멀웨어에서 플랫폼으로 진화한 속골리시 주의보

전 세계적으로 광범위하게 펼쳐져 있는 사이버 공격용 네트워크를 통해 랜섬웨어와 정보 탈취 멀웨어가 퍼지고 있다. 보안 기업 트러스트웨이브(Trustwave)에 따르면 이 악성 인프라는 속골리시(SocGholish) 혹은 페이크업데이트(FakeUpdates)라고 불리며, 일종의 ‘서비스형 멀웨어(Malware-as-a-Service, MaaS)’ 형태로 여러 공격자들에게 제공된다고 한다. 

속골리시?
속골리시 멀웨어는 2017년부터 발견돼 왔다. 처음에는 단일 멀웨어로서 보안 업계에 알려졌으나 점차 진화를 거듭해 거대한 악성 네트워크를 구성하기에 이르렀다. 멀웨어이자 플랫폼이라고 보면 된다. 이제 누구든 돈만 내면 속골리시 인프라를 빌려 쓰고, 이를 통해 각종 위협들을 퍼트릴 수 있다. 속골리시의 배후에는 TA569라는 해킹 그룹이 있는 것으로 알려져 있다. 

속골리시의 감염 방법은 그리 복잡하지 않다. 웹 브라우저나 플래시 플레이어 등 널리 사용되는 정상 소프트웨어의 업데이트를 사칭하는 것 뿐이다. 업데이트를 해야 한다는 것에 속은 피해자가 업데이트 파일인 줄 알고 악성 파일을 다운로드 해 실행시키면서 감염이 시작된다.

그러면 가짜 업데이트 자체는 어떤 방식으로 피해자에게 전달되는 것일까? 이것 역시 그리 획기적이지 않다. 정상 웹사이트를 침해한 후 속골리시 감염 프로세스를 발동시키기 위한 악성 스크립트를 주입하는 것이다. 이를 위해서는 잘 알려진 취약점들을 익스플로잇 하는데, 이 때문에 취약점이 자주 발견되는 워드프레스 기반 사이트를 노리는 편이다. 

결국은 IAB가 쏠쏠한 사업 아이템
속골리시가 정확히 어느 시점부터 ‘단일 멀웨어’에서부터 ‘공격 인프라’로 발전했는지는 알기 힘들다. 하지만 이것이 속골리시를 운영하는 TA569만의 독특한 진화 추이라고 할 수는 없다. 현재 다크웹에서는 초기 접근 중개자(Initial Access Broker, IAB)라는 악성 사업자들이 증가하고 있기 때문이다. IAB는 자기가 직접 사이버 범죄를 저지르지는 않지만, 다른 누군가가 범죄를 용이하게 저지를 수 있게 인프라를 대여해주는 것으로 돈을 번다.₩

속골리시가 IAB로 전환한 것은 탁월한 선택이었다. 대형 고객을 유치하게 된 것이다. 이 대형 고객은 이블코프(Evil Corp)라고 알려진, 악명 높은 러시아 사이버 범죄단이었다. 이블코프는 러시아 정보 기관과도 밀접한 관계를 맺고 있는 것으로 의심 받고 있다. 

속골리시 대여한 자들, 어떤 공격 했나
트러스트웨이브에 따르면 최근 속골리시를 대여한 자들은 여러 가지 공격을 실시했다고 한다. 2025년 초에는 랜섬허브(RansomHub)라는 랜섬웨어가 속골리시를 통해 퍼졌고, 이 때문에 의료 산업에서 각종 피해가 발생했다. 그 외에도 악성 구글 광고가 속골리시를 통해 유포된 적도 있다. 

민간 사이버 범죄 단체만 속골리시를 이용하는 것은 아니 듯하다. 얼마 전 러시아 군 정보 기관의 흔적이 발견됐기 때문이다. 트러스트웨이브는 “속골리시를 통해 유포된 페이로드 중에 라스베리로빈(Raspberry Robin)이라는 웜이 있었다”고 설명한다. “이 웜을 추적했더니 러시아의 군 정보 기관인 GRU의 산하 부대(29155 부대)와 연결돼 있었습니다.”

현재까지 발견된 속골리시 관련 2차 악성 페이로드는 다음과 같다.
1) 록빗(LockBit) 및 다수 랜섬웨어 패밀리
2) 에이싱크랫(AsyncRAT) 및 다수 원격 접근 트로이목마(RAT)
3) 여러 데이터 탈취 멀웨어
일관성이 없다는 건, 그만큼 다양한 계층의 공격자들이 속골리시와 접촉했다는 것을 의미한다.

속골리시 대처법
속골리시가 단일 멀웨어가 아니라 하나의 플랫폼, 혹은 더 나아가 어엿한 범죄 생태계 그 자체라는 건 방어가 까다롭다는 의미도 된다. 그도 그럴 것이 하나의 단체가 운영하는 하나의 멀웨어라면, 공격 표적이나 패턴, 공격 동기나 목표, 침투 방법 등이 어느 정도 통일돼 있기 마련이다. 하지만 여러 사람과 조직들이 대여해 갖가지 목적과 방법으로 사용하기 때문에 ‘속골리시를 통해 공격이 이뤄졌다’는 것 외에는 공통점을 찾는 게 불가능하다.

다행히 속골리시는 하나의 플랫폼으로 진화했음에도 가짜 업데이트로 위장한다는 전술로만 피해자를 늘리고 있다. 그것도 크롬 등 각종 브라우저와 플래시 플레이어의 업데이트를 사칭하는 게 가장 흔히 나타나는 패턴이다. 그렇기 때문에 크롬이나 기타 브라우저의 공식 개발사 사이트가 아닌 곳에서 갑자기 업데이트 팝업이 뜰 경우 클릭하지 않는다는 원칙 하나만 지켜도 속골리시에 대한 방어를 성공적으로 할 수 있다. 어떤 소프트웨어든, 업데이트는 공식 개발사 웹사이트를 통해 하는 것이 가장 안전하다.

브라우저 옵션을 통해 팝업을 차단하거나 스크립트 실행을 제한하는 것도 좋은 방법이다. 속골리시는 자바스크립트를 기반으로 하고 있기 때문에 스크립트 실행 자체를 제한하면 유입이 아예 성립하지 않는다. 속골리시가 악성 광고를 유포하는 것도 포착된 적이 있는데, 따라서 브라우저에 광고 차단기를 설치해 사용하는 것도 효과적일 수 있다.  그 외 기본 피싱 방어법을 잘 실천하는 것도 중요하다.

Related Materials

• SOCGholish Malware Threat Profile: Adversary Pursuit Group (Blackpoint Cyber), 2024년
• SocGholish Has Graduated to a Malware Marketplace, Enterprise Security Tech, 2024년
• Unmasking SocGholish, Silent Push, 2024년
• SocGholish Holds Top Spot as Leading Malware in Q3 2024, Cyber Florida, 2024년

‘은폐’가 핵심인 요즘 공격자들, LotL마저 진화시켜

💡Editor’s Pick - 사이버 공격자들의 주안점, 흔적 감추기 - 가장 은밀한 공격인 LotL마저 더 발전시켜 - SVG 파일 악용 사례 늘어나고, 룸마스틸러 인기 올라가고 사이버 공격자들의 은폐 실력이 나날이 좋아지고 있다. 피해자 시스템에 설치되어 있는 유틸리티와 자원을 있는 그대로 공격에 활용하는 전술인 LotL(Living-off-the-Land) 자체도 변화하는 분위기라고 보안 업체 HP울프(

The Tech Edge문가용 기자

인디게임 사용자 노리는 크리덴셜 탈취 캠페인, “영리한 진화”

💡Editor’s Pick - 있지도 않은 인디게임을 유튜브와 디스코드로 광고 - 사실은 크리덴셜 수집하는 정보 탈취 멀웨어 - 미끼가 되는 게임은 전혀 개발하지 않아...오로지 마케팅만 인디게임 사용자들을 노리는 크리덴셜 탈취 캠페인이 발견됐다. 이 캠페인에 유튜브와 디스코드까지 악용됐다. 보안 업체 아크로니스(Acronis)의 분석가들이 공개한 것으로, 공격자들이 원하는 건 사용자들의 크리덴셜인

The Tech Edge문가용 기자