트렌드마이크로 측은, 2016년 3월 중순, 미연방수사국(FBI)과 마이크로소프트는 새로운 랜섬웨어의 존재를 확인했다. “SAMAS(기상)”이라 불리는 랜섬웨어는 2월 하순 트렌드마이크로에서 “RANSOM_CRYPSAM.B”라는 이름으로 감지한 바 있다고 밝히고 자사 클라우드 보안센터(SPN)의 통계를 들며, 해당 랜섬웨어는 아직 대규모로 확산되고 있지 않다. 하지만 공격의 타깃이 하드웨어의 집합체인 만큼, 현재까지 확인된 정보를 자사 블로그를 통해 공개하고 주의를 당부했다. 다음은 트렌드마이크로 블로그에서 공개한 랜섬웨어 'SAMAS'에 대한 상세 분석내용이다.
 

그림 1. “SAMAS” 공격 후 표시 화면
 

지금까지 알려진 암호화 방식의 랜섬웨어와 비교하였을 때, "SAMAS"는 2가지의 극악한 공격 패턴이 있다. 첫 번째로, 공유 네트워크의 특정 데이터 파일을 암호화할 뿐만 아니라, 백업을 찾아내어 삭제하는 것이다. 두 번째로, 사이버 공격 수법을 사용한 LAN 내 확장 공격이다.

현재까지 암호화 방식 랜섬웨어는 PC뿐만 아닌, 감염된 컴퓨터와 공유된 네트워크 상의 데이터 파일을 암호화 하는 것이었다. “SAMAS”의 경우, 이와 더불어 네트워크에 저장된 백업을 삭제하는 공격 패턴이 추가되었다. 이러한 공격은 WINDOWS 서버의 쉐도우 복사 기능을 노린 것으로, 특히 법인의 네트워크를 공격 대상으로 하는 것으로 파악된다. 일반 기업의 랜섬웨어 대책인 ‘정기적 백업’과 ‘돈을 지불하지 않는다’는 정책을 무력화하려는 의도임을 알 수 있다.

 

마이크로소프트. SAMAS 감염 체인 이미지

 
Microsoft Technet 의 실제 공격 사례에 의하면, “SAMAS”는 기업 대상의 타겟형 공격과 유사하게 이루어지고 있다. "SAMAS"는 침입한 네트워크 내 서버에 공격을 확산하기 위해, 취약점을 찾아내서 네트워크 인증 정보를 탈취하여 원격으로 자신의 복사본을 실행하는 등의 공격을 이행한다. 이러한 활동을 수행하기 위해 악성 프로그램이 아닌 일반 관리 도구 등을 사용한다. 이러한 활동은 타겟형 사이버 공격에서 흔히 볼 수 있는 활동이다. 그러나 중요한 정보를 탈취하여 외부로 전송하는 등의 활동은 하지 않고, 데이터 파일을 암호화 한 뒤 비트코인으로 값을 요구하는 전형적인 랜섬웨어의 활동만 이루어진다.
 

초기 국가 규모의 기밀이나 첨단기술 정보를 노린 타깃형 공격은, 2015년 일반 법인과 개인 정보를 노리는 공격으로 확장되었다. 이번 신종 랜섬웨어인 “SAMAS”의 등장은, 이러한 사이버 공격 수법이 더 넓은 공격층으로 확대해 금전적인 탈취를 요구하는 사례다.
 

2016년에 진입해 마스터 부트 레코드(MBR)를 파괴하는 “PETYA”를 포함해, 랜섬웨어의 공격이 더욱 흉악해지고 있다. 큰 성공을 거둔 공격은 더 넓은 범위의 공격으로 확대되어 더 많은 금전적인 요구로 이러질 것이다. 랜섬웨어 공격은 앞으로도 지속될 것으로 판단되며, 특히 법인을 대상으로 더욱 정교하게 활동해 나갈 것으로 예상된다고 밝혔다.

트렌드마이크로 측은 "랜섬웨어로 인한 데이터 암호화 피해를 완화하고 조기 복구를 위해서는 데이터 백업이 중요하다. 백업 시에는 3-2-1- 규칙을 기억해야 한다. 3개 이상의 백업 복사본을 2가지 형식으로, 그 중 최소 1개는 네트워크와 격리된 장소에 보관해야 한다는 것"이라며 "랜섬워어 등의 악성 프로그램은 일반적으로 이메일 또는 웹을 통해 PC에 침입한다. 따라서 침입을 방지하기 위해 해당 경로의 바이러스 침입을 탐지하는 제품을 도입하는 것이 효과적이다"라고 조언했다.


★정보보안 대표 미디어 데일리시큐!★
 
데일리시큐 길민권 기자 mkgil@dailysecu.com