[아이뉴스24 최은정 기자] 사이버 공격자들의 보안을 회피하기 위한 수법이 갈수록 교묘해지고 있다.
21일 보안업계에 따르면 수년 전부터 사이버 공격자들은 보안 기업의 분석·탐지 망을 우회하기 위한 각종 방법을 시도하고 있는 것으로 나타났다.
최근 안랩이 발견한 '교통범칙금 통지'로 위장한 스미싱 공격이 대표적이다. 공격자는 이 스미싱 문자를 자신이 확보한 연락처 데이터베이스(DB)에 있는 사용자에게만 전달됐다. 만약 사용자가 '경찰청교통민원24' 피싱 사이트에 자신의 번호가 아닌 타인의 번호를 입력하면 악성 앱이 다운로드 되지 않는다.
이 때문에 해커의 DB를 보유하지 않은 보안업체는 해당 앱 확보·분석에 시간이 걸릴 수 있다는 게 회사 측 설명이다.
▲악성코드 동작 방식 모듈화 ▲암호가 설정된 압축파일 이용 ▲악성 앱 배포 전 진단 테스트 진행 등도 해커들이 보안을 우회하려는 시도들이다.
악성코드 동작 방식 모듈화는 하나가 아니라 여러 개의 파일들이 악의적 행위를 하는 것을 말한다. 한 개의 파일이 공격자 명령제어(C&C) 서버 통신, 다운로드, 정보 유출, 파일 생성 등의 기능을 모두 수행하는 것이 아니라 그 기능을 여러 개의 파일로 나눠 악성행위를 수행하도록 한다는 의미다.
안랩 관계자는 "악성코드가 여러 파일로 나뉘어 동작할 경우 단일 파일의 정보만 봐서는 정확한 기능과 악성 행위의 흐름을 파악하는 것이 쉽지 않다는 점을 노린 것"이라고 설명했다.
또 "공격자는 누구나 쉽게 구매할 수 있는 보안 솔루션에서 자신의 악성 앱이 진단되는지 여부를 점검한다"며 "추후 보안업체가 악성 앱을 확보하고, 이를 진단 조치하면 공격자는 서버에 등록된 기존 앱을 신규 악성 앱으로 업데이트 하기도 한다"고 부연했다.
공급망 공격 과정에서도 해커들의 사전 백신 테스트가 진행된다. 이는 보안 제품 우회 방법을 통해 공격 성공률을 높이려는 것이다.
류소준 에스투더블유랩 책임연구원은 "최근 공급망 공격 등 사이버 공격이 급증하고 있다"며 "더욱이 공격자들은 자신들이 제작한 악성코드가 백신에 탐지되는 지 테스트를 거친 후 공격에 사용하기 때문에 탐지가 쉽지 않은 상황"이라고 말했다.
최은정기자 ejc@inews24.comCopyright ⓒ 아이뉴스24 무단 전재 및 재배포 금지
