> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“다른 조직 랜섬웨어 훔쳐 공격에 이용한 ‘페트랩’ 등장”
카스퍼스키랩, 서비스형 랜섬웨어 ‘페트야’ 코드 훔쳐 범죄 활동 벌이는 램섬웨어 그룹 발견
2017년 03월 16일 13:45:12 김선애 기자 iyamm@datanet.co.kr

타 해킹 조직의 랜섬웨어 코드를 훔쳐 공격하는 새로운 랜섬웨어 그룹 ‘페트랩(PetrWrap)’이 발견됐다. 페트랩은 랜섬웨어 서비스(RaaS) 플랫폼을 통해 유포되는 페트야(Petya) 랜섬웨어 모듈을 활용해 기업을 대상으로 표적공격을 진행한다.

카스퍼스키랩에 따르면, 페트랩의 개발자들은 페트야 랜섬웨어를 변경하는 특수 모듈을 만들어냈고, 페트야의 개발자들은 페트야의 무단 사용에도 속수무책으로 당할 수밖에 없는 상황이다. 이는 지하 랜섬웨어 시장이 치열해지고 있다는 사실을 보여주는 증거가 되기도 한다.

   

▲페트랩 감염된 PC 화면

‘페트야’ 크래킹한 페트랩 트로이목마

페트야는 데이터를 암호화 할 뿐 아니라 하드 디스크 드라이브(HDD)의 마스터 부트 레코드(MBR)를 덮어쓰기 때문에 감염된 컴퓨터는 운영 체제를 부팅할 수조차 없는 상태가 된다.

랜섬웨어 서비스 모델 중 주목할 사례로 꼽히는 이 악성 코드는 랜섬웨어 개발자들이 주문형 랜섬웨어를 제공하면 여러 유통자들이 이를 유통하고 수익의 일부를 받는 구조로 되어 있다.

개발 영역에 대한 수익을 보호하기 위해 페트야 개발자들은 페트야내에 특정 보호 메커니즘을 입력해 랜섬웨어 무단 사용을 막는다. 그러나 올해 초에 처음으로 탐지된 페트랩 트로이목마의 개발자들은 기존 페트야의 보호 메커니즘을 뚫고 원 개발자에게 대가를 지불하지 않고도 페트야 랜섬웨어를 활용할 수 있는 방법을 찾아냈다.

아직 페트랩의 유통 경로는 확실히 밝혀진 바가 없다. 페트랩은 컴퓨터에 침투한 후 페트야를 실행해 피해자의 데이터를 암호화하고 대가를 요구한다. 페트랩 개발자들은 본래 페트야 암호화 키 대신 자체 제작한 개인 및 공개 암호화 키를 사용한다. 즉 피해자가 대가를 지불할 경우, 페트야 개발자로부터 개인키를 받지 않고 페트랩 측에서 컴퓨터를 복구할 수 있다.

페트야는 거의 완벽한 암호화 알고리즘을 가지고 있기 때문에 풀기가 매우 어렵다. 이는 암호화 랜섬웨어에서 가장 중요한 요소이다.

이전의 몇몇 사례를 보면 암호화에서의 실수로 인해 보안 연구진들이 파일 복호화에 성공함으로써 관련된 범죄 활동을 무산시킨 적이 있었다. 이러한 일은 이전 버전의 페트야에서도 일어났고, 그 이후로 페트야의 개발자들은 랜섬웨어 내에 존재하는 대부분의 문제를 수정했다. 그 결과 최신 버전의 페트야에 감염되면 피해자의 컴퓨터는 거의 완벽하게 암호화가 된다.

이러한 장점이 있기 때문에 페트랩 뒤의 범죄자들이 페트야를 활용하는 것으로 보인다. 더군다나 페트랩 피해자에게 표시되는 잠금 화면에는 페트야라는 언급이 없는 만큼, 보안 전문가들이 이러한 상황을 진단하고 감염원 랜섬웨어군을 빠르게 식별하는 데 어려움을 겪고 있다.

“기업 표적 랜섬웨어 공격 지속적으로 발견”

이창훈 카스퍼스키랩코리아의 지사장은 “현재 해킹 조직들은 제 살 깎아먹기식 경쟁을 하고 있다. 이는 랜섬웨어 범죄 조직 내의 경쟁이 치열해지고 있다는 증거”라며 “이론적으로 본다면 이는 좋은 현상이다. 범죄 조직들이 서로 싸우고 속이는데 시간을 쓴다면 이들의 결속력이 약해질 것이고, 이들의 공격도 약화될 것이기 때문”이라고 말했다.

그는 “그러나 페트랩이 표적형 공격에 사용되고 있다는 점은 우려된다. 표적형 랜섬웨어는 페트랩 뿐 아니라 지속적으로 발견될 것이므로 기업/기관은 보안에 각별한 주의를 기울여야 한다”고 덧붙였다.

표적형 랜섬웨어 공격 피해를 입지 않기 위해서는 데이터 유실 시 파일을 복구할 수 있도록 정기적으로 적절한 방식으로 데이터 백업을 수행해야 한다.

또한 행동 기반 탐지 기술이 있는 보안 솔루션을 사용해 우회공격을 차단한다. 행동 기반 탐지 기술은 시스템 내에서 랜섬웨어 및 악성 코드가 행동하는 방식을 감시해 감염 사실을 탐지하며, 이를 통해 알려지지 않은 랜섬웨어나 신종 랜섬웨어를 탐지할 수 있다.

더불어 보안 취약점 파악 및 해결을 위한 제어 네트워크의 보안 평가(보안 감사, 침투 테스트, 갭 분석 등)를 수행한다. 외부 공급업체가 제어 네트워크에 직접 접근할 수 있는 경우 해당 업체와 타사 정책에 대한 검토도 실시해야 한다.

이와 함께 신뢰할 수 있는 외부 공급업체의 보안 인텔리전스를 이용해 기업에서 사이버 공격을 예측할 수 있는 프로세스를 만들어야 하며, 사내 직원 교육과 훈련으로 보안위협에 노출되지 않도록 해야 한다.

마지막으로 내부 보호에 주의를 기울이고 외부 방어벽을 구축한다. 기업의 핵심적인 요소가 공격 받기 전에 차단하려면 공격을 탐지하고 신속하고 대응하는 데 주력하는 보안 전략을 세워야 한다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  카스퍼스키랩, 페트야, 랜섬웨어, 페트랩
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr