'더 교묘하고 더 악랄해진' 2020 랜섬웨어 공격 5종
데이터를 볼모(ransom)로 잡는 맬웨어의 일종, 랜섬웨어(ransomware)가 등장한 것은 상당히 오래 전이다. 시초는 1991년 한 생물학자가 다른 AIDS 연구자들에게 일반 우편으로 보내는 방식으로 최초의 랜섬웨어인 PC 사이보그를 플로피 디스크에 담아 퍼뜨린 것이다. 2000년대 중반 아키베우스(Archiveus)가 랜섬웨어로는 최초로 암호화를 사용했는데, 물론 오래 전에 해독되어 그 암호가 해당 위키피디아 페이지에 공개되어 있다. 2010년대 초반에는 일련의 ‘경찰’ 랜섬웨어 패키지가 등장했다. 이 명칭이 붙은 것은 법 집행기관을 사칭해 피해자에게 불법 활동에 대한 ‘벌금’ 납부를 요구했기 때문이다. 이들 랜섬웨어 패키지는 걸리지 않고 돈을 쉽게 받아내도록 신세대 익명 결제 서비스를 악용하기 시작했다.
2010년대에는 랜섬웨어 추세가 새롭게 바뀌었다. 피해자의 돈을 갈취하려는 사이버 범죄자들이 몸값 지불 방식으로 암호화폐를 선택한 것이다. 애초에 추적할 수 없는 익명 결제 방식을 목적으로 만들어진 암호화폐는 범죄자들의 구미에 딱 맞았다. 대부분의 랜섬웨어 범죄집단들이 요구한 몸값 지불 수단은 암호화폐 중에서 가장 주목받는 비트코인이었는데 인기가 높아지면서 가치 변동이 심해지자 다른 화폐로 갈아타는 경우도 생겼다.
랜섬웨어 공격은 2010년대 중반에 위험한 수준으로까지 급증했다가 2018년에 이르자 크립토재킹(cryptojacking)에 밀려 사라지는 듯했다. 크립토재킹은 비트코인 지갑이 뭔지 모르는 피해자에게서 비트코인을 빼내는 또다른 불법 갈취 수단이다. 크립토재커는 스팸 유포자와 디도스(DDoS) 공격자가 오랫동안 사용해 온 각본에 따라 주인 몰래 컴퓨터를 은밀히 장악한다. 크립토재킹을 당한 컴퓨터는 비트코인 채굴 기기로 전락해 유휴 자원을 잡아먹으며 뒤에서 조용히 암호화폐를 생산하지만, 피해자는 그 상황을 전혀 모른다. 2018년 한 해 동안 랜섬웨어 공격은 감소한 반면 크립토재킹 공격은 450% 급증했다.
오늘날의 랜섬웨어 공격 잠깐 사라지는 듯했던 랜섬웨어는 지난 2년간 더욱 강력해져서 돌아왔다. 주니퍼 네트웍스 주니퍼 위협 연구소장 무니르 하하드는 이런 추세에 2가지 요인이 있다고 본다. 첫 번째 요인은 예측불허로 변하는 암호화폐 가격과 관련이 있다. 많은 크립토재커가 피해자 컴퓨터를 이용해 오픈 소스 모네로(Monero) 화폐를 채굴하고 있었는데 모네로 가격이 떨어지면서 “어느 순간 암호화폐 채굴이 랜섬웨어만큼 수익성이 없으리라는 것을 깨닫게 된다”는 것이다. 또한, 이미 피해자 컴퓨터를 트로이 목마 다운로더로 감염시킨 상태였기 때문에 적절한 때가 왔을 때 간단히 랜섬웨어 공격을 개시할 수 있었다. 하하드는 “솔직히 이런 일이 2년 내지 3년은 걸리기를 바라고 있었는데 1년 반 만에 원래의 공격으로 되돌아왔다”고 말했다.
또 다른 추세는 중요한 자료가 보관된 생산 서버를 집중 공격하는 경우가 늘어났다는 점이다. 하하드는 “아무 노트북이나 공격하면 조직은 크게 신경 쓰지 않을지도 모른다”고 전제하고 “그러나, 일상적인 업무에 필수적인 서버를 공격하면 훨씬 더 많은 관심을 끌 수 있다”고 설명했다.
이러한 종류의 공격에는 정교함이 한층 더 요구된다. 랜섬웨어 코드 자체의 정교함이라기보다는 보안 수준이 높은 시스템에 침투하여 맬웨어를 설치하기 위해 필요한 공격자 기술의 정교함이다. 하하드는 “무작위 난사 전술은 투자 대비 효과가 그다지 높지 않다. 고도의 표적 공격에 효과적인 좌우 움직임이 뒷받침되어야 투자 대비 효과가 높아진다. 그리고 그 좌우 움직임은 대부분 자동이 아니다. 초기 침입 지점을 확보한 후에 누군가가 직접 들어가서 네트워크 주변을 샅샅이 살피고, 파일을 이동하고, 권한을 확대하고, 다른 시스템에 원격으로 접속 가능한 관리자 인증 정보를 확보해야 한다”고 설명했다.
이러한 특징을 염두에 두고 새로운 시대에 등장한 최악의 랜섬웨어를 살펴보자.
5대 랜섬웨어 군: 공격 대상과 방법 1. 샘샘(SamSam)
2015년말부터 샘샘으로 알려진 소프트웨어를 이용한 공격이 나타나기 시작했는데 그 후 몇 년간 크게 증가해 미국 콜로라도 주 교통부, 애틀란타 시 등 굵직한 조직과 여러 의료시설에 피해를 입혔다. 샘샘은 공격자들의 조직력이 코딩 기술 못지 않게 중요하다는 것을 보여주는 완벽한 사례다. 샘샘은 다른 일부 랜섬웨어 변종처럼 무차별적으로 특정 취약점을 물색하는 대신 서비스형 랜섬웨어로 작동하는데, 미리 선정한 표적의 약점을 컨트롤러로 신중하게 탐색한다. 이미 IIS내 취약점에서부터 FTP와 RDP까지 다양한 허점을 악용한 바 있다. 공격자는 일단 시스템에 침투하면 열심히 권한을 확대한다. 파일 암호화에 착수할 때 공격으로 인한 피해를 극대화하기 위해서다.
샘샘은 동유럽에서 왔을 것이라는 것이 처음 보안 연구자들 사이의 생각이었지만 미국 내 기관들을 겨냥해 공격한 사례가 압도적인 다수를 차지했다. 2018년 말 미국 법무부는 이들 공격의 배후로 지목한 이란인 2명을 기소했다. 기소장에 명시된 손실액은 3,000만 달러가 넘었다. 이 금액 중 실제 지급된 몸값이 얼마인지는 불분명하다. 한때 미국 애틀란타 시 공무원들이 현지 매체에 제공한 무작위 메시지의 스크린샷에 공격자들과의 통신 방법에 관한 정보가 발견되어 해당 통신 포털을 폐쇄하는 바람에 애틀란타 시는 몸값을 내고 싶어도 낼 수 없을지 모른다.
2. 류크(Ryuk)
류크는 또다른 표적 랜섬웨어 변종으로 2018년과 2019년에 큰 피해를 입혔다. 허리케인 플로렌스 여파를 수습 중이던 미국 노스 캐롤라이나 주 수도 시설과 일간 신문사 등 가동이 중단되면 곤란한 조직을 골라 공격했다. 역시 피해를 입은 LA타임즈는 내부 시스템 감염 실상을 꽤 상세하게 보도했다. 특히 사악한 류크의 특징은 감염된 컴퓨터의 윈도우 시스템 복원 옵션을 못 쓰게 만들어버려 몸값을 지불하지 않는 이상 암호화된 데이터를 복구하기가 더욱 어려워진다는 점이었다. 표적으로 삼은 피해자의 높은 가치에 걸맞게 요구 몸값은 특히 높았다. 연말 휴가철에 집중된 공격은 공격자들이 목표 달성을 위해서라면 크리스마스를 망치는 것쯤은 아랑곳하지 않는다는 것을 보여줬다.
전문가들은 류크의 소스코드가 북한의 라자루스 그룹에서 만든 헤르메스(Hermes)에서 대부분 파생된 것으로 보고 있다. 그렇다고 해서 류크 공격 자체가 북한에서 실행되었다는 뜻은 아니다. 맥아피는 류크가 러시아어를 쓰는 공급업체에서 구입한 코드를 기반으로 구축된 것으로 보고 있다. 그 이유 중에는 이 랜섬웨어가 러시아어, 벨라루스어, 또는 우크라이나어로 설정된 컴퓨터에서는 실행되지 않는다는 점도 있다. 이 러시아 소스가 어떻게 북한 코드를 구했는지는 불분명하다.
3. 퓨어락커(PureLocker)
퓨어락커는 2019년 IBM과 인터제르(Intezer)가 공동으로 발표한 논문의 주제이기도 했던 새로운 랜섬웨어 변종이다. 윈도우나 리눅스 컴퓨터에서 작동하는 퓨어락커는 새롭게 등장하는 표적 맬웨어의 대표적인 사례다. 광범위한 피싱 공격을 통해 컴퓨터에 뿌리내리기 보다는 여러 유명 사이버 범죄자 집단과 연관된 특정 백도어 맬웨어와 관련이 있는 듯하다. 즉, 퓨어락커는 공격자가 이미 침투하여 잘 파악하고 있는 컴퓨터에 설치된 후, 해당 컴퓨터에서 여러 가지 점검을 하고 나서 실행된다. 가능한 곳에서 기회를 포착해 데이터를 암호화하는 것이 아니다.
IBM과 인터제르는 퓨어락커 감염이 얼마나 널리 퍼졌는지 공개하지 않았으나 대부분의 발생 장소가 기업 프로덕션 서버라는 점은 밝혔다. 기업 생산 서버가 고가치 표적이라는 점이 분명하다. 이러한 종류의 공격에는 고도로 숙련된 사람의 통제가 필요하기 때문에, 인터제르 보안 연구자 마이클 카질로티는 퓨어락커가 선불 지급 능력이 있는 범죄 조직들만 이용 가능한 서비스 제공형 랜섬웨어라고 보고 있다.
4. 제플린(Zeppelin)
제플린은 러시아와 동유럽의 회계 법인들을 아수라장으로 만들어놓은 서비스 제공형 랜섬웨어 군 베가(Vega) 또는 베가스락커(VagasLocker)에서 진화한 자손이다. 제플린은 특히 구성 가능성에서 비장의 신기술이 있는데 특정 대상을 노린다는 점에서 베가와 구별된다. 베가는 다소 무차별적으로 확산되어 주로 러시아권에서 활동한 반면, 제플린은 구체적으로 러시아, 우크라이나, 벨라루스, 카자흐스탄에서 작동되는 컴퓨터에서는 실행되지 않도록 설계되었다. 제플린은 EXE, DLD, 파워셸 로더 등 여러 가지 방식으로 배치될 수 있는데 적어도 이들 공격 중 일부는 보안이 뚫린 관리 보안 서비스 제공업체를 통해 온 것으로 보인다는 점에서 등골이 오싹해진다.
제플린은 2019년 11월에 등장했다. 공격 표적이 신중하게 선택된 것으로 보였다는 점이 베가와의 차이점을 더욱 드러낸다. 피해자들은 대부분 북미와 유럽의 의료 및 기술 업계에 속해 있었으며 몸값 요구서 중 일부는 감염된 표적 조직 앞으로 구체적으로 작성되었다. 보안 전문가들은 베가의 행동과 노선이 달라진 것은 아마도 러시아에 있는 새롭고 더욱 야심적인 위협 행위자가 사용 중인 코드베이스의 결과라고 믿고 있다. 감염 건수는 그다지 높지 않지만 일각에서는 지금까지 확인된 것이 더 많은 공격을 위한 개념증명이었다고 보고 있다.
5. 레빌/소디노키비(Sodinokibi)
레빌(REvil)이라고도 알려진 소디노키비는 2019년 4월 처음 등장했다. 제플린이 맬웨어 군의 후손인 것처럼 소디노키비도 그랜드크랩이라는 다른 맬웨어 군의 후손인 듯했다. 시리아는 물론 러시아와 그 주변의 여러 국가에서는 실행되지 않는 코드도 있어 그 지역이 근원임을 알 수 있다. 전파 방식이 여러 가지인데 그 중에는 오라클 웹로직 서버나 펄스 커넥트 시큐어 VPN의 허점을 악용하는 것이 있다.
소디노키비의 확산을 통해 그 배후의 야심 있는 명령 통제 팀이 다시금 드러났다. 아마도 서비스 제공형 랜섬웨어일 것이며 그로 인해 2019년 9월 22곳이 넘는 텍사스 소도시가 폐쇄되었다. 소디노키비의 악명이 제대로 높아진 것은 2019년 섣달 그믐날 영국 환전 서비스 트래블엑스(Travelex)를 마비시켜 공항 환전소들은 펜과 종이를 쓸 수밖에 없고 고객들의 돈은 오도가도 못하게 된 사건이었다. 공격자들은 충격적인 금액인 600만 달러를 몸값으로 요구했다. 트래블엑스 측은 몸값을 지불했는지 확인도 부인도 해주지 않고 있다.
주피터의 하하드는 2019년도 최악의 랜섬웨어를 뽑아 달라는 필자의 질문에 소디노키비를 뽑았다. 그 이유는 소디노키비 컨트롤러가 추가한 공격 방식 때문이다. 그는 “소디노키비가 조금 특별한 한 가지 이유는 이 집단이 사람들에게 ‘몸값을 내지 않으면 데이터를 돌려받을 수 없다’는 말뿐만 아니라 ‘그 비밀 자료를 웹에 공개하거나 지하 포럼에서 최고 입찰자에게 팔아버리겠다’는 참신한 협박 방식을 취한다는 점이다. 그 결과 사업 모델에서 랜섬웨어 방식이 새로운 단계로 진전한다”고 설명했다. 보통의 랜섬웨어 모델과는 크게 다른 점인데(피해자의 데이터를 직접 가져오는 어려운 과정을 거치지 않고도 감금할 수 있다는 장점이 있다) 이들은 위협을 이미 적어도 한번은 실행에 옮겼다. 이처럼 특정 표적을 노린 맞춤형 랜섬웨어의 새 시대는 새롭고 위험한 상황에 도달한 것으로 보인다. editor@itworld.co.kr
Josh Fruhlinger editor@itworld.co.kr
저작권자 한국IDG & ITWorld, 무단 전재 및 재배포 금지