2018년 처음 등장한 멀웨어 중에 DC랫이 있다. 그때부터 지금까지 꾸준한 업그레이드를 거쳐온 ‘성실의 아이콘’ 같은 멀웨어인데, 최근에는 가격마저 파격적으로 내려갔다. 보안 업계는 꾸준하게 지켜봐야 할 소식이라고 말한다.

[보안뉴스 문가용 기자] 시장에 등장한 지 3년째 되는 원격 트로이 목마가 5달러로 크게 할인되기 시작하자 보안 전문가들의 경계심이 높아졌다. 단순히 백도어 하나가 크게 활성화될 것만이 문제가 아니다. 다크웹에서의 심상치 않은 변화가 있음을 유추할 수 있는 사건이라는 의견들이 조심스레 나오고 있는 상황이다.

[보안뉴스 / 5.11.] 오래되었지만 꾸준히 업그레이드 된 멀웨어, 가격까지 파격적으로 낮아져

[이미지 = utoimage]

소프트웨어 보안 분석 업체인 블랙베리(BlackBerry)가 발견한 바에 의하면 최근 다크웹 시장에 다크 크리스탈 랫(Dark Crystal Rat, DCRat)이라는 멀웨어가 5달러에 판매되기 시작했다고 한다. 이 멀웨어는 러시아의 한 개발자가 C# 기반으로 홀로 작성한 것이다. 모듈 구성을 하고 있으면 커스텀 플러그인을 적용하는 게 가능하다.

블백베리의 위협 첩보 분석가인 짐 심슨(Jim Simpson)은 “기업들이 특히 귀를 기울여야 하는 소식”이라고 이번 멀웨어 할인 판매에 대해 말한다. “물론 이제까지 본 적 없던 새로운 유형의 위협은 아닙니다. 평소에 하던 보안 조치 사항들을 그대로 유지하면 됩니다. 다만 약간의 추가적인 경계심을 조직 구성원들 사이에 심을 필요가 있긴 합니다.”

양지의 세계에서야 소프트웨어가 오픈소스라는 이름으로 아무런 가격 없이 풀리는 일이 흔하다. 하지만 이윤이 만고의 진리이며 유일한 원칙인 다크웹에서는 흔치 않은 일이다. 심지어 파격적인 할인 세일이라는 것도 좀처럼 보기 힘든 현상이라고 심슨은 설명한다.

“단돈 5달러에 멀웨어를 거래한다는 것 자체가 매우 희귀한 현상입니다. 일단 이런 가격에 물건이 나왔다는 건 멀웨어 개발자가 다른 멀웨어 개발자들보다 이윤에 덜 민감하다는 걸 보여줍니다. 물론 순수한 나눔의 마음은 아닐 겁니다. 건당 수익을 낮추고, 대신 넓은 범위로 그물을 펼쳐 많은 고객을 확보하려는 것일 수도 있습니다. 아니면 이미 다른 수익 출처를 갖추었고, 그렇기 때문에 DC랫을 통해 돈을 애써 벌 필요가 없는 것일 수도 있고요.”

심슨은 “일반적으로 홀로 작업하는 사이버 범죄자들의 아이템들은 단체가 운영하는 것보다 가격이 낮은 것이 사실”이라고 말한다. “결국 다크웹에서 홀로 활동하려면 낮은 가격이라는 경쟁력을 갖추는 게 필수적이 되어가고 있다고도 해석할 수 있습니다.” 그만큼 경쟁이 치열해지는 곳이 다크웹이라는 의미다. 경쟁이 치열해지면 그 결과로 양질의 멀웨어들이 꾸준히 탄생한다. 실제로 최근 트로이목마 종류의 멀웨어가 계속해서 나오는 중이기도 하다.

심슨이 DC랫에 주목하는 또 다른 이유는 그 기능성 때문이다. “보통 저렴한 값으로 뭔가를 구매하면 기능성이라는 부분에서 큰 기대를 하지 않는 게 일반적이죠. 그런데 DC랫은 좀 다릅니다. 일단 단돈 5달러에 판매되고 있는 멀웨어인데도 개발자는 꾸준히 업그레이드를 하고 버전업을 합니다. 거의 매일 이런 활동이 있어요. 가격만 아니라면 특정 해킹 단체가 풀타임으로 이 멀웨어를 통한 사업에 몰두하고 있는 거라고 생각했을 겁니다. 이 역시 쉽게 이해하기 힘든 현상이죠.”

DC랫은 2018년에 처음 등장했다. 당시에는 자바로 작성된 멀웨어였고, 그해 5월 보안 업체 맨디언트에 발각돼 분석됐었다. 2019년에 DC랫 개발자는 스스로 개발한 플로그인 프레임워크를 추가했고, C#으로 DC랫을 다시 만들었다. 2020년 즈음 DC랫은 50개가 넘는 명령을 지원하고 있었고, 각종 사건 대응 전문가들의 관심을 받기 시작했다.

현재 버전의 DC랫은 세 가지 요소로 구성되어 있다.
1) 침해된 시스템에서 실행되는 악성 프로그램.
2) PHP로 작성된 웹 페이지 하나(C&C 인터페이스로 사용됨)
3) JPHP로 작성된 관리자 도구
JPHP는 게임 개발에 관심을 가지고 이제 막 개발을 배우기 시작한 사람들이 주로 사용하는 언어다. 멀웨어에 사용되는 건 흔치 않은 일이다.

현재 다크웹에서 활동하는 각종 범죄자 혹은 범죄 단체들은 자신들만의 공격 인프라를 갖추려는 움직임을 보이고 있다. 접근, 침해, 랜섬웨어 페이로드 등을 자신들의 인프라 안으로 통합시키려는 것인데, 이렇게 인프라를 구성하려면 범죄자들로서도 적잖은 자원을 사용해야 한다. 그래서 보통은 대형 팀이나 국가의 지원을 받는 해커들이 이런 식의 공격 전용 플랫폼 구성을 하곤 한다. 덩치가 작은 팀들은 자원이 뒷받침 되지 않아 기술력으로 승부를 보려 한다. 방어 기술보다 한 걸음 앞선 움직임을 부지런히 도입하는 건데, DC랫이 그러한 유행과 잘 맞아떨어지는 사례다.

이렇게 공격 인프라가 마련되었을 때의 장점은 해당 멀웨어의 브랜드로 사업을 꾸준히 이어갈 수 있다는 것이다. 예를 들어 레빌(REvil) 랜섬웨어 운영 단체의 경우, 일부가 러시아 경찰에 체포되면서 완전히 사라지나 했었다. 실제 몇 달 동안 레빌 랜섬웨어는 침묵을 지켰다. 하지만 최근 다시 레빌의 활동이 시작됐는데, 전문가들은 멤버 중 누군가가 레빌의 기존 인프라에 대한 접근 권한을 가져간 것 같다고 의심하고 있다. 레빌 운영자들이 일부 체포됐지만 레빌이라는 명성은 그대로 유지할 수 있는 것이다.

블랙베리는 “DC랫 할인이 당장에 커다란 재앙과 같이 사이버 공간을 위협하지는 않을 것”이라고 설명한다. “하지만 지금의 그 파격적인 가격은 다크웹과 사이버 범죄 산업 내 여러 가지 현상이 통합적으로 나타난 결과라고도 볼 수 있습니다. 꾸준한 관심을 가지고 지켜봐야 할 위협입니다.”

3줄 요약
1. 2018년에 처음 등장한 멀웨어, 최근부터 갑자기 할인 시작.
2. 너무나 파격적인 가격, 다크웹에서는 그리 흔치 않은 일.
3. 경쟁이 너무나 심한가? DC랫 개발자도 공격 인프라 구축하려 하는가?
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>