새로운 Emotet에 WiFi를 통한 확산기능이 추가된 것이 확인되었다. 이를 통해 공격자는 일반적으로 생각하지 않는 경로를 통해 악성코드를 확산 시킬 수 있게 되었다.

2019년 하반기에 가장 화제가 된 악성코드로 Emotet악성코드를 들 수 있다. 2014년 처음 등장한 이 악성코드는 민감한 개인정보를 수집하는 목적으로 이용되었고, 이후 2019년에 주로 이메일을 통해 첨부된 문서형 악성코드 형태로 공격자들이 활발하게 사용되면서 다시 화제가 되었다.

이러한 Emotet은 네트워크에 확산시키기 위해 네트워크 내 PC와 Server에 도달하기 위한 다양한 모듈을 추가로 내려받고 실행하는 것으로 알려졌다. 다만 이러한 시도는 동일 네트워크에만 해당하는 것이기 때문에 분할된 네트워크에서는 위력이 거의 없었다.

하지만 최근 WiFi를 통한 확산 기능이 추가된 것이 확인되었으며 새로운 경로인 WiFi를 통해 측면이동(Lateral movement)이 가능하게 되면서 일반적으로 생각하는 경로 외에 추가적인 경로에 대해서도 주의가 필요하게 되었다.

이 새로운 Emotet 악성코드는 소위 "WiFi spreader” 명명한 모듈을 다운받아 이용하며 취약한 네트워크에 접속해 확산시킬 수 있게 되었다. 즉, Emotet 감염자가 내부 네트워크나 동일 네트워크가 아니더라도 WiFi를 사용하여 확산할 수 있는 새로운 경로가 생겨난 것이다. 이러한 확산 경로로 물리적으로 가까운 타 회사에 확산할 경우 이에 대한 문제의 심각성은 더욱 커질 것으로 판단된다.

따라서 WiFi를 통한 확산 가능성을 미리 인지하고 파악하는 것이 필요하며 이를 방지하기 위해 암호가 설정되어 있지 않거나 쉽게 설정된 암호는 변경하고 물리적으로 타 부서나 회사와 가까운 경우 WiFi를 통해 확산될 수 있기 때문에 WiFi 자동 연결을 해제하고 WiFi에 접근할 때는 주의가 필요하다.

그동안 악성코드들은 WiFi를 통해 확산하지 않는 것이 일반적이었다. 하지만 이번 이슈를 통해 다른 악성코드에서도 WiFi를 이용한 확산기능이 추가될 것이라고 보이므로 WiFi가 추가적인 공격 경로라는 인식이 필요하며 침해 사고가 발생하거나 침해 위협이 탐지될 경우 피해의 범위나 사고조사의 범위에 WiFi도 고려해야 할 것으로 보인다.

참조 : https://www.zdnet.com/article/emotet-trojan-evolves-to-spread-via-a-wifi-connection/

보안관제센터 Team MIR