2019.05.03

끈질긴 트로이 목마, 이모텟을 퇴치하는 방법

Michelle Drolet | CSO
이모텟(Emotet)은 개인으로부터 신용카드 정보 등을 훔치는 뱅킹 트로이 목마 바이러스이다. 2014년부터 활동했으며 수년 동안 크게 발전해 기업 네트워크에 침투하고 다른 악성코드 유형으로 확산되는 중대한 위협이 되었다.
 
ⓒ Getty Images Bank 

미국 국토안보부(DHS)는 2018년 7월 이모텟에 대한 경보를 발령하면서 "주로 다른 뱅킹 트로이 목마 바이러스의 다운로더 또는 드롭퍼(Dropper)로 기능하는 발전된 모듈식 뱅킹 트로이 목마 바이러스"라고 설명하면서, "퇴치하기가 매우 어려우며 일반적인 시그니처 기반 탐지를 회피하고 스스로 확산된다고 경고했다. 이 경보에서는 "이모텟 감염으로 주 정부나 지역자치단체들은 사건당 최대 100만 달러의 해결 비용이 발생했다"고 설명했다.

이모텟은 개인과 기업에게 치명적인 위험이다. 이 치명적인 트로이 목마 악성코드로부터 기업을 보호하기 위해 무엇을 할 수 있는지 살펴보자.


이모텟이 네트워크를 감염시키는 방법 

이모텟 감염은 일반적으로 첨부 파일이나 파일을 다운로드하는 링크가 포함된 간단한 피싱 이메일로 시작된다. 수신인이 링크를 클릭하거나 파일을 열면 의지와 상관없이 악성 페이로드를 다운로드하는 매크로를 실행하게 된다. 기기가 감염되면 이모텟은 네트워크의 다른 장치로 확산되기 시작한다.

워너크라이 같은 다른 악성코드의 성공에 영감을 얻어 이모텟에 새로운 기능이 추가되면서 횡방향으로 이동하면서 네트워크 전체를 놀랄만큼 빠르게 감염시킬 수 있는 훨씬 강력한 위협이 되었다. 이 모듈식 트로이 목마 바이러스는 더 큰 공격을 위한 선봉으로 실행되는 경우가 많으며 외부 방어벽을 뚫은 후 다른 뱅킹 트로이 목마 바이러스를 다운로드하고 확산시킨다.

이모텟은 끈질기고 치명적인 만큼 이를 방어하기 위한 효과적인 조치를 제대로 취해야 한다. 여기에서 몇 가지 방법을 살펴보자.


이모텟 트로이 목마 바이러스의 감염을 방지하는 방법

늘 그렇듯이 고치는 것보다는 예방하는 것이 낫다. 이 개념은 다양한 방식으로 적용될 수 있다.

우선, 네트워크에 안전하지 않은 기기가 없어야 한다. 조치를 취해 관리되지 않는 장치를 찾아 보호한다. 사물인터넷 기기 등의 잠재적인 사각지대를 없앤다. 이모텟이 안전하지 못한 기기에만 국한되어 있는 것처럼 보이지만 형태가 다양하고 스스로 계속 업데이트하며 더 확산되고 있기 때문에 아직까지 해결되지 않았다. 시간이 충분하면 악용할 수 있는 방어벽의 약점을 찾아낼 가능성이 높다.

네트워크를 스캔한 후 안전하지 않은 기기를 패치해 모든 엔드포인트를 보호하면 감염 위험을 크게 낮출 수 있다. 이를 통해 이모텟뿐만 아니라 다른 위협으로부터 안전할 수 있다.

또한 인간 요소를 고려해야 한다. 사람을 통해 감염이 시작되기 때문에 모바일 피싱 공격에 대응하는 방법을 고려하고 포괄적인 보안 인식 교육 프로그램을 마련하자. 한 직원이 처음부터 파일을 열거나 링크를 클릭하지 않도록 할 수 있다면 이모텟이 네트워크에 자리를 잡기 어려워질 것이다.

이모텟은 지속적으로 발전하기 때문에 최신 안티 악성코드 툴을 확보하고 엔드포인트 탐지 및 대응에 대한 자신의 접근방식을 신중하게 고려해야 한다. 지속적으로 발전하는 적과 싸우려면 방어벽도 지속적으로 발전시켜야 한다. 딥 러닝은 이런 악성코드에 대응하는 중요한 툴이 될 수 있다.


이모텟 확산을 막는 방법

이모텟이 다양한 트로이 목마 악성코드의 관문 역할을 한다는 점이 가장 위협적일 것이다. 뱅킹 트로이 목마 바이러스와 웜 트릭봇(TrickBot)은 보통 함께 움직인다. 각 악성코드 위협은 스스로 확산하는 저마다의 방법이 있고 다양한 취약점을 표적으로 삼는다. 이모텟 및 이에 수반되는 모든 것에 대항할 때 취할 수 있는 가장 효과적인 조치는 아마도 알려진 취약점을 패치하는 것에 집중하는 것이다.

일반적인 사이버보안 전문가의 조언과 비슷한 이야기지만 그럴 만한 이유가 있다. 현재 공격이 성공하는 대부분의 이유는 해결했어야 할 알려진 취약점 때문이다. 알려진 취약점은 쉬운 표적이며 이를 해결하지 못하면 이모텟 침투 성공에 이어 네트워크 상의 악성코드 폭증으로 이어진다. 이런 간단하고 실용적인 조치는 네트워크 보안을 중시하는 사람에게는 필수적인 부분이다.

기본적인 사항을 해결하고 나면 우수 사례를 조사해 이모텟 같은 악성코드를 격퇴할 수 있는 여러 계층의 발전된 방어책을 구축해야 한다. NIST 사이버보안 프레임워크를 고려하고 ISO 27001을 살펴보며 사이버보안 커뮤니티에 가입해 악성코드와의 전쟁에 대한 최신 진행 상황을 파악하자. 

이렇게 빠르게 변화하는 영역에서는 적도 지속적으로 발전하며 약점을 찾기 때문에 지칠 줄 모르는 끈질긴 노력이 있어야 이를 저지할 수 있다.

안타깝게도 모든 것을 제대로 하더라도 이모텟 공격이 성공할 가능성이 있으며 이 트로이 목마 바이러스는 청소한 후에도 기기를 다시 감염시키는데 능숙하다. 이 때문에 이런 공격에 대응하는 방법을 정확하게 설명하는 적절하고 탄탄한 사고 대응 계획을 준비해야 한다. 적절한 준비와 사전 숙고를 통해 기업이 신속하게 회복하고 피해를 최소화할 수 있다. editor@itworld.co.kr 


2019.05.03

끈질긴 트로이 목마, 이모텟을 퇴치하는 방법

Michelle Drolet | CSO
이모텟(Emotet)은 개인으로부터 신용카드 정보 등을 훔치는 뱅킹 트로이 목마 바이러스이다. 2014년부터 활동했으며 수년 동안 크게 발전해 기업 네트워크에 침투하고 다른 악성코드 유형으로 확산되는 중대한 위협이 되었다.
 
ⓒ Getty Images Bank 

미국 국토안보부(DHS)는 2018년 7월 이모텟에 대한 경보를 발령하면서 "주로 다른 뱅킹 트로이 목마 바이러스의 다운로더 또는 드롭퍼(Dropper)로 기능하는 발전된 모듈식 뱅킹 트로이 목마 바이러스"라고 설명하면서, "퇴치하기가 매우 어려우며 일반적인 시그니처 기반 탐지를 회피하고 스스로 확산된다고 경고했다. 이 경보에서는 "이모텟 감염으로 주 정부나 지역자치단체들은 사건당 최대 100만 달러의 해결 비용이 발생했다"고 설명했다.

이모텟은 개인과 기업에게 치명적인 위험이다. 이 치명적인 트로이 목마 악성코드로부터 기업을 보호하기 위해 무엇을 할 수 있는지 살펴보자.


이모텟이 네트워크를 감염시키는 방법 

이모텟 감염은 일반적으로 첨부 파일이나 파일을 다운로드하는 링크가 포함된 간단한 피싱 이메일로 시작된다. 수신인이 링크를 클릭하거나 파일을 열면 의지와 상관없이 악성 페이로드를 다운로드하는 매크로를 실행하게 된다. 기기가 감염되면 이모텟은 네트워크의 다른 장치로 확산되기 시작한다.

워너크라이 같은 다른 악성코드의 성공에 영감을 얻어 이모텟에 새로운 기능이 추가되면서 횡방향으로 이동하면서 네트워크 전체를 놀랄만큼 빠르게 감염시킬 수 있는 훨씬 강력한 위협이 되었다. 이 모듈식 트로이 목마 바이러스는 더 큰 공격을 위한 선봉으로 실행되는 경우가 많으며 외부 방어벽을 뚫은 후 다른 뱅킹 트로이 목마 바이러스를 다운로드하고 확산시킨다.

이모텟은 끈질기고 치명적인 만큼 이를 방어하기 위한 효과적인 조치를 제대로 취해야 한다. 여기에서 몇 가지 방법을 살펴보자.


이모텟 트로이 목마 바이러스의 감염을 방지하는 방법

늘 그렇듯이 고치는 것보다는 예방하는 것이 낫다. 이 개념은 다양한 방식으로 적용될 수 있다.

우선, 네트워크에 안전하지 않은 기기가 없어야 한다. 조치를 취해 관리되지 않는 장치를 찾아 보호한다. 사물인터넷 기기 등의 잠재적인 사각지대를 없앤다. 이모텟이 안전하지 못한 기기에만 국한되어 있는 것처럼 보이지만 형태가 다양하고 스스로 계속 업데이트하며 더 확산되고 있기 때문에 아직까지 해결되지 않았다. 시간이 충분하면 악용할 수 있는 방어벽의 약점을 찾아낼 가능성이 높다.

네트워크를 스캔한 후 안전하지 않은 기기를 패치해 모든 엔드포인트를 보호하면 감염 위험을 크게 낮출 수 있다. 이를 통해 이모텟뿐만 아니라 다른 위협으로부터 안전할 수 있다.

또한 인간 요소를 고려해야 한다. 사람을 통해 감염이 시작되기 때문에 모바일 피싱 공격에 대응하는 방법을 고려하고 포괄적인 보안 인식 교육 프로그램을 마련하자. 한 직원이 처음부터 파일을 열거나 링크를 클릭하지 않도록 할 수 있다면 이모텟이 네트워크에 자리를 잡기 어려워질 것이다.

이모텟은 지속적으로 발전하기 때문에 최신 안티 악성코드 툴을 확보하고 엔드포인트 탐지 및 대응에 대한 자신의 접근방식을 신중하게 고려해야 한다. 지속적으로 발전하는 적과 싸우려면 방어벽도 지속적으로 발전시켜야 한다. 딥 러닝은 이런 악성코드에 대응하는 중요한 툴이 될 수 있다.


이모텟 확산을 막는 방법

이모텟이 다양한 트로이 목마 악성코드의 관문 역할을 한다는 점이 가장 위협적일 것이다. 뱅킹 트로이 목마 바이러스와 웜 트릭봇(TrickBot)은 보통 함께 움직인다. 각 악성코드 위협은 스스로 확산하는 저마다의 방법이 있고 다양한 취약점을 표적으로 삼는다. 이모텟 및 이에 수반되는 모든 것에 대항할 때 취할 수 있는 가장 효과적인 조치는 아마도 알려진 취약점을 패치하는 것에 집중하는 것이다.

일반적인 사이버보안 전문가의 조언과 비슷한 이야기지만 그럴 만한 이유가 있다. 현재 공격이 성공하는 대부분의 이유는 해결했어야 할 알려진 취약점 때문이다. 알려진 취약점은 쉬운 표적이며 이를 해결하지 못하면 이모텟 침투 성공에 이어 네트워크 상의 악성코드 폭증으로 이어진다. 이런 간단하고 실용적인 조치는 네트워크 보안을 중시하는 사람에게는 필수적인 부분이다.

기본적인 사항을 해결하고 나면 우수 사례를 조사해 이모텟 같은 악성코드를 격퇴할 수 있는 여러 계층의 발전된 방어책을 구축해야 한다. NIST 사이버보안 프레임워크를 고려하고 ISO 27001을 살펴보며 사이버보안 커뮤니티에 가입해 악성코드와의 전쟁에 대한 최신 진행 상황을 파악하자. 

이렇게 빠르게 변화하는 영역에서는 적도 지속적으로 발전하며 약점을 찾기 때문에 지칠 줄 모르는 끈질긴 노력이 있어야 이를 저지할 수 있다.

안타깝게도 모든 것을 제대로 하더라도 이모텟 공격이 성공할 가능성이 있으며 이 트로이 목마 바이러스는 청소한 후에도 기기를 다시 감염시키는데 능숙하다. 이 때문에 이런 공격에 대응하는 방법을 정확하게 설명하는 적절하고 탄탄한 사고 대응 계획을 준비해야 한다. 적절한 준비와 사전 숙고를 통해 기업이 신속하게 회복하고 피해를 최소화할 수 있다. editor@itworld.co.kr 


X