> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“나야나, APT+리눅스 랜섬웨어 결합된 공격 당해”
스마일서브 나야나 공격 분석 보고서 발표…한국 호스팅 기업·업무 특성 잘 아는 조직의 소행
2017년 06월 16일 16:05:58 김선애 기자 iyamm@datanet.co.kr

인터넷나야나 랜섬웨어 공격은 지능형 지속위협(APT) 공격과 리눅스 랜섬웨어가 조합된 새로운 공격이라는 보고서가 나왔다. 호스팅 기업 스마일서브는 16일 보고서를 통해 이같이 밝히며 상세한 공격 방식을 설명했다.

나야나에서 공격 받은 서버는 150여대이며, 리눅스 운영체제이다. 그 중 절반이 웹호스팅 서버이고, 나머지 절반은 나야나 엔지니어가 관리하는 서버였다. 랜섬웨어 공격에 이용된 악성코드는 윈도우용 암호화 부분을 리눅스용으로 코딩한 것으로, 각 서버마다 올린 후 새벽 1시에 동시에 실행되도록 했다.

   

▲키로깅을 통해 사용자가 입력하는 키를 훔치는 사례.(출처: https://ko.wikipedia.org/wiki/%ED%82%A4%EB%A1%9C%EA%B9%85)

150대 서버에 개별적으로 접근했던 정황을 생각하면, 회사 내부 서버 관리자들끼리 공유하는 비밀번호 리스트를 공격자가 입수했을 것으로 추정되며, 관리자가 빠르게 대응할 수 없는 새벽 시간을 이용해 공격을 키운 것으로 보인다.

보고서를 작성한 김병철 스마일서브 대표는 “한국 표준시와 업무 취약시간을 잘 알고 있다는 점, 유려한 한국어가 아니라 초보 수준의 영어 작문을 직접 한 것으로 보인다는 점 등을 들어 필리핀이나 중국을 기반으로 한 보이스 피싱 조직과 연관있을 것”이라고 추정했다.

또한 백업 데이터까지 감염시킨 것을 보면, 호스팅 업계를 이해하거나 교과서적인 백업을 무력화시키는지 잘 아는 범죄자의 소행이라고 분석했다.

이 같은 정황을 근거로 보고서는 이번 사고는 회사 내부자의 소행이거나, 내부자 컴퓨터가 악성코드에 감염된 후 2차 공격을 당한 것, 혹은 접속이 허용된 외부 컴퓨터의 악성 코드 감염과 그로 인한 2차 감염일 가능성이 있다고 주장했다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  나야나, 랜섬웨어, 스마일서브, APT
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr