OS 설치하고 하드드라이브 새로 바꿔도 죽지 않는 멀웨어...누구 것?
러시아의 팬시 베어가 가장 유력한 용의자...현재 활동 중인 도메인도 있어
[보안뉴스 문가용 기자] 해킹 그룹인 팬시 베어(Facy Bear)가 주로 사용하는 것으로 알려진 로잭스(LoJax) 멀웨어가 세상에 공개된 건 겨우 지난 5월의 일이다. 하지만 실제로 여기 저기 피해를 입히고 다닌 것은 최소 2016년 후반일 것이라고 보안 업계 넷스카웃(Netscout)이 발표했다.
로잭스는 ‘죽일 수 없는 멀웨어’로 알려져 있기도 하다. OS를 재설치하고 하드드라이브를 바꿔도 루트킷이 계속해서 시스템 내에 열린 채로 남아있기 때문이다. 넷스카웃 보안 팀은 “로잭스에 걸리면 그냥 시스템을 새로 사는 게 더 저렴할 수 있다”고 설명할 정도다. 그러면서 “이렇게 특수한 멀웨어는 특수한 표적에만 예외적으로 사용되기 때문에 공개되는 일도 매우 드물다”고 덧붙였다.
또 다른 보안 업체 웨스트포드(Westford)는 넷스카웃의 설명에 동의하며 “긍정적으로 해석하면 전 세계적인 대형 캠페인으로 발전할 가능성이 적다는 뜻”이라고 짚었다. “하지만 죽이기도 힘들며, 잘 눈에 띄지도 않기 때문에 한 번 표적이 되면 재앙이 될 수 있습니다. 아마 로잭스를 최초로 만들고 사용한 자는 특정 인물이나 조직을 추적하려 했을 겁니다.”
그렇다면 이 로잭스를 만든 건 정말로 팬시 베어일까? 넷스카웃 측은 “보안 업계에서 일어나는 일이 늘 그렇듯 100% 확신하기란 정말 힘든 일”이라고 말했다. “하지만 팬시 베어를 지목하기에는 충분한 증거들이 갖춰져 있긴 합니다. 그리고 팬시 베어는 러시아 정부와 연관되어 있을 가능성이 농후한 단체고요. FBI도 이 점은 인정하고 있습니다.”
어떤 증거들이 팬시 베어를 가리키고 있을까? 넷스카웃은 먼저 “공격 인프라가 겹친다”고 설명한다. “과거 팬시 베어가 피싱 공격 등에 활용한 것으로 알려져 있는 도메인들이 로잭스 공격에서도 발견됐습니다. 또한 현재까지 이 공격에 당한 조직들이나 인물들은 지정학적으로 러시아의 오랜 관심을 받아오기도 했고요. 팬시 베어가 여태까지 노려온 표적들과 거의 일치한다고 볼 수 있습니다.”
넷스카웃은 8개월 전 최초로 로잭스의 존재를 발견한 기업으로서, 다양한 연구와 조사를 실시했다고 한다. “팬시 베어 배후에 있는 자들이 사용하는 것으로 보이는 인프라에 특히 집중했습니다. 저희는 디지털 지문을 만들었고, 그것을 통해 추가 로잭스 서버들을 발견할 수 있었습니다.”
넷스카웃이 발견한 추가 로잭스 서버들 중 여러 개가 현재도 활동 중에 있는 것으로 나타났다. 그중 일부 IP 주소들은 그 동안 넷스카웃은 물론 여러 보안 업체들에 의해 발견되고 보고된 것이기도 했다. 추적을 더 심화시킨 결과 C&C 도메인으로 의심되는 것도 찾아냈는데, 이는 이전 로잭스 관련 연구에서는 등장하지 않았던 것이다.
“로잭스가 작년 5월에 처음 공개된 이후, 보안 전문가들은 팬시 베어가 지난 9월 로잭스를 UEFI 기반 루트킷에 사용했다는 걸 증명해냈습니다. 그 말은 로잭스가 하드드라이브 교체에도 살아남을 수 있다는 뜻입니다.”
영국의 매체인 레지스터(The Register)는 이러한 넷스카웃의 연구 결과를 보도하며 “이 정도로 특수하고 고차원적이며, 오랜 시간 들키지 않고 정찰을 할 수 있는 멀웨어라면 정부 기관의 지원을 받아 제작되었을 가능성이 높다”고 썼다.
https://www.boannews.com/media/view.asp?idx=76250
치료하려면 메인보드를 날려야 하는 바이러스 ㄷㄷ
랜섬웨어 때문에 개고생한거 생각하면 ㅜㅜ