 |
29일 보안업계에 따르면, MS 디지털범죄유닛(Digital Crimes Unit)은 이달 루마 운영자와 대리인들이 사용하는 약 2300개 악성 도메인을 압수하고 차단했다. 국가 기관 또한 가세했다. 미국 법무부(DOJ)는 루마의 중앙 지휘 체계를 압수하고, 관련 악성 도구(툴)가 다른 사이버 범죄자에 판매되지 못하도록 감시하고 있다. 유로폴 산하 유럽사이버범죄센터(EC3)와 일본 사이버범죄통제센터(JC3)도 루마 인프라 운영을 중단하기 위해 추적 작업을 진행하고 있다.
'루마C2(LummaC2)' 또는 '룸마'라고도 불리는 루마 스틸러는 브라우저, 애플리케이션, 암호화폐 지갑에 멀웨어를 설치하고 데이터를 훔치는 서비스형멀웨어(MaaS) 제품이다. 주요 개발자는 러시아에 활동하고 있는 것으로 알려졌으며, 보안업계에서는 대표적인 인포스틸러(Infostealer·데이터를 훔치는 악성코드)다. 전문가들은 "기존 인포스틸러들과 다르다"는 평가를 내리기도 한다. 기존 인포스틸러의 경우 악성코드를 대량 유포하는 작업에만 집중하는데, 루마 스틸러는 탐지를 회피하는 작업에도 능숙하기 때문이다. 공격을 분산하는 다중 벡터 전략을 활용하거나, 합법적인 클라우드 서비스를 사용하는 방식으로 추적을 어렵게 하고 있다.
MS에 따르면 올해 3월16일부터 5월16일까지 루마 멀웨어에 감염된 윈도 컴퓨터는 약 39만4000대 수준이다. 주로 유럽, 북미에서 포착되고 있으며 아시아 지역에서는 한국과 일본에서 확산이 빨라지고 있다. 한국은 최근 SK텔레콤에서 BPF도어 공격으로 대규모 해킹 사고가 발생하면서, 루마와 같은 은닉형 악성코드 공격에 대한 경각심이 커지고 있다. 루마 공격 기법이 고도화된다면 한국 또한 확산세를 피하기 어려울 수 있다는 의견이 나오는 이유다.
MS는 "루마는 최소 2022년부터 음성시장(포럼)을 통해 판매됐다"며 "운영자는 수년에 걸쳐 여러 버전을 출시하며 기능을 개선하고 있다"고 말했다. 이어 "루마를 활용한 공격자는 탈취 정보를 악용해 금전적인 이익을 누리거나, 추가 악용이 가능하도록 기회를 노리고 있다"며 "배포가 쉽고 탐지가 어려운 데다, 특정 보안 방어 체계를 우회하도록 프로그래밍될 수 있어 랜섬웨어와 사이버범죄 공격자들이 주로 사용하고 있다"고 부연했다.
보안업계에서는 루마 악성코드가 유명 브랜드를 사칭한 사이버 공격에 활용되는 사례가 많다고 분석한다. 누구나 알 만한 브랜드를 사칭해, 악성코드가 담긴 허위 파일 및 인터넷주소(URL)를 첨부한 스피어피싱(맞춤형 피싱) 및 낚시성 메일을 보내는 방식이다. 대표적으로 올해 3월에는 온라인 여행사 '부킹닷컴'을 사칭한 피싱 캠페인이 포착된 바 있다. 신원 인증이 필요하다며 캡차(CAPTCHA) 인증 메일을 보내는 방식이었다. 해당 공격에는 루마를 포함해 신원 정보를 탈취하는 멀웨어가 다수 포착됐고, 금융 사기가 목적인 것으로 나타났다. 이 밖에도 루마는 제조, 통신, 물류, 금융, 의료 등 중요 인프라를 겨냥한 공격에 사용되고 있다.
가짜 광고로 악성코드를 삽입하는 방식도 두드러지고 있다. 대표적으로 '노트패드(Notepad)++ 다운로드'·'크롬(Chrome) 업데이트' 등 소프트웨어 관련 검색어를 활용해 엔진 결과에 가짜 광고가 뜨도록 하고, 사용자가 링크를 누르면 루마 스틸러를 배포하는 웹사이트로 연결되게 하는 방식이다. 웹사이트는 사칭한 브랜드의 실제 웹사이트와 유사하게 제작돼, 진위 여부를 판별하기 어렵다. 깃허브 등 소스코드 공유 플랫폼에 일반적인 툴이나 유틸리티로 위장해 유포되기도 한다.
이러한 공격은 일반 사용자가 홀로 판별하기 어려운 만큼, 국가 및 보안 전문가들 사이 협력이 관건이 될 전망이다. MS는 "조직과 개인은 다중인증(MFA)을 사용해 최신 멀웨어 방지 소프트웨어를 실행하고 첨부파일과 이메일 링크에 주의를 기울여 루마와 같은 멀웨어로부터 자신을 보호할 수 있다"면서도 "사이버 범죄자들이 창의적으로 변하고 있는 만큼, 업계와 정부 간의 지속적인 협력이 필수적일 것"이라고 강조했다.
- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -
이 기사의 카테고리는 언론사의 분류를 따릅니다.