최근 러시아, 유럽을 중심으로 확산되고 있는 ‘배드래빗(Bad Rabbit)’ 랜섬웨어가 미국 NSA의 해킹 툴 ‘이터널로맨스(EternalRomance)’를 이용한 것으로 알려졌다.
시스코 탈로스(Talos) 팀에 따르면 배드래빗은 SMB 취약점을 이용하고 있지만, 워너크라이가 사용한 이터널블루(EternalBlue)가 아니라 또 다른 공격툴인 이터널로맨스가 사용된 것으로 분석됐다. 이 툴은 SMB 취약점 자체를 노리는 것이 아니라 암호 설정 강도가 낮은 시스템에 침투한다.
NSA는 올해 초 해킹을 당해 자체 개발한 공격툴을 탈취당했으며, 이터널블루를 이용해 워너크라이 랜섬웨어가 발발했으며, 이번에는 이터널로맨스가 배드래빗 공격에 사용됐다.
두 공격 모두 러시아와 동유럽에 가장 많은 피해를 입혔으며, 우크라이나의 경우 교통기관 키예프메트로와 오데사 국제공항 등 사회기반시설과 금융기관이 이번 배드래빗의 피해를 입었다. 우크라이나는 6월 발생한 페트야/낫페트야 공격으로 발전소 등에서 피해를 입은 바 있다
이번 배드래빗 공격을 가장 많이 당한 국가는 러시아로, 언론기관 등이 피해를 입었다. 어베스트 배드래빗 피해의 71%는 러시아에서 발생했다고 설명했다.
배드래빗이 이용하는 이터널로맨스는 마이크로소프트가 공지한 ‘MS17-010’ 취약점을 이용하는데, 이것은 지난 6월 사회기반시설을 노린 랜섬웨어 페트야 공격에서 사용한 것이다.
배드래빗은 웹사이트를 감염시켜 방문자에게 가짜 플래시플레이어를 다운로드 받도록 하며, 이를 실행시키면 또 다른 감염 사이트로 이동시켜 공격도구를 다운받는다. 트렌드마이크로는 덴마크, 아일랜드, 터키, 러시아 등에서 감염된 사이트가 발견됐다고 밝혔다. 공격도구가 설치되면 시스템이 2번 재부팅되고 랜섬노트가 나타난다.
한편 한국인터넷진흥원(KISA)과 과학기술정보통신부(장관 유영민)은 배드래빗이 SMB 암호 취약점을 이용해 전파되는 만큼 우리나라 기업과 사용자들에게도 피해가 발생할 수 있다는 사실을 알리고 사용자들의 각별한 주의를 당부했다. 사용자들은 대․소문자, 숫자, 특수 기호 등을 포함한 안전한 비밀번호를 SMB에 설정해야 하며, 운영체제와 소프트웨어, 백신을 최신으로 업데이트 해야 한다.
불필요한 SMB 설정을 해제하고, 중요 자료는 네트워크에서 분리된 저장장치에 백업해야 하며, 신뢰할 수 없는 사이트에서 파일을 다운로드하여 실행하지 않아야 하고, 출처가 불분명한 메일 열람을 금지하는 것이 좋다.
