소크골리시, ‘가짜 업데이트’로 초기 침투 후 랜섬웨어 조직에 접근권 판매…주의

자바스크립트 기반 악성코드 ‘페이크업데이트(FakeUpdates)’로 알려진 소크골리시(SocGholish)가 단순 악성코드 유포를 넘어 ‘악성코드 서비스(MaaS, Malware-as-a-Service)’ 형태로 진화하며 다른 사이버 범죄 조직에 초기 침투 권한을 판매하는 정교한 범죄 시장으로 확대되고 있다.

최근 분석에 따르면 운영자들은 패럿 TDS(Parrot TDS)와 케이타로 TDS(Keitaro TDS)와 같은 상용 트래픽 분배 시스템(TDS, Traffic Distribution System)을 적극 활용해 방문자를 정밀 분석하고, 가치가 높은 표적에게만 악성 페이로드를 제공하는 방식으로 효율성을 극대화하고 있다.

■웹 위변조에서 ‘침투 시장’으로 범죄 확대

소크골리시는 합법적인 웹사이트를 해킹해 자바스크립트를 삽입하고, 이를 통해 구글 크롬(Google Chrome), 모질라 파이어폭스(Mozilla Firefox), 어도비 플래시 플레이어(Adobe Flash Player), 마이크로소프트 팀즈(Microsoft Teams) 등의 소프트웨어 업데이트를 사칭하는 팝업을 표시한다. 사용자가 이를 승인하면 로더가 기기에 침투해 명령제어(C2) 서버와 통신을 시작한다. 최근 분석에서 이 운영 그룹은 감염된 시스템을 직접 활용하는 대신, 이를 악성코드 접속 시장에서 판매해 이익을 창출하는 것으로 드러났다.

케이타로와 패럿 TDS는 감염된 웹사이트와 최종 악성코드 유포 도메인 사이에 위치해 브라우저·운영체제, IP 위치, 시간대, 샌드박스 여부 등을 체크한다. 이러한 정보로 악성코드를 전달할지 여부를 결정한다. 케이타로 TDS는 합법적인 광고·마케팅 분야에서도 사용되지만, 과거부터 악성코드 유포와 정보조작에 악용된 사례가 많아 보안 업계에서는 경계 대상이다. 이 합법·악성의 경계가 모호한 인프라 특성 덕분에, 소크골리시는 정상 광고 트래픽 속에 은밀히 섞여 활동할 수 있다.

소크골리시 유입 경로는 러시아어권 범죄 트래픽 중개 조직과도 연결된다. 특히 벡스트리오(VexTrio)는 케이타로 등 여러 TDS 경유를 통해 소크골리시, 클리어페이크(ClearFake) 등 다양한 악성코드로 사용자를 유도한다. 이런 다단계 트래픽 중개 구조로 인해 소크골리시 감염 이후 전개되는 악성코드는 캠페인마다 다양하게 나타난다.

■해킹조직들, 소크골리시가 확보한 초기 접근권 구매해 사이버공격 시도

분석된 사례에 따르면, 소크골리시가 확보한 접근권은 이블코프(Evil Corp, DEV-0243), 드라이덱스(Dridex) 운영자, 록빗(LockBit) 랜섬웨어 그룹, 라즈베리 로빈(Raspberry Robin)과 같은 조직들에 판매되고 있다. 흥미롭게도 최근에는 라즈베리 로빈이 역으로 소크골리시를 유포하는 경로로 활용된 정황도 포착됐다. 라즈베리 로빈은 최근 C2 통신 암호화를 AES-CTR에서 ChaCha20 방식으로 변경하고, 분석 방해를 위해 의도적으로 잘못된 TOR C2 주소를 포함하는 등 탐지 회피 기법을 강화했다. 또, 윈도우 환경에서 권한 상승을 가능하게 하는 CVE-2024-38196 취약점도 새롭게 악용하고 있다.

소크골리시의 진화 흐름은 다른 악성코드 캠페인에서도 나타난다. 다크클라우드 정보탈취기는 2025년 4월부터 난독화 도구 ‘ConfuserEx’를 적용해 VB6 기반 페이로드를 프로세스 할로잉(Process Hollowing) 방식으로 실행하며 탐지를 회피했다. 최근에는 RAR 파일로 위장한 자바스크립트를 이용해 파워셸 스크립트를 실행하고, 인터넷 아카이브에 업로드된 JPEG 이미지 속에서 암호화된 DLL을 추출해 메모리에서 직접 로드하는 파일리스 방식도 확인됐다.

■방어가 어려운 두 가지 이유

소크골리시 대응이 어려운 주요 원인은 두 가지다. 첫째, 케이타로와 같은 합법 인프라를 악용해 정상 광고 트래픽과 악성 트래픽을 구분하기 어려워 대규모 차단 시 오탐이 발생할 수 있다. 둘째, 초기 침투 권한이 여러 범죄 조직에 판매되기 때문에 사후 대응 과정에서 각기 다른 악성코드가 발견돼 방어가 어렵다.

운영자들은 지속적으로 자바스크립트 인젝션과 중간 로더 파일 구조를 변경하고, 피해자가 분석 환경에 있는 것으로 의심되면 즉시 페이로드 전송을 중단하는 등 고도화된 회피 기술을 사용하고 있다. 더불어 ChaCha20 암호화 C2, 파일리스 로더 채택 등으로 인해 IOC(침해지표)를 활용한 단기적 차단은 점점 어려워질 전망이다.

보안 전문가들은 소크골리시 대응을 위해 웹 트래픽 경로에서의 차단 전략을 강화할 것을 권고한다. 특히 TDS를 경유한 리디렉션은 도메인 평판, ASN 위험도, 응답 지연 등을 종합해 조건부 차단 정책을 적용하는 것이 효과적이라고 설명한다. 또한, 악성코드 실행 단계보다 자바스크립트 인젝션 단계를 조기에 탐지하는 것이 중요하며, 이를 위해 콘텐츠 보안 정책(CSP) 위반 보고나 스크립트 무결성 검증을 활용할 수 있다.

전문가들은 또, 특정 악성코드 패밀리별 탐지보다 브로커 행위 기반 탐지로 전환해야 하며, 최신 난독화·파일리스 기법을 고려한 대응책 마련이 필요하다고 권고하고 있다.

[2025 대한민국 사이버 보안 컨퍼런스: 보안담당자 초대-7시간 보안교육이수!]

(제13회 KCSCON 2025/ 구 PASCON)

※ Korea Cyber Security Conference 2025

-2025년 9월 16일(화) / 세종대 컨벤션센터 전관-

공공∙기업 정보보안 책임자/실무자 1,200여명 참석!

-2025년 하반기 최대 정보보호 컨퍼런스&전시회-

△주최: 데일리시큐

△일시: 2025년 9월 16일 화요일(오전9시~오후5시)

△장소: 세종대 컨벤션센터 전관

△참석대상: 공공기관·공기업·정부산하기관·금융기관·의료·교육·일반기업

개인정보보호 및 정보보호 담당자, IT담당자 등 1,500여 명