전체메뉴

[애플경제 전윤미 기자] 신종 멀웨어 '메두사 스틸러'(Meduza Stealer)가 최근 사이버보안 ‘공적 1호’로 떠오르고 있다. 이는 최근 국내외에서 97개 브라우저를 훼손하거나 변형시키고, 76개의 암호 지갑(Crypto Wallets)을 노리고 있으며, 19개의 암호 관리자(시스템)도 집중 공격 대상이 되고 있다.

이에 테크타깃, 사이버린트, 테크리퍼블릭 등 현지의 보안 및 기술매체들은 이를 집중 보도하며, 경각심을 촉구하고 있다.

윈도우즈 운영체제 타깃으로 개발, 유포

애초 이를 규명하고 나선 사이버 보안기업 '업틱스'(Uptycs)의 보고서(Threat Research)에 따르면 '메두사 스틸러'라고 불리는 새로운 악성 프로그램은 수많은 브라우저, 암호 관리자 및 암호화폐 지갑에서 정보를 훔치고 있다. 이는 본래부터 윈도우즈 운영 체제를 타깃으로 개발, 유포된 것으로 알려졌다.

업틱스에 따르면 일단 최근에는 이렇다할 공격이 발생하지 않았다. 이는 다른 멀웨어에 비해 메두사 스틸러는 생겨난지 얼마되지 않았기 때문이란 해석이다. 그럼에도 “메두사 스틸러는 악성코드나, 피싱 이메일을 유포해 웹 사이트로부터 정보를 훔쳐내는 전형적인 사이버범죄자들의 수법을 쓰면서 확산될 것”이란 우려다.

‘메두사 스틸러’는 일단 타깃이 되는 브라우저나 지갑에 악성 프로그램을 심기 위해 윈도우즈 ‘GetUserGeo’를 사용하여 지리적 위치를 확인하는게 보통이다. 이때 실제 지리 위치 정보가 아닌 시스템 설정을 기반으로 특정한 대상 국가를 고른다.

그러나 만약 그 결과 러시아, 카자흐스탄, 벨라루스, 그루지야, 투르크메니스탄, 우즈베키스탄, 아르메니아, 키르기스스탄, 몰도바, 타지키스탄 등 10개국 중 하나가 나타나면 공격을 멈춘다. 이들 국가는 옛 소비에드연방(소련)에 속하는 곳들이란 점이 특징이다.

브라우저 기록, 쿠키, 로그인, 웹 데이터 몽땅 훑어가

다음으론 기본 정보 수집을 시작하기 전에 공격자의 서버에 도달할 수 있는지 확인하는 작업을 벌인다. 수집 대상은 컴퓨터 이름, CPU/GPU/RAM/하드웨어 세부 정보, 운영 체제 버전의 정확한 빌드 세부 정보, 시간대 및 현재 시간, 사용자 이름, 공용 IP 주소, 감염된 시스템 등이다.

또한 그 과정에서 자체적으로 실행 경로나 스크린샷도 만든다. 그 후 본격적으로 '절도'행위를 벌이게 된다.

메두사 스틸러는 먼저 사용자 데이터 폴더에서 데이터를 검색하고, 브라우저 기록이나, 쿠키, 로그인 및 웹 데이터와 같은 브라우저 관련 정보 하나하나를 빼돌린다.

특히 자체적으로 공격 대상인 97개의 브라우저 목록이 멀웨어에 저장되어 있다는게 문제다. 이들 목록에 있는 브라우저의 데이터를 샅샅이 훑으며 빼낸다. 그 중 크롬, 파이어폭스(Firefox), 그리고 마이크로소프트 엣지는 대표적인 이들의 3대 공격 목표로 설정된 브라우저다.

그 과정에서 이들 브라우저를 위한 19개의 비밀번호 관리시스템도 공격 대상이다. ‘LastPass’, ‘1Password’, ‘Authy’ 등이 이들에 포함된 대표적인 관리 시스템이다.

‘메두사 스틸러’는 특히 데이터를 추출하기 위해 이중 인증이나 암호 관리를 위해 확장된 시스템을 겨냥하기도 한다. 확장 과정에선 으레 중요한 정보와 함께 취약성도 포함될 수있기 때문이다. 그래서 “공격자는 2FA 코드에 액세스하거나 암호 관리자 확장의 취약성을 이용하여 보안 프로토콜을 회피하고 사용자 계정에 무단으로 액세스할 수 있다.”는 ‘업틱스’의 경고다.

사용자들 플러그인 악용 암호화폐 지갑 훔쳐

메두사 스틸러가 타깃으로 삼은 암호화폐 지갑은 현재 76개다. ‘업틱스’에 따르면 ‘메두사 스틸러’는 사용자의 소프트웨어 플러그인 또는 추가 기능과 같은 웹 브라우저상의 암호화폐 지갑 기능 확장을 악용한다. 흔히 사용자들은 크롬이나 파이어폭스와 같은 웹 브라우저 내에서 자신의 암호화폐 자산을 편리하게 관리할 수 있도록 이런 추가기능을 도입한다.

공격자들은 이를 역이용, 지갑 속의 계정 잔액과, 암호화폐 거래 세부 정보 등의 중요한 정보를 훔쳐내는 것이다.

그 과정에서 이는 또 서로 다른 윈도우즈 레지스트리 키에서 구성 데이터 등 관련 정보를 탈취해온다.

또한 윈도우즈 레지스트리에 저장될 수 있는 ‘스팀(Steam) 게임’ 시스템 응용 프로그램 데이터도 탈취한다. 컴퓨터에 스팀이 설치되어 있는 경우, 스팀에서 가져올 수 있는 데이터에는 로그인 데이터, 세션 정보, 사용자별 설정 및 기타 구성 데이터가 포함되어있기 때문이다.

‘디스코드’도 메두사 스틸러의 또 다른 먹잇감이 되는 응용 프로그램이다. 이는 디스코드 폴더에 액세스하여 구성데이터나 사용자별 데이터와 같은 정보를 빼내는 것이다.

‘업틱스’원에 따르면, 메두사 스틸러 공격자는 여러 사이버 범죄 시장이나 범죄자들의 포럼에서 이런 악성 프로그램을 홍보하기 위해 ‘고급 마케팅 전략’을 사용해 왔다.

즉, 대담하게도 바이러스 백신 소프트웨어 탐지 결과의 상당 부분을 화면에 캡처하는 것을 주저하지 않는다. 정적이든 동적이든 26개 중 하나의 바이러스 백신 솔루션(ESET)만이 탐지한다는 것을 보여주기도 한다.

또한 많은 ‘고객’(사이버 범죄자들)을 유치하기 위해 웹패널을 통해 도난당한 데이터를 공개하기도 한다. 그래서 이에 접속할 수 있도록 하는 대신, 잠재 고객에게는 1개월 199달러, 3개월 399달러 또는 평생 플랜 등 다양한 구독 옵션을 제공하며 돈벌이를 하고 있다.

해당 웹채널에 가입하면 감염된 컴퓨터의 IP 주소, 컴퓨터 이름, 국가 이름, 저장된 암호 수, 지갑 및 쿠키와 같은 정보 등에 대한 액세스 권한이 주어진다. 그런 다음 가입자는 웹 패널에서 도난당한 데이터를 직접 다운로드하거나 삭제할 수 있다.

‘업틱스’는 “이런 전례 없는 기능은 데이터 삭제로 인해 해당 정보가 즉시 삭제되므로, 다른 가입자가 해당 정보를 사용할 수 없게 되므로 매우 유용한 마케팅 방식”이라고 했다.

최신 SW, 다중요소인증 등으로 예방해야

‘업틱스’에 따르면 이에 대응하기 위해선 일단 취약성으로 인해 손상되지 않도록 모든 운영 체제와 소프트웨어를 최신 상태로 유지하고 패치를 적용하는 것이 좋다. 특히 브라우저는 최신 상태여야 하며 공격 대상을 줄이기 위해 가능한 한 적은 수의 플러그인을 실행해야 한다.

“또한 공격자가 유효한 자격 증명을 보유하고 있더라도 기업 리소스에 액세스할 수 없도록 가능한 한 다중 요소 인증을 배포하는 것이 좋다.”면서 “특히 보안 솔루션은 위협을 탐지하는 모니터링 기능과 함께 엔드포인트 및 서버에 배포되어야 한다”고 조언했다.