카스퍼스키(Kaspersky) 글로벌 리서치 및 분석팀(GReAT)은 최근 그란도레이로(Grandoreiro) 금융 트로이목마의 새로운 경량 변종을 발견했다고 밝혔다. 올해 초 주요 운영자들이 체포되었음에도 불구하고 그란도레이로는 여전히 강력한 위협으로 작용하며 새로운 변종으로 전 세계 금융 기관을 대상으로 하고 있다. 이번에 확인된 변종은 멕시코의 약 30개 금융 기관을 주요 대상으로 삼고 있으며, 멕시코에서는 올해에만 약 5만 1천 건의 그란도레이로 사건이 보고되었다.
그란도레이로의 이번 새로운 경량 버전은 2024년 초에 브라질 당국이 인터폴(INTERPOL)과 카스퍼스키의 지원을 받아 주요 운영자들을 체포한 이후 나타났다. 카스퍼스키의 최신 분석에 따르면, 그란도레이로 개발자들은 소스 코드를 경량화하여 다양한 지역에 맞춤화된 형태로 분할해 배포하고 있다. 라틴 아메리카 지역 연구 책임자인 파비오 아솔리니(Fabio Assolini)는 이번 변화가 그란도레이로 운영자들이 법 집행을 피하기 위해 더욱 민첩한 형태로 진화하고 있음을 보여준다고 전했다. “경량화된 변종이 멕시코와 라틴 아메리카를 넘어 다른 지역으로 확장될 가능성이 있다”라고 설명했다.
그란도레이로는 일반적인 ‘서비스형 악성 소프트웨어(Malware-as-a-Service)’와는 다른 방식으로 운영된다. 이 트로이목마는 특정 소수의 신뢰할 수 있는 파트너들만이 소스코드를 접근할 수 있으며, 공개된 범죄 포럼에서 구입할 수 없는 것이 특징이다. 이는 카스퍼스키가 수집한 그란도레이로와 관련된 정보를 분석하기 어려운 이유 중 하나다.
카스퍼스키의 데이터에 따르면, 그란도레이로는 2024년 한 해에만 45개국 이상에서 1,700여 개 금융 기관과 276개 암호화폐 지갑을 대상으로 공격을 시도했다. 최근에는 아시아와 아프리카 지역까지 공격 범위를 넓히며 전 세계적인 금융 위협으로 자리잡고 있다.
새로운 그란도레이로 변종은 더욱 정교한 회피 기술을 사용하고 있다. 특히 이 변종은 인간 사용자의 행동을 흉내 내어 보안 시스템을 속인다. 사용자 행동을 모방하기 위해 마우스의 움직임을 기록하고 재생하는 방식으로, 보안 시스템이 이를 실제 사용자의 행동으로 인식하게 만들어 기계 학습 기반의 보안 솔루션을 우회한다. 또한, 이번 변종은 암호화 기술 중 하나인 암호문 도용(Ciphertext Stealing, CTS) 기법을 새롭게 도입했다. CTS는 악성 코드 문자열을 암호화하여 보안 분석가들이 악성 코드를 탐지하기 어렵게 만든다. 파비오 아솔리니는 “CTS 기법은 그란도레이로가 복잡한 구조를 갖고 있어 문자열이 암호화되지 않을 경우 쉽게 탐지될 수 있기에, 보안 분석을 더욱 어렵게 만들기 위한 조치일 것”이라고 설명했다.
보안 전문가들은 그란도레이로와 같은 진화한 악성 소프트웨어를 방어하기 위해 다층적인 보안 접근 방식이 필요하다고 강조하고 있다. 특히 멕시코와 같은 고위험 지역의 금융 기관들은 기계 학습과 행동 분석을 결합한 탐지 시스템을 도입하여 고급형 위협에 대비해야 한다고 권장한다. 아울러 엔드포인트 탐지 도구를 활용해 진화하는 악성 소프트웨어에 실시간 대응할 수 있는 방안을 마련하는 것도 중요하다.
이번 카스퍼스키의 분석에 따르면 보안팀은 다음과 같은 점들을 주의 깊게 살펴야 한다.
-비정상적인 행동 패턴: 사용자 행동을 흉내내는 악성 소프트웨어는 기존 탐지 방식을 우회할 수 있어 행동 기반 분석 도구가 필요하다.
-암호화된 코드와 난독화 문자열: 암호문 도용과 같은 고급 난독화 기술을 활용한 악성 코드가 일반 탐지 도구에 걸리지 않을 수 있어, 복잡한 암호화 데이터를 분석할 수 있는 보안 솔루션이 요구된다.
-경량화된 악성 소프트웨어에 대한 적응: 악성 소프트웨어가 더욱 작고 빠르게 변해가고 있으므로 실시간 분석을 통해 이러한 변화를 탐지할 수 있는 방안을 마련하는 것이 중요하다.
카스퍼스키가 발견한 그란도레이로 변종은 금융 트로이 목마의 진화를 상징적으로 보여준다. 전문가들은 기존 탐지 시스템을 활용하는 동시에 고도화되는 악성 소프트웨어를 방어하기 위해 끊임없는 보안 전략의 변화가 필요하다고 강조한다. 더불어 다층 방어 전략과 사용자 교육을 통해 경각심을 높이는 것이 이러한 위협에 효과적으로 대응할 수 있는 길이라고 전했다.
◆2024 인공지능 보안 컨퍼런스 AIS 2024 개최(보안교육 7시간 이수)◆
-인공지능 기반 보안기술과 보안위협 대응 정보 공유-
-공공, 금융, 기업 정보보호 담당자 700여명 참석예정-
-일 시: 2024년 11월 5일(화) 09:00~17:00
-장 소: 더케이호텔서울 2층 가야금홀
-주 최: 데일리시큐
-참석대상: 정부, 공공, 금융, 기업 정보보호 담당자만 참석 가능(보안과 관련없는 자는 참석 불가)
-참가기업 모집: 국내외 인공지능, 보안자동화 기반 보안전문기업
-참가문의: 데일리시큐 길민권 기자 / mkgil@dailysecu.com
-참석자 사전등록: 클릭
(사전등록 필수, IT보안 관계자만 참석가능)
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★