금융보안원(원장 김철웅)은 지난 7월에 발생한 콜택시 마비사건으로 국내에 피해를 입힌 Masscan(매스스캔) 랜섬웨어 공격과 관련하여 금융권·민간기업의 피해예방을 위해 공격 수법을 심층 분석한 ‘Masscan 랜섬웨어 위협 분석’ 보고서를 발간했다고 밝혔다. 

랜섬웨어의 이름은 확장자, 랜섬노트(협박문) 등에 나타난 이름 또는 유출 사이트에 표시하는 이름에 따라 부르는데, 이번 Masscan 랜섬웨어는 파일을 암호화하고, 파일 확장자에 “masscan” 문자열을 추가하는 특징으로 Masscan 랜섬웨어로 명명했다. 

랜섬웨어(Ransomware)란 컴퓨터의 정상적인 동작을 방해하거나 파일을 암호화하고 이를 복구하는 대가로 ‘몸값(Ransom)’을 요구하는 악성 프로그램으로, 2017년 워너크라이(WannaCry) 랜섬웨어 이후 다양한 랜섬웨어가 등장하였으며, 금전편취를 목적으로  랜섬웨어를 이용하는 해킹조직도 증가하는 추세다. 

최근에는 보안에 취약한 데이터베이스 서버에 침투하여 랜섬웨어를 감염시키는 ‘Masscan 랜섬웨어’ 공격이 국내 기업을 대상으로 증가하고 있으며, 금융권 대상 공격시도가 포착되어 각별한 주의가 필요하다. 

이번 보고서는 3장으로 구성되어 있으며, 각 장에서 Masscan 랜섬웨어의 사고 사례 분석, 공격에 사용된 도구 및 기능, 랜섬웨어 상세 분석에 대해 다루고 있다. 

보고서는, 공격자의 초기 데이터베이스 서버 침투부터 공격 도구 다운로드, 다른 공격 대상 물색, 관리자 계정 획득, 랜섬웨어 감염까지 전 과정을 타임라인으로 분석하고, 이와 함께, 공격자가 랜섬웨어 유포에 사용한 전략, 기술 그리고 절차(TTP, Tactics:전략, Techniques:기술, Procedures:절차)를 도출했다. 

공격자가 데이터베이스 서버 침투 후 시스템을 장악하고 관리자 계정을 획득, 랜섬웨어를 실행하기 위해 사용한 12종의 도구 및 기능을 분석했다. 

이번 랜섬웨어는 각종 스캐닝 도구 등을 이용하여 네트워크에 보다 깊숙이 침투하는 ‘측면 이동(Lateral Movement)’을 시도한 것으로 조사됐다.  

랜섬웨어가 시스템 복원을 방해하기 위해 수행하는 기능, 복호화를 어렵게 하기 위해 수행하는 지능적 전략, 랜섬웨어 작동 메커니즘, 파일 유형별 암호화 방식 등을 코드(Code)레벨에서 심층 분석했다. 

타 랜섬웨어와 달리 바탕화면, 공유 네트워크 폴더 등을 우선으로 암호화하며, DB(데이터베이스) 및 압축관련 파일은 별도의 암호화 알고리즘을 사용하는 것이 특징이다. 

김철웅 금융보안원 원장은 지속되는 랜섬웨어 위협에 따라 2023년 디지털 금융 및 사이버 보안 이슈로 ‘랜섬웨어, 피싱 앱 등 사이버 위협의 끝없는 진화’를 선정하여 금융권 랜섬웨어 공격 동향을 예의주시하고 있다면서 “기업에 대한 피해가 발생하지 않도록 지속적으로 랜섬웨어를 추적·분석하고, 금융회사뿐만 아니라 필요로 하는 모두와 관련 정보를 공유하겠다”고 밝혔다. 

이번 Masscan 랜섬웨어 위협 분석 인텔리전스 보고서 전문은 금융보안원 홈페이지 자료마당 인텔리전스 보고서 게시판에서 다운로드 가능하다. 

★정보보안 대표 미디어 데일리시큐!