진화하는 랜섬웨어.."머신러닝 보안툴에 안 잡혀"

트렌드마이크로, 드롭박스 악성링크로 유포되는 '케르베르' 변종 발견

(지디넷코리아=임민철 기자)머신러닝 기술로 위협을 탐지하는 보안 솔루션에도 탐지되지 않는 랜섬웨어가 등장했다. 다수 보안 업체들이 머신러닝 기술 도입을 신종 사이버위협에 대응할 해법으로 채택하는 추세라 귀추가 주목된다.

미국 지디넷은 28일(현지시간) "랜섬웨어가 더 효과적으로 침입하며 더 탐지되기 어려운 방식의 신기술로 진화하고 있다"며 "위협 식별에 머신러닝을 사용하는 사이버보안 툴의 탐지를 회피하는 능력을 갖췄다" 보도했다.

랜섬웨어 케르베르 감염시 나타나는 화면. 피해자의 컴퓨터에 저장돼 있던 파일과 데이터를 못쓰게 만들어 놓고 되찾고 싶으면 화면에 나타난 지시를 따르라고 안내한다. 대개 금전을 요구한나.

랜섬웨어는 사용자 컴퓨터를 감염시키는 악성코드의 일종이다. 파일이나 데이터를 못 쓰게 만든 뒤, 그걸 되살려주는 대가로 현금이나 비트코인을 요구하는 형태로 피해를 일으킨다. 피해자가 돈을 지불할 경우 정보를 되찾을 수도 있지만, 꼭 그렇게 될 거란 보장은 없다.

보도에 제시된 사례는 유명 랜섬웨어 패밀리 '케르베르(Cerber)'였다. 사이버보안솔루션업체 트렌드마이크로가 최근 식별한 신종 케르베르 랜섬웨어 변종 악성코드 얘기다. 케르베르 변종은 어떻게 최신 보안툴의 머신러닝 기반 탐지를 우회했을까.

트렌드마이크로 설명에 따르면 케르베르 변종은 기존 대다수 랜섬웨어와 마찬가지로 악성 이메일을 통해 유포된다. 그런데 첨부파일 형태로 사용자의 다운로드를 유도하는 게 아니다. 수신자에게 악성 링크를 누르도록 유도하는 '피싱(Phishing)' 형태다.

메일에 포함된 악성 링크는 공격자가 만든 드롭박스 파일 저장소의 인터넷 주소다. 이걸 누르면 사용자 컴퓨터에 악성 파일이 다운로드된 뒤 스스로 압축을 해제하고 해당 시스템을 케르베르 악성코드로 감염시킨다는 설명이다.

원래 피싱 이메일 링크나 자동 다운로드되는 파일 형태의 악성코드도 기존 보안솔루션 또는 주류 브라우저 개발사가 지원하는 보안 서비스를 통해 탐지될 수 있다.

그런데 이 신종 케르베르 랜섬웨어는 자신이 다운로드되는 환경이 가상머신, 샌드박스, 또는 기기의 특정 제품인지를 확인하는 것으로 드러났다. 그리고 그런 환경에 다운로드된 것으로 확인되면, 동작을 멈춘다. 보안툴에 분석당하지 않게 회피하도록 설계됐다는 뜻이다.

공격자들은 그간 악성코드에 대응하는 기술이 등장할 때마다 그 파일 기반 탐지 기술을 우회하기 위해 새로운 변종 악성코드를 만들고 새로운 유포 방법을 만들어냈다. 케르베르 랜섬웨어 변종 제작자는 이 재배포에 드는 수고를 줄이려는 전략을 취한 것으로 보인다.

트렌드마이크로 사이버보안 연구원의 분석에 따르면, 새로운 변종처럼 스스로 압축을 해제하고 동작하는 배포 방식을 취함으로써 표면적으로 해롭지 않은 것처럼 보인다. 머신러닝기반 악성 파일탐지 기술도 회피할 수 있다.

신기술로 맬웨어 침입을 탐지하려할 때 사이버범죄자들은 그걸 우회해 계속 악성코드를 확산시킬 수 있다는 우려가 제기된다. 단일 보안 계층에 의존해선 안 되며 게이트웨어, 엔드포인트, 네트워크, 서버를 아우르는 접근을 취해야 한다고 트렌드마이크로 측은 조언했다.

연구원들은 보안팀에서 발견한, 랜섬웨어 공격에 사용된 드롭박스 저장소 악성링크 URL 목록도 제시했다. 해당 링크들은 더 이상 작동하지 않으며 이를 포함한 사용자 계정은 드롭박스 측의 조치로 차단됐다.

임민철 기자(imc@zdnet.co.kr)