2024-03-29 21:05 (금)
“PetrWrap, 해커들이 랜섬웨어 코드를 해커들로부터 훔치다”
상태바
“PetrWrap, 해커들이 랜섬웨어 코드를 해커들로부터 훔치다”
  • 길민권 기자
  • 승인 2017.03.16 14:19
이 기사를 공유합니다

기업을 대상으로 표적형 공격을 전개하는 새로운 랜섬웨어의 등장

최근 카스퍼스키랩에서 신종 랜섬웨어 PetrWrap을 발견했다. PetrWrap은 랜섬웨어 서비스(RaaS) 플랫폼을 통해 유포되는 Petya라는 랜섬웨어 모듈을 활용해 조직을 대상으로 표적형 공격을 수행한다. PetrWrap의 개발자들은 기존의 Petya 랜섬웨어를 변경하는 특수 모듈을 만들어냈고, Petya의 개발자들은 Petya의 무단 사용에도 속수무책으로 당할 수 밖에 없는 상황이다. 이는 지하 랜섬웨어 시장이 치열해지고 있다는 반증으로 보인다.

2016년 5월, 카스퍼스키랩은 Petya랜섬웨어를 발견했다. 이 랜섬웨어는 컴퓨터에 저장된 데이터를 암호화할 뿐 아니라 하드 디스크 드라이브의 마스터 부트 레코드(MBR)를 덮어쓰기 때문에 감염된 컴퓨터는 운영 체제를 부팅할 수조차 없는 상태가 된다. 랜섬웨어 서비스 모델 중 주목할 사례로 꼽히는 이 악성 코드는 랜섬웨어 개발자들이 주문형 랜섬웨어를 제공하면 여러 유통자들이 이를 유통하고 수익의 일부를 받는 구조로 되어 있다. 개발 영역에 대한 수익을 보호하기 위해 Petya 개발자들은 Petya내에 특정 “보호 메커니즘”을 입력해 랜섬웨어의 무단 사용을 막고 있다.

그러나 2017년 초에 처음으로 탐지된 PetrWrap 트로이목마의 개발자들은 기존 Petya의 보호 메커니즘을 뚫고 원 개발자에게 대가를 지불하지 않고도 Petya 랜섬웨어를 활용할 수 있는 방법을 찾아냈다.

아직 PetrWrap의 유통 경로는 확실히 밝혀진 바가 없다. PetrWrap은 컴퓨터에 침투한 후 Petya를 실행하여 피해자의 데이터를 암호화하고 대가를 요구한다. PetrWrap의 개발자들은 본래 Petya에 딸린 암호화 키 대신 자체 제작한 개인 및 공개 암호화 키를 사용한다. 즉, 피해자가 대가를 지불할 경우 Petya 개발자로부터 개인 키를 받지 않고서도 PetrWrap 측에서 컴퓨터를 복구할 수 있는 것이다.

PetrWrap의 개발자들이 이러한 범죄 행각에 Petya를 고른 것은 우연이 아니다. Petya는 거의 완벽한 암호화 알고리즘을 가지고 있기 때문에 풀기가 매우 어렵다. 이는 암호화 랜섬웨어에서 가장 중요한 요소이다. 이전의 몇몇 사례를 보면 암호화에서의 실수로 인해 보안 연구진들이 파일 복호화에 성공함으로써 관련된 범죄 활동을 무산시킨 적이 있었다. 이러한 일은 이전 버전의 Petya에서도 일어났고, 그 이후로 Petya의 개발자들은 랜섬웨어 내에 존재하는 대부분의 문제를 수정했다. 그 결과 최신 버전의 Petya에 감염되면 피해자의 컴퓨터는 거의 완벽하게 암호화가 된다.

이러한 장점이 있기 때문에 PetrWrap 뒤의 범죄자들이 Petya를 활용하는 것으로 보인다. 더군다나 PetrWrap 피해자에게 표시되는 잠금 화면에는 Petya라는 언급이 없는 만큼, 보안 전문가들이 이러한 상황을 진단하고 감염원 랜섬웨어군을 빠르게 식별하는 데 어려움을 겪고 있다.

카스퍼스키랩코리아의 이창훈 지사장은 "현재 해킹 조직들은 제 살 깎아먹기식 경쟁을 하고 있다. 이는 랜섬웨어 범죄 조직 내의 경쟁이 치열해지고 있다는 증거다. 이론적으로 본다면 이는 좋은 현상이다. 범죄 조직들이 서로 싸우고 속이는데 시간을 쓴다면 이들의 결속력이 약해질 것이고, 이들의 공격도 약화될 것이기 때문이다. 걱정되는 점은 PetrWrap이 표적형 공격에 사용된다는 사실이다. 물론 이번 사례가 첫 번째 표적형 랜섬웨어 공격이 아닐뿐더러 마지막이 되지도 않을 것이다. 기업들은 이러한 종류의 위협으로부터 네트워크를 보호하기 위해 최대한 주의를 기울여야 한다. 그렇지 않을 경우 결과는 매우 참담할 수 있다”고 말했다.

카스퍼스키랩의 보안 전문가들은 이러한 사이버 공격을 막기 위해 다음 사항을 지킬 것을 조언한다.

▲데이터 유실 시 파일을 복구할 수 있도록 정기적으로 적절한 방식으로 데이터 백업을 수행한다.

▲행동 기반 탐지 기술이 있는 보안 솔루션을 사용한다. 행동 기반 탐지 기술은 시스템 내에서 랜섬웨어 및 악성 코드가 행동하는 방식을 감시해 감염 사실을 탐지하며, 이를 통해 알려지지 않은 랜섬웨어나 신종 랜섬웨어를 탐지할 수 있다.

▲보안 취약점 파악 및 해결을 위한 제어 네트워크의 보안 평가(보안 감사, 침투 테스트, 갭 분석 등)를 수행한다. 외부 공급업체가 제어 네트워크에 직접 접근할 수 있는 경우 해당 업체와 타사 정책에 대한 검토도 실시해야 한다.

▲외부 보안 인텔리전스요청- 신뢰할 수 있는 외부 공급업체의 보안 인텔리전스를 통해 기업에서 사이버 공격을 예측할 수 있다.

▲사내 직원 교육을 실시한다. 특히 운영 및 기술 관련직원들에게 집중적인 교육과 최신 사이버 공격과 보안 위협에 대한 지식과 인식을 일깨우는 훈련이 필요하다.

▲내부 보호에 주의를 기울이고 외부 방어벽을 구축한다. 기업의 핵심적인 요소가 공격 받기 전에 차단하려면 공격을 탐지하고 신속하고 대응하는 데 주력하는 보안 전략을 세워야 한다.

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★