‘CS 버그’ 재난 악용하는 악질 해킹 극성

[애플경제 이지향 기자] 인터넷진흥원과 과기정통부도 이미 경고한 바 있지만, 크라우드스트라이크(CS)의 감염 패치에 의한 ‘버그’사태(CS 버그)를 악용한 해킹이 극성을 부리고 있다. 이들 해커들은 “신속하게 ‘CS 버그’의 피해를 복구해준다”며 악성코드를 다운로드하도록 속이는 수법이다.

CS사는 자사 블로그를 통해 이같은 사례를 소개하며, 각별한 주의를 당부했다. 또 “당사가 안내하는 복구 프로그램외에는 절대 믿어선 안 된다”고 경고했다. 국내에서도 인터넷진흥원의 ‘인터넷보호나라’ 사이트를 통해 복구를 위한 CS사의 URL을 다운받거나, 직접 CS사에 접속해야 한다.

CS사 “본사 복구 프로그램 이외 믿어선 안돼” 경고

특히 CS사는 ‘다올푸’(Daolpu)라는 악성코드에 의한 ‘%TMP%’의 ‘result.txt’라는 파일을 조심할 것을 당부했다. 이는 사이버 범죄자들의 가짜 수정 프로그램일 가능성이 크다는 얘기다. CS사 블로그에 의하면, 가짜 수정 프로그램에는 ‘Daolpu’라는 미확인 ‘Infostealer’ 악성 코드 변종을 다운로드하는 매크로가 포함된 Word 문서로 되어있다. 이는 악성 매크로를 사용, DLL파일을 검색하고 실행함으로써 ‘Daolpu infostealer’를 다운로드하도록 유도한다. ‘Daolpu infostealer’는 크롬이나 모질라(Mozilla) 브라우저에 저장된 로그인 데이터나 쿠키를 포함한 자격 증명을 수집하는게 목적이다.

CS사는 또 “공격자가 CrowdStrike 업데이트로 위장한 데이터 와이퍼 악성 코드를 배포하고 있다”고 X에 안내했다. 이 악성 코드는 0바이트로 파일을 덮어쓰고 이를 텔레그램을 통해 배포, 사용자 시스템을 완전히 파괴시킨다. 이는 특히 스페인의 다국적 금융그룹인 BBVA은행을 표적으로 삼고 있는 것으로 전해졌다.

실제로 사용자에게 BBVA 은행을 실행하라는 스페인어 지침이 포함된 핫픽스로 악성 ZIP 아카이브 파일이 배포되고 있다. 해당 ZIP 파일에는 ‘Remcos RAT’라는 원격 액세스 트로이 목마를 시스템에 설치하는 하이재크로더(HijackLoader) 악성 코드 로더도 포함되어 있다.

‘클릭’ 유도 링크, 극도로 조심해야

기업으로선 이번 ‘CS 버그’로 인한 피해를 한시라도 빨리 원상복구할 필요가 있다. 그렇다보니 너무 서두르다가 이들 해커의 ‘덫’에 걸려들기 십상이란 지적이다. “아무리 상황이 다급해도 ‘빨리 복구해드린다’며 교묘히 위장한 악성 코드를 조심해야 한다”는 것이다.

API 보안 회사인 ‘Cequence’의 화이트해커인 제이슨 켄트는 “사이버 범죄자들이 대상자들의 급박한 사정을 이용, 공격에 악용하는 사례가 속출하고 있다.”고 IT프로포탈에 밝혔다. 이를 통해 멀웨어와 데이터 삭제기로 기업을 표적으로 삼아 공격을 퍼붓고 있다는 얘기다.

그러나 이런 유형의 공격은 이번이 처음은 아니다. 해커들은 사용자를 속이기 위해 신뢰할 만한 브랜드를 이용하기도 한다. 그러므로 “‘클릭’을 유도하는 링크일 경우 극도로 주의를 기울여야 한다”는 것이다.

‘a.crowdstrike.com’ 위조한 ‘crowdstrike.a.com’ 요주의

특히 ‘빠른 복구’를 강조하는 솔루션일수록 주의가 필요하다. 십중팔구 가짜 프로그램일 가능성이 크다. 예를 들어, 악성 도메인 ‘crowdstrike.a.com’은 얼핏 보면 합법적인 것처럼 보일 수 있지만, 실제 도메인 ‘a.crowdstrike.com’의 철자를 교묘히 바꿔놓은 것이다. URL을 클릭하기 전에 바로 이런 점을 면밀히 살펴야 한다는 경고다.

특히 이번 ‘CS 버그’를 일으킨 크라우드스트라이크사에 직접 접속하는게 중요하다는 지적이다. 또 윈도우와 애저 클라우드도 이번 ‘CS 버그’가 빠르게 확산되는 통로 역할을 했다. 이 점을 악용해 마이크로소프트 등을 가장한 해킹도 등장하고 있어 주의가 필요하다.

즉 “해커들은 크라우드스트라이크를 스푸핑할 뿐 아니라, 이번 사건과 관련된 마이크로소프트 등 모든 관련 회사를 스푸핑하고 있다”는 것이다. 그래서 “‘빠른 복구’를 내건 파일이 첨부된 이메일을 받으면 일단 의심하면서, ‘Daolpu’ 감염을 나타낼 수 있는 ‘%TMP%’의 'result.txt'파일은 없는지 등을 살펴봐야 한다”고 경고했다.