게시일: 2020. 11. 21 오전 9:59:54
최근 2주 동안 덩치 큰 조직들 다수 침투…네트워크 암호화에 걸리는 시간은 1시간
고급 기술력 갖춘 자들이 배후에 있는 듯…이란의 해커일 가능성 현재로선 높아
[보안뉴스 문가용 기자] 지난 2주 동안 빠르게 퍼져가고 있는 신종 랜섬웨어에 많은 보안 전문가들의 이목이 집중되고 있다. 이미 이스라엘과 유럽의 대형 기업들이 여럿 당했으며, 곧 전 세계적인 위협이 될 전망이다. 보안 업체 체크포인트(Check Point)가 새 랜섬웨어인 페이투키(Pay2Key)에 대한 보고서를 발표했다.
[이미지 = utoimage]
이 보고서에 따르면 페이투키 랜섬웨어는 기존의 다른 랜섬웨어들 대부분이 그렇듯 원격 데스크톱 프로토콜(RDP) 서비스를 익스플로잇 함으로써 피해자 네트워크에 침투해 횡적으로 움직여 감염의 피해를 최대화 시킨다고 한다. 또한 다른 침투 방법도 보유하고 있을 가능성이 높은 것으로 보인다.
페이투키는 피해자의 네트워크에 최초 침투하는 데 성공한 이후 거점이 될 만한 장비나 프록시를 제일 먼저 설정한다. 그리고 이 장비를 통해 페이투키 C&C 서버와 통신한다. 단 하나의 장비만으로 외부 서버와 통신을 하는 전략 덕분에 암호화 이전에 탐지되는 걸 많은 경우 회피할 수 있다고 한다. 페이투키 운영자들은 psexec라는 유틸리티를 사용해 횡적으로 움직이며 여러 시스템에 페이투키를 심는다.
페이투키 랜섬웨어 역시 최신 랜섬웨어처럼 파일을 암호화 하기 전에 외부로 빼돌린다. 피해자가 협상에 응하지 않을 경우 공개하기 위함이다. 페이투키 운영자들은 피해자들에게 7~9 비트코인 정도를 요구하는 편인데, 이는 현 시세로 11만 3천 달러에서 14만 5천 달러 수준이다. 현재까지 최소 네 곳의 피해 조직들이 데이터를 돌려 받기 위해 돈을 낸 것으로 보이며, 최소 세 곳이 돈을 내지 않아 정보가 공개되는 피해를 입었다.
공격자들은 현재 토르 기반 웹사이트를 마련하여 정보를 노출시키고 있다. 그냥 정보를 던져놓은 것이 아니라 피해 조직에 대한 상세한 정보와 함께 폴더 식으로 잘 정돈하여 공개하고 있다. 체크포인트에 따르면 피해 조직들에는 로펌, 게임 회사 등이 포함되어 있다고 한다. 재미있는 건 로펌의 경우 기한을 어기자마자 정보 공개에 나섰고, 게임 회사의 경우 두 번째 기회를 주었다는 차이가 있다는 것이다. 그 이유는 아직 밝혀지지 않았다
또한 돈을 낸 기업들의 경우 데이터를 무사히 복구했는지 아직 확실히 알 수 없다. 체크포인트는 “페이투키 공격자들의 해킹 기술이 상당히 발전되어 있다고 본다”며 “일반 랜섬웨어 공격자들의 수준을 훨씬 상회한다”고 썼다. 또한 “여태껏 발견된 적이 없는 단체일 가능성이 높다”고도 밝혔다. 체크포인트가 이렇게 생각하는 이유는 페이투키가 단 며칠 만에 대형 조직들을 여럿 동시에 공격했고, 1시간 내에 네트워크를 마비시키는 데 성공했기 때문이다.
한편 체크포인트는 피해자들이 돈을 보낸 비트코인 지갑을 추적하기도 했다. 그 결과 이란의 암호화폐 거래소인 엑스코이노(Excoino)에서 거래가 발생한 것을 알아냈다. 엑스코이노는 이란 국민들만 사용이 가능한 거래소인 것으로 알려져 있다. 여기서 거래를 하려면 이란의 주민등록번호를 반드시 기입해야 하기 때문이다.
또한 페이투키가 현재까지 이스라엘 기업들을 집중적으로 공격하고 있다는 것도 이란 해커들이 배후에 있을 가능성을 시사한다. 물론 유럽 조직들 중에서도 피해가 나오고 있어 단언하기는 힘든 부분이다. “이렇게까지 실력이 좋은 조직이고, 공격이 유럽에서도 발견되고 있는 걸 보면, 스스로의 무대를 전 세계로 확장시켜가는 중일 가능성이 높다”고 체크포인트는 해석하고 있다.
ㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡㅡ
페이투키 랜섬웨어는 RDP프로토콜을 이용한 취약점 공격으로 원격으로 피해자의 컴퓨터 이용권을 탈취하여 랜섬웨어를 심어놓는다. 이러한 공격접근 방식 자체를 기존의 랜섬웨어와 크게 다른 점이 없지만, 전체적인 랜섬웨어 운영 전략 및 운영 실력이 상당하기 때문이다. 공개적으로 웹 사이트를 운영하여 각종 랜섬웨어 데이터를 저장 및 피해자 데이터를 공개하고 있으며, 중앙 명령 서버를 1개로 운영하여 자신의 정보를 노출시키는 데이터 흐름을 최소화 시키고있다. 또한 제로데이 취약점을 이용하여 개인과 단체를 구분하지 않고 랜섬웨어를 심어놓으며, 이 랜섬웨어에 대한 재화 역시 최대한 접근 가능하기 어렵게 운영하고 있다. 랜섬웨어 자체에서도 R4 암호화와 커스텀 키를 이용하여 내부 어셈블리 동작 규명을 어렵게 만들어 놓았다.
랜섬웨어를 막기 위해서는 블랙리스트 적인 악성 코드 탐지 능력도 중요하지만, 악의적인 성격을 구분하고 이 구분된 코드를 전부 막는 화이트리스트 적인 탐지 능력이 더욱 중시되고 있다. 따라서 매우 정밀하게 실제 악성 코드와 실제 악성 코드와 비슷한 일반 프로그램 사이의 동적 분석을 수행하여야 하고, 이에 대한 데이터를 이용하여 시스템, 네트워크 부분의 화이트리스트 보안을 강화시킬 필요가 있다.