악명 높은 QakBot(칵봇) 멀웨어가 다시 등장했다. 주로 숙박 업계를 겨냥한 피싱 공격을 주도하고 있어 각별한 주의가 요구된다.

이 봇넷의 부활은 올해 초 '오퍼레이션 덕 헌트'로 알려진 다국적 법 집행 기관의 노력으로 봇넷이 중단된 이후다. 마이크로소프트는 최신 피싱 공격의 세부 사항을 공개하고 QakBot 멀웨어의 배후에 있는 사이버 범죄자들의 진화하는 전술을 공개했다.

지난 8월, 덕 헌트 작전은 QakBot 봇넷을 성공적으로 차단했다. 이 작전을 통해 QakBot 관리자의 서버에 액세스해 봇넷의 인프라를 파악하고 획득한 멀웨어 통신에 사용되는 암호화 키를 활용해 FBI는 봇넷을 하이재킹했다. 감염된 디바이스에 맞춤형 윈도우 DLL 모듈을 푸시하는 전략적 움직임을 실행했다. 이 모듈은 칵봇 멀웨어를 효과적으로 종료해 봇넷을 일시적으로 해체했다.

이러한 중단에도 불구하고 QakBot 멀웨어가 다시 돌아왔다. 마이크로소프트는 지난 12월 11일부터 시작된 새로운 피싱 캠페인이 숙박 업계를 주요 타깃으로 하는 것을 확인했다. 이 피싱 이메일은 국세청 직원이 보낸 것으로 위장해 수신자에게 게스트 목록으로 표시된 PDF 파일을 다운로드하도록 유도한다.

PDF 다운로드하면 수신자는 자신도 모르게 MSI 파일을 다운로드하게 되고, 이 파일을 설치하면 QakBot 멀웨어 DLL이 시스템 메모리로 실행된다.

마이크로소프트는 캠페인 코드 'tchk06'과 45.138.74.191:443 및 65.108.218.24:443의 명령 및 제어 서버를 포함한 기술적 세부 정보를 제공했다. 특히, 전달된 칵봇 페이로드에는 0x500으로 표시된 이전에는 볼 수 없었던 버전이 포함되어 있어 새로운 멀웨어가 계속 개발되고 있음을 알 수 있다.

2008년에 뱅킹 트로이 목마로 처음 발견된 QakBot은 수년에 걸쳐 정교한 멀웨어 전송 서비스로 진화했다. 처음에는 뱅킹 인증정보, 웹사이트 쿠키, 신용카드를 훔쳐 금융 사기를 목적으로 설계되었지만, 현재는 다른 공격자들과 협력해 랜섬웨어 공격, 스파이 활동, 데이터 도용 등 다양한 사이버 활동을 위한 네트워크 초기 접근을 용이하게 하는 위협으로 변화했다.

칵봇의 재등장은 사이버 범죄자들이 혼란에 적응하고 전술을 개선하는 데 있어 얼마나 민첩한지를 보여주고 있다. 숙박업에 종사하는 기업들은 사이버 보안 조치를 강화하고, 직원들에게 피싱 위협에 대해 교육하며, 진화하는 공격 기법에 대한 경계를 늦추지 말아야 한다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★