암호화폐 해킹사고 빈발…암호화폐 거래 추적해 범죄자 검거 가능
[데이터넷] 본보는 2020년 보안 시장을 예측하고 새로운 보안 모델 수립에 참고할 수 있도록 주목해야 할 보안 키워드 10가지를 정리했다. ▲정부 보안 산업 육성 정책 ▲클라우드 보안 가속화 ▲OT·IoT 보안 위협 현실화 ▲양날의 검, AI ▲진화하는 공급망 공격 ▲랜섬웨어와 암호화폐 해킹·채굴 ▲지능형 공격의 진화 ▲개인정보 보호와 활용 ▲제로 트러스트 보안 모델 ▲통합과 자동화 등을 정리해본다.<편집자>
2019년 랜섬웨어 ‘업계’는 아주 바쁘게 움직였다. 악명높은 갠드크랩 랜섬웨어 제작자가 랜섬웨어 서비스(RaaS) 중단을 선언하며 2조3000억원의 수익을 올렸다고 자랑했다. 이스트시큐리티는 갠드크랩의 악명을 소디노키비와 넴티가 이어받았다고 소개하며 이들이 2019년 4분기 국내에 가장 많이 유포된 랜섬웨어로 기록됐다고 설명했다.
랜섬웨어 악성코드는 이메일 악성 첨부파일이나 피싱메일, 기업에서 사용하는 주요 업무 시스템과 RDP와 같은 관리 시스템 취약점을 악용한다. 맥아피가 발견한 새로운 랜섬웨어 ‘아나토바(Anatova)’는 모듈식 구조로 안티 랜섬웨어 기술에 대응하는 혁신 기술을 갖췄다.
수익성 개선을 위해 랜섬웨어 공격자들은 개인보다 많은 돈을 낼 수 있는 기업을 노리고 있다. KISA의 3분기 위협 보고서에서 분석한 한 금융기관 클롭 랜섬웨어 공격은 기업정보를 탈취하고 암호화로 랜섬 수익금을 올리는 두 가지 공격을 동시에 진행했다. KISA는 클롭 랜섬웨어는 주로 제조기관을 노리고 있으며, 금융사, 정보서비스 기업, 도·소매 기업을 노리고 있다고 소개했다.
체크포인트는 기업, 정보, 헬스케어 기관을 대상으로 한 랜섬웨어 공격 사례를 소개하면서 미국 FBI가 랜섬웨어 공격 대응에 대해 다른 입장을 표명한 것을 지적했다. 그동안 수사기관은 랜섬웨어 피해를 복구하기 위해 공격자에게 돈을 주게 되면 공격 수익성을 높이고 더 많은 공격을 하게 만든다고 주장해왔다. 그러나 이번에 FBI는 기업이 주주와 직원, 고객을 보호하기 위해 일정 조건에서는 금전 지불을 고려할 수 있다고 밝혔다.
FBI가 한 발 물러선 입장을 낸 것은 랜섬웨어가 백업 데이터까지 삭제해 복구할 수 없는 상황으로 만들며, 기업·기관을 대상으로 공격해 데이터와 시스템 복구가 지연될수록 피해액이 눈덩이처럼 불어나게 하기 때문이다. 소포스는 백업과 복구에 의존하는 조직은 랜섬웨어로부터 안전하지 못하다며 예방적이고 신속한 보안 대응책을 마련해야 한다고 주장했다.
암호화폐 시세 따라 변경되는 공격 형태
기업을 노린 랜섬웨어 중 2019년 가장 심각한 피해를 입힌 것은 AD 서버를 이용해 지속적으로 랜섬웨어 공격을 이어간 것이다. SK인포섹의 분석에 따르면 공격자는 불특정 사용자에게 Flawed Ammyy RAT이 포함된 악성메일을 발송했으며, 이를 수신한 사용자가 감염되면서 피해가 발생했다.
공격자는 미미카츠 악성코드로 감염 PC의 사용자 계정을 탈취하고 서버 관리자 PC 정보를 탐색했다. AD 도메인 관리자 계정과 AD 정보를 탈취한 후 랜섬웨어와 재부팅 스크립트를 공유 폴더에 업로드했다. AD 서버가 지속적으로 랜섬웨어를 유포하게 해 공격을 이어간 것이다. 이 공격은 스피어피싱, 계정 탈취, AD서버 취약점 악용 등 여러 공격 방식을 이용한 멀티벡터 공격으로, APT 공격 방식을 취한 것이라고 할 수 있다.
이글루시큐리티는 공격자들이 암호화폐 시세에 따라 공격을 바꾼다고 설명했다. 암호화폐 시세가 상승하면 암호화폐 채굴 공격을, 시세가 떨어지면 랜섬웨어 공격으로 수익을 보장받고 있다. 더불어 공격자들은 복구 비용보다 약간 낮은 수준의 암호화폐를 요구해 피해자가 쉽게 돈을 지불할 수 있도록 한다.
랜섬웨어와 암호화폐 채굴 공격은 암호화폐를 확보하고 이를 수익화하기 위해서다. 암호화폐는 익명성이 보장되기 때문에 범죄자금을 세탁하는데 적합하다고 알려진다. 그러나 실제로 암호화폐는 거래에 참여하는 사람들이 모두 다 거래내역을 볼 수 있기 때문에 자금 추적이 불가능한 것은 아니다. 암호화폐 해킹으로 탈취된 자금은 잘게 쪼개져 수많은 지갑으로 분산되며, 여러 차례 거래가 반복되면서 블록체인 네트워크 안으로 흡수되는 것으로 보인다.
그러나 암호화폐 거래자금을 추적하는 보안 기술 기업과 범죄수사당국은 이 거래를 끈질기게 추적해 암호화폐를 현금화하는 순간을 포착해 범인을 검거한다. 업비트 해킹 사고 후 웁살라시큐리티는 이러한 보안기술을 이용해 탈취된 암호화폐가 이동하는 경로를 실시간 업데이트해 범죄 추적에 도움을 주고 있다.
