[데이터넷] 한글을 사용해 우리나라 기업을 집중적으로 노리는 ‘귀신(GWISIN)’ 랜섬웨어는 국내 보안솔루션 등 국내 기업 보안환경에 대한 지식과 비즈니스 이해도가 매우 높은 것으로 보인다.

한국인터넷진흥원(KISA)에서 공개한 귀신 랜섬웨어 프로파일링 TTPs 보고서 /TTPs #8: 오퍼레이션 귀신 - 맞춤형 랜섬웨어 공격 전략 분석’에 따르면 이 공격은 ‘귀신이 방문했다(You have been visited by GWISIN)’는 메시지로 감염사실을 알린다.

공격자는 랜섬노트에 피해 기업이 ISO27001, ISMS-P, PIMS 등을 잘 지키지 않고 있다는 메시지를 남기는 등 한국 보안시장을 잘 알고 있다는 사실을 강조하고 있다. 또한 DRM과 같은 국내 기업에서 사용하는 솔루션과 비즈니스를 이해하고 있다는 점을 알리면서 기업을 협박한다.

더불어 이들은 피해 기업명을 랜섬노트에 삽입해 관련 기관에 신고하기 어렵게 만들었으며, 국내 수사기관이나 KISA에서도 도움을 줄 수 없다는 문구도 삽입하고 있다.

보고서에서는 “대부분의 기업이 외부로부터의 침입을 차단하기 위해 망분리, 공격표면관리 등의 조치를 취하고 있지만, 모든 침투를 막을 수는 없다. 공격자는 많은 자산을 감염시키고자 하기 때문에 기업·기관은 외부 침입 차단 노력과 함께 내부 인프라 모니터링이 반드시 필요하다”며 “공격에 성공하더라도 피해를 최소화할 수 있도록 보안 활동이 개선돼야 한다”고 강조했다.

침해사고 분석에도 전문성 있는 공격자

보고서에 따르면 귀신 랜섬웨어 공격자는 외부와 접점이 있는 웹서버를 대상으로 계정정보를 수집하고, DB 취약점을 이용해 공격을 시도하며, 랜섬웨어를 서비스에 등록해 자동으로 실행되도록 설정한다.

방어 회피를 위해 중앙관리 솔루션이나 일반 설치파일 등 정상적으로 사용되는 프로그램명으로 위장하며, LSASS 메모리를 덤프해 OS 계정의 패스워드를 추출한다. 공격을 진행하면서 악성코드 실행을 위해 등록한 서비스·레지스트리를 삭제하며, 이벤트 로그 삭제와 휴지통 삭제, 공격에 사용한 툴 삭제, 악성파일 시간 정보를 정상 파일 시간 정보로 변경, 안전모드 부팅으로 방어 솔루션 무력화 등을 진행한다.

침투한 공격자는 SMB를 통해 내부 시스템에 접근하며, 써드파티 솔루션을 사용해 악성 명령어를 배포하고, SFTP를 이용해 랜섬웨어 관련 파일을 공유한다. 웹셸을 이용해 내부 시스템에 명령을 전달하며, 웹을 통해 내부 자료를 유출한다. 그리고 볼륨 섀도우 카피를 삭제해 복구를 방지하면서 파일을 암호화하고 유출한 데이터를 공개한다고 협박하면서 돈을 요구한다.

이들은 웹 취약점과 웹셸을 공격에 활용하며, 방어 회피전략을 다수 사용하고 있어 탐지가 쉽지 않다. 랜섬웨어 감염 시 안전모드로 부팅해 백신 탐지를 회피하며, 시리얼 코드와 라이선스 코드를 입력받아야 정상 동작하게 설계돼 악성코드 확보만으로 분석이 불가능하다. KISA는 공격에 안티포렌식 기능이 적용돼 있는 것으로 보아 공격자가 침해사고 분석에 지식이 있는 것으로 판단했다.

보안 시스템 신뢰하지 말고 점검해야

보고서에서는 랜섬웨어 방어를 위해 CISO가 반드시 고려해야 할 사항으로 아래 다섯가지를 제안했다.

• 기업 내부자산의 재점검·분류를 통해 불필요한 자산과 시스템을 폐기, 기업 운영에 필수적으로 보호해야 하는 자산에 초점을 맞추어 대응범위를 축소해야 한다.
• 중요 자산의 기밀성과 무결성, 가용성을 보장할 수 있도록 선별된 자산에 대한 보안시스템과 백업시스템을 구축하여 가시성을 확보해야 한다. 도입한 보안시스템·백업시스템에 대해서도 보안성을 유지해야 한다.
• 공격자는 보안시스템에 대한 방어자의 신뢰를 역이용, 취약점을 악용하기 때문에 보안시스템으로의 무한한 신뢰는 지양해야 한다.
• 사업 및 경영부서의 요청으로 인해 보안정책이 위배되기 손쉬우나, 공격자는 완화된 보안정책을 비틀어 침투하기 때문에, 타협을 통해 완화된 보안정책은 추가적인 대응 방안을 마련해야 한다.
• 단순 모니터링 만으로는 고도화되고 있는 공격에 대응할 수 없기 때문에, 차세대 모니터링 대응체계(탐지, 분석, 패치 등)를 구축하고 운영해야 한다.

김선애 기자 다른기사 보기