"미 송유관 멈춘 랜섬웨어, 러시아선 동작 안해"

소만사, '다크사이드' 샘플 분석…"코드 난독화·백업 삭제 등 특징 발견"

컴퓨팅입력 :2021/06/03 15:15

지난달 미국 동부 해안 연료 공급의 절반을 담당하는 콜로니얼 파이프라인을 공격, 송유관을 마비시킨 랜섬웨어 '다크사이드(DarkSide)'가 자체 코드를 난독화하고, 러시아에서는 기기 감염 행위를 수행하지 않는 등의 특징을 가진 것으로 분석됐다.

국내 보안 기업 소만사는 콜로니얼 파이프라인에 유포된 랜섬웨어 샘플을 분석한 보고서를 3일 발간하면서 이같이 밝혔다.

해당 랜섬웨어 공격 여파로 당시 미 동남부 지역 휘발유 공급이 일시적으로 중단됐다. 미국 정부는 18개 주에 비상사태를 발표했으며, 콜로니얼 파이프라인은 당시 몸값으로 500만 달러(약 56억 4천만원)의 비트코인을 지불했다. 조 바이든 미국 행정부는 해당사태를 심각하게 받아들이고 송유관 해킹사태 재발방지를 위한 ‘사이버 보안강화 명령’을 내렸다.

다크사이드의 주요 특징을 살펴보면 먼저 내부 코드를 난독화하는 동시에 실행파일을 압축했다. 이 때문에 기존 시그니처 탐지 기반의 안티바이러스 솔루션이 신속하게 탐지, 대응할 수 없었다.

지역·국가별 상이한 행위를 보이는 점도 관찰됐다. 구소련 및 시리아 지역에서는 감염이 이뤄지지 않으며, 암호화에 있어 특정 국가·지역을 대상으로만 암호화 프로세스를 진행한다.

데이터 탈취 및 암호화 행위에 방해되는 서비스와 프로세스는 사전에 제거한다. 암호화 작업 수행 시 방해가 되지 않도록 하는 목적이지만, 탐지 회피 효과도 있어 보안 솔루션의 위협 대응 분석이 쉽지 않게 된다.

관련기사

보안 솔루션 제품의 탐지를 시스템 복원을 무력화하는 모습도 포착됐다. 피해자가 복호화 비용을 지불할 수밖에 없도록 유도하기 위한 조치다.

다크사이드 랜섬웨어 분석리포트에 관한 자세한 내용은 소만사 공식 블로그에서 확인 가능하다. PDF 보고서는 유지관리 고객 대상으로 배포될 예정이다.