[데이터넷] 보안에 취약한 DB 서버, NAS 등을 노리는 ‘매스스캔(Masscan)’ 랜섬웨어가 최근 금융권을 대상으로도 공격을 진행하는 정황이 발견됐다. 금융보안원은 14일 ‘매스스캔 랜섬웨어 위협분석 보고서’를 발간하며 금융사와 공공·기업의 각별한 주의를 당부했다.

금융보안원에 따르면 이들은 취약점이 있는 서버·시스템을 지속적으로 찾으며, 무작위 대입으로 계정을 탈취하는 브루트포스 기법을 사용하고, 최초 침투 후에도 더 깊은 침입을 통해 스캐닝 도구를 이용해 수평이동을 시도한다. 또 랜섬웨어 공격 시 바탕화면과 공유 네트워크 폴더를 암호화하고, DB와 압축관련 파일을 별도 암호화 알고리즘을 사용한다.

열려있는 VPN 포트 이용해 침투

금융보안원이 7월에 발생한 사례를 분석한 결과, 이들은 브루트포스 기법으로 SQL 서버 관리자 계정 로그인을 시도했으며, 외부에 열려있는 MS SQL 기본 포트인 1433을 통해 관리자 계정에 침투한 후 원격 명령어 실행 기능(xp_cmdshell)을 악용해 공격용 계정(ASPNET)을 생성한 것으로 보인다.

이후 이들은 포트스캔을 통해 사용하지 않는 VPN 터널 포트가 열린 것을 확인하고 xp_cmdshell을 통해 윈도우 커맨드라인 네트워크 명령(netsh4)으로 피해 시스템의 원격 데스크톱 포트를 501/tcp로 변경했다. 그리고 확보한 ASPNET 계정으로 피해 시스템 원격 데스크톱에 로그인했다.

이후 공격자는 포트 스캐닝, 권한 상승, 동일 대역 내 서버 디렉터리 조회 등을 수행하기 위한 악성 프로그램을 실행했으며, 추가 감염 대상 탐색, 관리자 권한 획득, 내부 업무용 서버 데이터 조회를 수행했다. 윈도우 권한 상승 도구를 통해 관리자 계정 인증정보 획득, 권한상승을 시도하고, 비밀번호 브루트포스를 통해 획득한 DB 관리자 정보를 통해 내부 업무용 서버 디렉토리를 조회했다.

원격 접속을 위해 앞서 상승시킨 권한을 기반으로 관리자 계정(sysadmin) 비밀번호 변경 후 랜섬웨어를 실행하기 위해 관리자 계정으로 원격 접속했다. 랜섬웨어 실행 전 작업으로 DBMS 등 프로세스를 중지시킨 후 공격 행위를 감추기 위해 이벤트 로그도 삭제하며, 최종적으로 매스스캔 랜섬웨어를 실행했다.

관리 편의성 중시하는 공격자

금융보안원은 매스스캔이 불특정 다수 기업을 대상으로 공격을 진행하고 있으며, 취약한 DB 서버를 노린다고 설명했다. 이들은 자체 개발한공격도구가 아니라 공개된 스캐닝 도구, 침투 도구를 사용하며, 랜섬웨어와 복호화 도구 실행을 위한 암호화 정보를 별도 파일로 보관해 사용하는 등 관리 편의성을 중요하게 여기는 것으로 추정된다.

이들은 최초 침입부터 네트워크 스캔 및 권한 상승까지 모두 공개된 침투 도구 및 시스템의 기본 기능을 사용했였으며, 내부망 전파를 위한 다수의 스캐닝 도구를 사용한 정황이 확인된다. 내부망 장악 후 실행하는 매스스캔 랜섬웨어의 경우, 랜덤하게 생성한 파일 암호화 키를 사용해 암호화를 진행하며, 해당 파일 암호화 키를 숨기기 위해 별도의 파일에 보관한 RSA 공개키, AES 대칭키를 사용해 암호화하여 감염 파일 내부에 저장한다. 또한, 랜섬웨어는 빠른 암호화를 위한 목적으로 파일 종류 및 크기에 따라 별개의 암호화 방식을 사용한다.

김철웅 금융보안원 원장은 “지속되는 랜섬웨어 위협에 따라 2023년 디지털 금융 및 사이버 보안 이슈로 ‘랜섬웨어, 피싱 앱 등 사이버 위협의 끝없는 진화’를 선정, 금융권 랜섬웨어 공격 동향을 예의주시하고 있다”며 “기업에 대한 피해가 발생하지 않도록 지속적으로 랜섬웨어를 추적·분석하고, 금융회사뿐만 아니라 필요로 하는 모두와 관련 정보를 공유하겠다”고 밝혔다.

김선애 기자 다른기사 보기