 자신의 연구에 대한 결론을 다음과 같이 내리고 있다. “와이퍼들은 그 동안 거의 변한 게 없습니다. 그러므로 10년 전이나 지금이나 와이퍼를 방어한다는 건 랜섬웨어를 방어하는 것과 거의 비슷합니다. 안전한 백업을 마련하여 오프라인에 보관하고, 시시때때로 대규모 파일 복구 훈련을 실시해보는 것이 중요합니다. 덮어쓰기 공격이 일어날 경우 이런 백업 자료를 사용하지 않는 이상 파일을 복구한다는 게 불가능에 가깝습니다.”

커스텐은 와이퍼 멀웨어에 대한 방어 시스템이 모든 조직에 구축되어 있어야 한다고 강조하기도 했다. 왜냐하면 와이퍼 멀웨어는 구축이 매우 간단하기 때문이다. “반드시 어떤 거대한 동기를 가진 사람들만 와이퍼 공격을 실시하는 게 아닙니다. 치열한 경합을 벌이고 있는 경쟁사가 어느 날 간단히 만들어 사용할 수도 있습니다. 만들기 쉽다는 건, 언제라도 새로운 멀웨어가 나타나 누군가를 괴롭게 만들 수 있다는 뜻입니다.”

3줄 요약

1. 파일과 시스템을 지워버리는 와이퍼 멀웨어, 10년 동안 큰 발전 없었음.

2. 발전이 없는 이유는, 지금 그 상태로도 충분히 파괴적이기 때문.

3. 와이퍼 멀웨어 방어 방법은, 랜섬웨어 방어 방법과 유사.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=111651&page=2&mkind=1&kind=1)]​