[데이터넷] 윈도우 취약점과 정상 컴퓨터 프로세스를 이용해 보안 탐지를 지능적으로 우회하는 새로운 랜섬웨어 ‘소딘(Sodin)’이 발견됐다. 서비스형 랜섬웨어(RaaS)로 유포되는 이 공격은 여러 단계의 보안 탐지 우회 기능을 탑재하고 있을 뿐 아니라 악성코드 개발자가 직접 공격을 통제하는 기능도 포함하고 있다.
카스퍼스키랩에 따르면 소딘은 윈도우 제로데이 취약점을 악용해 감염된 시스템의 관리자 권한을 확보한 후 CPU 아키텍처를 교묘히 활용해 보안 탐지를 우회한다. 카스퍼스키랩은 소딘이 ‘천국의 문(Heaven’s Gate)’ 기법을 이용한다고 설명하는데, 악성 프로그램이 32비트 운영 체제에서 64비트 코드를 실행할 수 있다.
보통 랜섬웨어는 사용자가 악성코드를 다운받아 실행해야 한다. 소딘 공격자는 최신 제로데이 취약점(CVE-2018-8453)을 악용해 관리자 권한을 획득, 취약점이 있는 서버에 직접 악성코드를 심기도 했다.
소딘 악성코드 개발자가 악성코드에 백도어를 심어, 악성코드 구매자들도 모르게 파일을 복호화 할 수 있다. 개발자가 마스터키를 갖고 있는 셈으로, 공격자가 피해자로부터 돈을 받은 후 데이터를 복구할 때, 개발자가 마스터키로 조작해 데이터 복구가 불가능하게 만들 수 있고, 일부 유포자의 악성코드를 쓸모 없게 만들기도 한다.
소딘 랜섬웨어 공격은 아시아에 집중됐다. 공격의 17.6%가 대만, 9.8%가 홍콩, 8.8%가 대한민국에서 일어났다. 유럽, 북미, 남미 등지에서도 소딘 랜섬웨어가 관찰되었다. 랜섬웨어에 감염된 PC에는 2500달러에 상당하는 비트코인을 요구하는 메시지가 남아 있다.
이창훈 카스퍼스키코리아 지사장은 “CPU 아키텍처를 이용해 감시망을 피하는 것은 암호화 악성코드에서 흔히 볼 수 없는 방식이다. 이러한 악성코드를 제작하는 데에는 상당한 리소스가 투입되므로 앞으로 소딘 랜섬웨어가 사용한 수법을 활용한 공격이 늘어날 것으로 보인다. 이 악성코드 개발에 참여한 범죄자들은 꽤 높은 수익을 기대하고 있을 것”이라고 밝혔다.
