FBI가 죽인 줄 알았던 룸마, 무슨 일 있었냐는 듯 재등장
- 5월, FBI가 무력화시켰던 룸마스틸러
- 한 때 가장 인기 높았던 멀웨어답게 금방 되살아나
- 현재 크랙 소프트웨어 가장해 확산 중
한 때 악명을 떨쳤던 정보 탈취 멀웨어 룸마스틸러(Lumma Stealer)가 부활했다. 지난 5월 FBI가 대대적인 작전을 통해 무력화시킨 후 불과 2개월만의 일이다. 이들이 FBI의 표적이 된 것은, “세계에서 가장 인기 높은 악성 코드”라는 별명이 붙을 정도로 각종 사이버 범죄에 연루됐기 때문이다. 그 인기는 한 번의 사법활동으로는 식지 않았던 듯하다. 아니, 오히려 더 강력해졌다는 게 보안 업체 트렌드마이크로(Trend Micro)의 설명이다.
“5월 이후 룸마의 활동량은 확실히 줄어들었습니다. 하지만 이제 와서 보니 죽어서 그런 게 아니라, 잠시 몸을 낮추고 있었던 것 뿐이었죠. 불과 수주 만에 보다 교묘해진 모습으로 나타났으니까요. 사이버 범죄자들이 대부분 그렇지만 룸마 운영자들이 얼마나 끈질기고 유연한지를 알 수 있습니다.” 트렌드마이크로의 위협 분석가 주네스테리 델라 크루즈(Junestherry Dela Cruz)의 설명이다. 이미 이들의 활동양은 평소 수준으로 돌아왔다고 크루즈는 말한다.
현재 룸마코드는 여러 가지 방식을 통해 유포되고 있으며, 피해자 시스템에서부터 각종 크리덴셜과 암호화폐 지갑 정보를 훔치고 있다. 지난 3년 동안 룸마가 저질러온 것과 똑같은 일이 반복되고 있는 것이다. “크랙된 소프트웨어, 가짜 웹사이트, 소셜미디어 내 악성 게시물을 통해 전파되고 있습니다. 보안 인식이 굳어지지 않은 사람들이라면 충분히 속을 수 있는데, 문제는 그런 사람들이 기업 전체를 위험에 빠트릴 수 있다는 겁니다.”
5월 이전과 이후
룸마는 2022년 말부터 모습을 드러낸 멀웨어다. 보안 업체 이셋(ESET)에 따르면 룸마 개발자들은 매주 74개의 새 도메인을 생성해 자신들의 공격 인프라로 편입시켰다고 한다. 지난 한 해 동안에는 총 3353개의 고유 C&C 도메인이 생성돼 사용됐다. 이런 왕성한 활동력이 5월 이전 룸마의 특징 중 하나였다. “특히 클라우드플레어(Cloudflare) 인프라를 광범위하게 활용해 악성 도메인을 숨기는 기법을 자주 사용했습니다. 유명 서비스를 통해 자신들의 정체를 감추는 전형적인 수법이죠.” 트렌드마이크로 측의 설명이다.
5월 이후에는 어떻게 됐을까? 클라우드플레어를 활용하는 빈도가 확 낮아졌다고 트렌드마이크로는 말한다. “유명 서비스의 인프라를 활용할 때의 장점은, 해당 서비스의 신뢰도에 악성 트래픽을 녹여낼 수 있다는 것입니다. 반대로 단점도 있습니다. 사법기관이나 대형 IT 기술 팀의 모니터링이 수월하다는 것이죠. FBI의 작전 이후 룸마 운영자들이 내부적으로 모니터링을 피해가는 게 더 중요하다고 결론을 내린 것으로 보입니다.”
그렇다고 해도 공격 인프라가 여전히 필요한 룸마 공격자들은 어떤 대체제를 마련하고 있을까? 트렌드마이크로에 따르면 “러시아 기반 클라우드 업체나 데이터센터 서비스를 활용하는 중”이라고 한다. “특히 6월에는 러시아 서비스 제공업체인 셀렉텔(Selectel)을 선호하는 모습을 보여주고 있습니다. 셀렉텔은 룸마 외에도 여러 사이버 공격 단체들이 악용하는 서비스이기도 합니다. 이런 회사들이 있습니다. 고객이 선하든 악하든 상관없이 돈만 내면 그만이라는 업체요.”
이전과 새로운 전술이 드러나기도 했다. “완전히 새로운 방법만 채택한 것은 아닙니다. 이전의 방법들도 여전히 사용하고 있는데, 새로운 것들도 실험해보고 있습니다. 그 새로운 방법 중 하나는 크랙된 소프트웨어나, 일련번호를 생성해주는 프로그램을 통하는 겁니다. 무료 소프트웨어를 원하는 사람들이라면 여기에 혹하기 쉽죠. 5월 전에도 이 방법을 사용하지 않은 건 아닌데, FBI 작전 이후 이 방법에 더 높은 비중을 두고 있습니다.”
반면 ‘클릭픽스(ClickFix)’라는 기법은 이전에도 이후에도 높은 비율로 활용되는 중이라고 트렌드마이크로는 밝힌다. 클릭픽스란, 보안 업체 프루프포인트(Proofpoint)가 처음 명명한 공격 기법으로, 가짜 브라우저 업데이트(즉 ‘픽스’)를 유도하는 메시지를 띄워 사용자가 클릭(즉 ‘클릭’)하도록 유도하는 것을 말한다. 사용자는 업데이트 받기에 동의한 것인 줄 알지만 사실은 여러 악성코드를 다운로드 받게 된다.
또 룸마는 유튜브나 페이스북 등 인기 높은 소셜미디어 채널들을 통해서도 유포된다. 소셜미디어를 이용할 때도 아무 링크나 클릭하면 위험할 수 있다고 보안 전문가들은 경고한다.
룸마가 이처럼 질기게 살아남을 수 있는 건 왜일까? 트렌드마이크로는 “상업형 모델이기 때문”이라고 말한다. “룸마는 ‘서비스형 멀웨어(Malware-as-a-Service, MaaS)’ 형태로 제공됩니다. 누구나 돈만 내면 룸마라는 정보 탈취 멀웨어를 자신의 것으로 만들어 해킹 작전을 펼칠 수 있다는 뜻입니다. 그렇기에 사용자가 광범위하게 퍼지기에 용이하죠. 다크웹이 점점 시장처럼 변해간다는 건 그런 의미에서 좋지 않습니다. 공격은 쉬워지고, 근절시키기는 어려워진다는 뜻이 되니까요.”
Related Materials
- Back to Business: Lumma Stealer Returns with Stealthier Methods - Trend Micro , 2025년
- Lumma Stealer Malware Returns After Takedown Attempt - SecurityWeek , 2025년
- Lumma Stealer Malware: New Threat Targeting Windows Users - Analytics Insight , 2024년
- The dark dream of the Lumma malware developer - Virus Bulletin 분석 발표 , 2024년
