소크골리시, ‘가짜 업데이트’로 초기 침투 후 랜섬웨어 조직에 접근권 판매…주의

소크골리시, ‘가짜 업데이트’로 초기 침투 후 랜섬웨어 조직에 접근권 판매…주의 (사진 출처 : 데일리시큐)

소크골리시(SocGholish)란 무엇인가?

 

소크골리시는 최근 사이버 범죄에서 주목받고 있는 악성코드로, 주로 웹사이트를 해킹하여 자바스크립트를 삽입하는 방식으로 작동합니다. 이 악성코드는 사용자가 자주 사용하는 소프트웨어의 업데이트를 사칭하여 팝업을 띄우고, 사용자가 이를 승인하면 로더가 기기에 침투하게 됩니다. 이러한 방식은 사용자의 경각심을 낮추고, 악성코드의 침투를 용이하게 만듭니다.

 

소크골리시의 작동 원리

 

소크골리시는 합법적인 웹사이트를 해킹하여 자바스크립트를 삽입합니다. 이 자바스크립트는 구글 크롬, 모질라 파이어폭스, 어도비 플래시 플레이어, 마이크로소프트 팀즈 등의 소프트웨어 업데이트를 사칭하는 팝업을 생성합니다. 사용자가 이 팝업을 승인하면, 로더가 기기에 침투하여 명령제어(C2) 서버와 통신을 시작하게 됩니다. 이 과정에서 사용자는 자신이 악성코드에 감염되었다는 사실을 인지하지 못하게 됩니다.

 

가짜 업데이트의 위험성

 

가짜 업데이트는 사용자가 신뢰하는 소프트웨어의 업데이트를 가장하여 이루어지기 때문에, 피해자는 쉽게 속아 넘어갈 수 있습니다. 이러한 방식으로 침투한 악성코드는 개인 정보 유출, 시스템 손상, 랜섬웨어 감염 등 다양한 피해를 초래할 수 있습니다. 특히, 랜섬웨어에 감염될 경우, 중요한 파일이 암호화되어 복구가 불가능해질 수 있습니다.

 

악성코드 서비스(MaaS)로의 진화

 

최근 소크골리시는 단순한 악성코드 유포를 넘어, 악성코드 서비스(MaaS, Malware-as-a-Service) 형태로 진화하고 있습니다. 운영자들은 감염된 시스템을 직접 활용하는 대신, 이를 악성코드 접속 시장에서 판매하여 이익을 창출하고 있습니다. 이러한 변화는 사이버 범죄의 진화를 보여주는 중요한 사례로, 범죄 조직 간의 협력과 정보 공유가 활발해지고 있음을 나타냅니다.

 

트래픽 분배 시스템(TDS)의 역할

 

소크골리시 운영자들은 패럿 TDS(Parrot TDS)와 케이타로 TDS(Keitaro TDS)와 같은 상용 트래픽 분배 시스템을 적극 활용하고 있습니다. 이 시스템은 방문자의 브라우저, 운영체제, IP 위치, 시간대, 샌드박스 여부 등을 체크하여, 가치가 높은 표적에게만 악성 페이로드를 제공하는 방식으로 효율성을 극대화하고 있습니다. 이러한 정교한 분석과 타겟팅은 소크골리시의 침투 성공률을 높이는 데 기여하고 있습니다.

 

사이버 범죄 시장의 현황

 

현재 사이버 범죄 시장은 매우 정교해지고 있으며, 다양한 범죄 조직들이 서로 협력하여 악성코드를 유포하고 있습니다. 소크골리시와 같은 악성코드는 이러한 범죄 시장에서 중요한 역할을 하고 있으며, 초기 침투 권한을 판매하는 형태로 범죄가 확대되고 있습니다. 이는 사이버 보안에 대한 위협을 더욱 심각하게 만들고 있습니다.

 

예방 및 대응 방법

 

소크골리시와 같은 악성코드로부터 보호하기 위해서는 몇 가지 예방 조치를 취하는 것이 중요합니다. 첫째, 소프트웨어 업데이트는 공식 웹사이트나 신뢰할 수 있는 출처를 통해 진행해야 합니다. 둘째, 보안 소프트웨어를 설치하고 정기적으로 업데이트하여 악성코드를 차단해야 합니다. 셋째, 의심스러운 링크나 팝업은 클릭하지 않도록 주의해야 합니다. 마지막으로, 정기적으로 데이터 백업을 수행하여 랜섬웨어 감염 시 피해를 최소화할 수 있도록 해야 합니다.

 

마무리 및 정보 공유

 

소크골리시와 같은 악성코드는 점점 더 정교해지고 있으며, 사용자들의 경각심을 높이는 것이 중요합니다. 사이버 범죄에 대한 이해를 높이고, 예방 조치를 통해 안전한 인터넷 사용 환경을 만들어 나가야 합니다. 이 정보를 주변과 공유하여 더 많은 사람들이 사이버 범죄의 위험성을 인식할 수 있도록 도와주길 바랍니다.