기사 대표 이미지

코드마스터입니다. 핵심부터 짚겠습니다.

최근 보안 업계에서 발견된 'DarkCloud'라는 인포스틸러(Infostealer, 정보 탈취형 악성코드)의 등장은 우리에게 매우 상징적인 경고를 던지고 있습니다. 이 악성코드는 최신 기술의 정수가 아닌, 무려 25년이 넘은 Visual Basic 6.0(VB6)이라는 아주 오래된 언어로 작성되었습니다. 가격 또한 30달러, 즉 최신 콘솔 게임기인 PS5 타이틀 하나를 구매하는 비용보다 저렴합니다. 하지만 이 저렴한 도구가 기업의 아키텍처(Architecture) 내부에 숨겨진 취약점을 파고들어 막대한 피해를 입힐 수 있다는 점이 본질적인 위협입니다.

특히 한국의 많은 제조 및 금융 중소기업들이 여전히 과거의 유산인 레거시(Legacy) 시스템과 소프트웨어를 현업에서 운용하고 있다는 점을 고려할 때, 이번 DarkCloud의 등장은 단순한 뉴스 이상의 의미를 갖습니다. 보안의 구멍은 항상 가장 저렴하고, 가장 오래된 곳에서 발생하기 마련입니다.

기술적 배경: 낡은 언어, 치명적인 침투



DarkCloud의 작동 메커니즘을 살펴보면, 그 구조는 매우 단순하면서도 명확합니다. 이 악성코드는 브라우저의 쿠키, 이메일 클라이언트의 인증 정보, 그리고 기업용 애플리케이션에 저장된 각종 자격 증명(Credentials)을 타겟으로 합니다. 기술적으로 보면, 이 악성코드는 운영체제의 API를 호출하여 특정 경로에 저장된 데이터베이스나 설정 파일을 읽어내는 방식을 취합니다.

여기서 주목해야 할 점은 개발 언어인 Visual Basic 6.0의 특성입니다. VB6는 현대적인 객체 지향 프로그래밍이나 강력한 보안 샌드박스(Sandbox) 기능을 갖추고 있지 않습니다. 공격자 입장에서는 복잡한 난독화(Obfuscation)나 고도의 기술 없이도 윈도우 환경의 COM(Component Object Model) 객체에 쉽게 접근할 수 있는 코드를 작성할 수 있습니다. 이는 공격자가 악성코드의 스케일링(Scaling, 공격 규모 확대)을 매우 용이하게 만든다는 것을 의미합니다. 저렴한 비용으로 대량의 변종을 찍어낼 수 있는 구조인 셈입니다.

비유를 들자면, 최첨단 보안 시스템을 갖춘 성벽(현대적 클라우드 환경)을 공격하는 대신, 성벽 뒤편에 방치된 오래된 창고(레거시 시스템)의 낡은 자물쇠를 부수는 것과 같습니다. 공격자는 성벽을 무너뜨릴 필요가 없습니다. 그저 낡은 자물쇠를 여는 아주 저렴한 열쇠 하나만 있으면 충분합니다.

심층 분석: 기술적 부채와 보안의 상관관계



저는 이번 사태를 보며 '기술적 부채(Technical Debt)'가 어떻게 보안 위협으로 전이되는지를 다시금 체감합니다. 많은 기업이 비용 절감과 안정성을 이유로 오래된 소프트웨어를 교체하지 않고 유지합니다. 이러한 레거시 환경은 현대적인 CI/CD(지속적 통합/지속적 배포) 파이라인이나 컨테이너(Container) 기반의 격리된 환경과는 거리가 멉니다. 패치가 불가능하거나, 패치를 적용했을 때 기존 업무 시스템이 붕괴될 위험이 있기 때문입니다.

DarkCloud와 같은 'Commodity Malware(범용 악성코드)'의 무서움은 바로 이 지점에 있습니다. 공격자는 고도의 해킹 기술을 보유한 APT(지능형 지속 위협) 그룹이 아니더라도, 단돈 30달러로 기업의 핵심 자산에 접근할 수 있는 경로를 확보하게 됩니다. 이는 보안 시장의 불균형을 초급 수준의 공격자들에게도 유리하게 만듭니다. 공격 비용은 낮아지고, 공격의 빈도는 높아지는 구조입니다.

경쟁적인 관점에서 볼 때, 최근의 보안 솔루션들은 주로 클라우드 네이티브 환경이나 마이크로서비스(Microservices) 아키텍처를 보호하는 데 집중되어 있습니다. 하지만 DarkCloud는 바로 그 '사각지대', 즉 현대화되지 못한 엔드포인트(Endpoint)를 노립니다. 따라서 기업의 보안 전략은 단순히 최신 솔루션을 도입하는 것에 그쳐서는 안 됩니다.

여기서 여러분께 질문을 던지고 싶습니다. 여러분의 조직 내에서 여전히 윈도우 XP나 7, 혹은 구형 VB 기반의 업무용 툴이 돌아가고 있지는 않습니까? 그리고 그 시스템의 보안 업데이트가 최신 상태임을 어떻게 보장하고 계십니까?

실무 가이드: 엔드포인트 방어를 위한 체크리스트



기업의 보안 담당자나 인프라 운영자라면, DarkCloud와 같은 위협에 대응하기 위해 다음과 같은 실무적인 접근이 필요합니다.

1. 레거시 자산 전수 조사 (Asset Inventory): 현재 네트워크 내에서 운영 중인 모든 엔드포인트와 소프트웨어 버전을 파악하십시오. 특히 보안 패치가 중단된 OS나 런타임 환경을 식별하는 것이 최우선입니다. 2. 자격 증명 격리 및 관리: 브라우저나 이메일 클라이언트에 비밀번호를 저장하는 행위를 금지하십시오. 대신, 기업용 패스워드 매니저(Password Manager)를 도입하여 인증 정보가 로컬 파일 형태로 남지 않도록 해야 합니다. 3. 다중 요소 인증(MFA) 강제화: 설령 자격 증명이 탈취되더라도, 추가적인 인증 단계가 있다면 공격자의 침투를 차단할 수 있습니다. 이는 SLA(서비스 수준 협약) 관점에서도 매우 중요한 보안 요구사항입니다. 4. 마이그레이션(Migration) 계획 수립: 레거시 시스템을 현대적인 환경으로 전환하는 것은 단순한 비용 문제가 아닌 생존의 문제입니다. 가능한 한 업무 로직을 컨테이너화하거나, 클라우드 기반의 관리형 서비스로 전환하는 로드맵을 수립하십시오. 5. EDR(Endpoint Detection and Response) 도입: 단순 백신을 넘어, 엔드포인트에서 발생하는 수상한 프로세스 실행이나 비정상적인 파일 접근을 탐지할 수 있는 능력을 갖춰야 합니다.

필자의 한마디



보안은 단순히 '방패를 두껍게 만드는 것'이 아니라, '공격자의 가성비를 떨어뜨리는 것'입니다. DarkCloud처럼 30달러짜리 공격이 성공한다는 것은, 우리 기업의 방어 비용이 공격 비용보다 훨씬 낮게 책정되어 있다는 방증입니다.

기술적 부채를 해결하지 않은 채 최신 보안 솔루션만 도입하는 것은, 밑 빠진 독에 물을 붓는 것과 같습니다. 근본적인 아키텍처의 현대화와 레거시 관리가 병행되어야만 진정한 의미의 보안을 달성할 수 있습니다. 앞으로의 보안 트렌드는 더욱 파편화되고 저렴해질 것입니다. 이에 대비하는 우리의 자세도 달라져야 합니다.

실무 관점에서 결론은 명확합니다. 오래된 시스템을 방치하는 것은 공격자에게 무료로 문을 열어주는 것과 같습니다. 여러분의 생각은 어떠신가요? 레거시 시스템의 보안 문제를 해결하기 위해 어떤 전략을 취하고 계신지 댓글로 의견 남겨주세요. 코드마스터였습니다.

출처: "https://www.techradar.com/pro/security/this-dangerous-malware-is-written-in-visual-basic-6-0-and-costs-less-than-a-ps5-game-but-poses-a-very-real-threat-to-your-business"