귀신 랜섬웨어 공격 방식 상세 분석…글로벌 랜섬웨어 동향 및 완화 방법 안내
[데이터넷] 우리나라 기업을 집중 공격하고 있는 귀신 랜섬웨어는 피해입은 기업에 ‘맞춤형’ 구성과 랜섬노트를 사용하며, 한글 키보드를 이용해 영문으로 타이핑한 흔적이 발견됐고, 국내 보안 솔루션과 국내 환경을 잘 알고 있는 것으로 보인다.
SK쉴더스(대표 박진효)가 민간 랜섬웨어 대응 협의체 ‘KARA(Korea Anti Ransomware Alliance) 함께 발간한 ‘랜섬웨어 동향 보고서’에 따르면 귀신 랜섬웨어는 지난해 상반기 최초 발견된 후 국내 금융, 제약, 전자, 미용 등 상장회사를 타깃으로 공격을 진행하고 있다. 이들은 AD 서버와 기업의 취약한 부분을 악용하며, 이벤트 로그 삭제, 키 값 사용 등 탐지를 회피하기 위한 방법을 다수 사용하며, 사고 분석을 방해하기 위한 전략을 활용한다.
이들은 한국어를 사용하거나 한국어에 능통한 해커가 포함된 그룹으로 분석되며, 탐지 회피를 위해 마이크로소프트 소프트웨어 인스톨러(MSI) 파일 형태로 유포, 커스텀 액션(Custom Action) 테이블을 이용해 DLL의 익스포트(Export) 함수를 호출해 동작한다. 샌드박스 분석을 방해하기 위해 MSI 파일 실행 시 특정 인자 값이 존재해야 작동하도록 했으며, 정상 셸코드를 생성하고 윈도우 정상 시스템 프로세스(WerFault.exe)에 메모리 인젝션으로 동작한다. AES-256 암호화 알고리즘을 사용해 RDP 세션을 통해 확보한 토큰으로 네트워크 및 로컬 드라이브 파일 암호화 작업을 수행한다.
공격 성공 후 이들은 DLP를 우회해 민감한 데이터를 탈취했다고 주장하며, 피해 사실을 국내 수사기관과 금융위원회, 국정원, KISA, SK쉴더스에 신고하지 말라고 강요한다.
RaaS 발전하며 공격 고도화·지능화
보고서는 국내에서 최근 가장 많이 발견되는 귀신 랜섬웨어와 포보스(Phobos) 랜섬웨어를 자세히 분석하면서, 국내 타깃 랜섬웨어의 공격 방법을 설명했다. 이들은 공격 대상을 선정하기 위해 다양한 방법으로 내부 정찰을 시도하고 취약점을 찾는다.
이들은 최초 침투를 위해 VPN, 웹셸, 백도어, 스피어피싱, 취약점을 악용하며, 감염을 위해 MSI, WMI, CMD, 메모리 인젝션 방식을 사용한다. 내부 이동을 위해 계정 비밀번호를 탈취해 권한을 상승시키며, 암호화된 컨피그 값과 토큰을 탈취하고 방화벽을 비롯한 보안 툴을 무력화한다. RDP, SMB, SSH, 윈도우 원격 관리 등 윈도우 기본 서비스를 이용해 공격 범위를 확장하며, 중요 데이터를 유출한 후 파일·백업 데이터를 암호화하고 협박을 시작한다.
전 세계적으로도 랜섬웨어는 심각한 위협이 되고 있다. 서비스형 랜섬웨어(RaaS)가 대규모 시장으로 성장하면서 공격 형태와 협박 방법은 이전에 비해 훨씬 더 고도화·지능화되고 있다. 락비트(Lockbit), 콘티(Conti)가 최근 가장 활발하게 활동하는 RaaS 모델로, 지속적으로 탐지 회피 공격을 추가하고
있다. 콘티는 지난해 주요 운영자들이 검거되면서 활동을 중단하고 다크웹 사이트를 폐쇄했지만, 하이브, 블랙캣, 블랙 바스타 등 다른 그룹으로 흩어져 활동하는 것으로 보인다. 이처럼 종료된 랜섬웨어 그룹 활동은 다른 그룹으로 이동하거나 새로운 그룹을 만들기도 하며, 잠시 공격을 중단했다가 1년 혹은 몇 달 후 활동을 재개하기도 한다.
2015년부터 스피어피싱을 이용한 랜섬웨어 배포에 집중해 오던 비너스락커(VenusLocker)는 마콥(Makop), 락비트로 이어졌다. 락비트 공격그룹은 3.0으로 업데이트하면서 랜섬웨어 최초로 버그바운티를 도입하고 지캐시(Zcash) 코인을 복호화 지불 방법으로 선택했다.
랜섬웨어 예방, 단계별 대응 프로세스 마련해야
SK쉴더스는 랜섬웨어 피해 예방을 위해 단일 솔루션과 서비스가 아닌 단계별 보안 요소와 프로세스를 마련해 랜섬웨어를 미리 탐지하고 차단해야 한다고 강조했다.
기업 내부의 네트워크와 인프라 자산 등에 대한 관리가 체계적으로 이뤄져야 하며 사고 발생 시 대응 프로세스가 수립되어야 한다. ▲네트워크 침입 탐지 및 차단 시스템 도입 ▲EDR 솔루션 구축 ▲ 네트워크 내 접근 최소화 ▲정기적인 보안 교육 및 모의 훈련 등 종합적인 대책이 마련되어야 한다. 또한, 백업 장비에 보안 시스템과 망분리가 적용된 ‘보안 백업’ 솔루션을 도입해 정기적으로 데이터를 백업하고 내부 데이터를 보호하는 방안을 고려해 볼 수 있다.
김병무 SK쉴더스 클라우드사업본부장은 “최근 랜섬웨어 공격자들은 조직적인 시스템을 갖춰 표적 공격을 수행하며 수십억 원의 몸값을 요구하는 등 랜섬웨어 공격이 심각한 사회적 문제로 이어지고 있다”며 “SK쉴더스는 KARA 회원사와 함께 랜섬웨어 공격에 대한 체계적인 대응 프로세스를 마련하고 주요 랜섬웨어 정보와 대비책을 공유하는 활동을 지속적으로 이어 나갈 것”이라고 밝혔다.
한편 이번 보고서 작성에 참여한 KARA는 SK쉴더스 주도로 구성된 랜섬웨어 대응 민간 협의체로, 트렌드마이크로, 지니언스, 에스투더블유(S2W), 맨디언트, 베리타스, 캐롯손해보험, 법무법인 화우 등이 참여하고 있다.
