최근 랜섬웨어 피해가 잇따라 보고되는 가운데, 랜섬웨어 공격 과정에서 쓰이는 악성코드의 기능이 고도화되는 추세가 발견됐다. 침투한 기기 환경을 살펴 효과적으로 네트워크에 연결된 기기들을 장악하기 위한 행위들이 새롭게 나타나고 있다는 분석이다.
안랩은 23일 온라인으로 진행된 세미나 '안랩 ISF 스퀘어 2021'에서 올해 국내 상반기 사이버공격 및 랜섬웨어 유포 동향에 대해 발표하면서 이같은 분석을 내놨다.
세미나에서 박태환 안랩 ASEC대응팀장은 현재 사이버위협 중 가장 중대한 사안으로 '타겟 랜섬웨어'를 꼽았다. 타겟 랜섬웨어는 금전 지불 능력이 충분할 것으로 보이는 기업, 기관 등에 침투를 시도하고, 내부 데이터를 탈취 및 암호화하는 공격을 수행한다. 암호화한 파일에 대한 복호화 비용을 일차적으로 요구하고, 피해자가 비용 지불을 거부하면 해당 데이터를 자체 홈페이지에 유출하겠다고 협박하거나, 피해자의 웹사이트를 분산서비스거부(DDoS) 공격으로 마비시키기도 하는 것이 최근 추세다.
랜섬웨어 공격을 위한 침투 수단인 악성코드는 정보탈취 유형이 압도적으로 많이 유포되고 있다는 설명이다. 정보탈취 악성코드는 이메일 첨부파일 등으로 기기에 접근하면 PC 정보와 사용자 계정 정보, 브라우저에 담긴 정보 등을 노린다. 박태환 안랩 팁장은 "악성코드로 유출된 이메일 계정 정보가 다른 사이버공격에 사용되거나, 탈취된 정보들이 외부에 판매되기도 한다"며 "이미 국내 관련 정보도 다크웹에 많이 판매되고 있는 만큼, 정보가 털렸다면 털린 당사자가 곧 사이버공격자가 될 수도 있는 것"이라고 지적했다.
해커는 랜섬웨어 공격을 위해 이런 악성코드를 어떻게 활용할까. 양하영 안랩 랜섬웨어분석팀장은 랜섬웨어 해커의 내부 시스템 장악 과정을 상세히 설명했다.
양하영 안랩 팀장은 "많은 기업들이 랜섬웨어 피해를 입고 나면 왜 백신이 탐지를 못했는지에 대해 초점을 맞추는데, 랜섬웨어 감염은 결과일 뿐 과정이 더 중요하다"며 "최근 국내 기업의 랜섬웨어 감염 사례들을 보면 사용자 계정 제어 기능을 끄거나 내부 백신을 무력화하는 동작을 공격 전 수행하는 것이 확인됐다"고 말했다.
이어 "랜섬웨어를 내부에서 확산하기 위해 사용한 파일들을 봤을 때, 윈도 계정 정보가 모두 탈취된 사실도 알 수 있었다"고 덧붙였다.
국내 피해 사례에선 해커 침투가 시작된 지점을 확인하지 못했지만, 같은 악성코드로 인한 해외 사례를 볼 때 이메일에 첨부된 악성파일로 공격이 시작된 것으로 추정했다. 이에 대해 양 팀장은 "엑셀 파일에 의해 악성코드 '바자르(bazaar)'가 설치되고, 내부 시스템 전파에 의해 해킹 도구 '코발트 스트라이크'가 사용되는 모습이 나타났다"고 첨언했다.
최근 특히 기업의 랜섬웨어 피해가 많아진 이유에 대해 양 팀장은 악성코드가 기업 공격을 위한 기능들이 추가된 점이 작용한 결과라고 해석했다.
양 팀장은 "작년 12월경부터 최근 유포되는 악성코드들에서 감염된 기기가 기업 환경에 있는지 확인하는 기능이 발견되고 있다"며 "기업 환경이 아닌 것으로 판단되면 추가 감염 없이 행위를 종료하고, 기업 환경으로 분석되면 원격 도구를 설치해 내부 시스템을 장악하려고 시도하는 식"이라고 말했다.
보안이 강력한 기업 네트워크를 효과적으로 공략하기 위해 해킹 도구를 활용하는 양상도 관찰됐다.
양 팀장은 "망분리가 잘된 환경에서 악성코드를 추가로 전파하기 위해선 추가 작업이 필요한데, 이 때 코발트 스트라이크가 많이 사용된다"며 "감염 PC와 공격자 간 일대일로 명령제어(C2)서버와의 통신 이뤄지고 있는 것을, 이 도구를 쓰게 되면 내부 SMB 통신 통해 공격자 명령 주고받을 수 있게 되면서 공격자가 여러 PC의 백신을 무력화하고, 랜섬웨어를 설치할 수 있게 된다"고 덧붙였다.
내부 취약점 점검 목적의 도구인 코발트 스트라이크가 랜섬웨어 등 해킹에 악용되는 것처럼, 각종 SW 도구가 사이버공격에 악용되는 경우가 빈번하다는 지적도 이뤄졌다. 박 팀장은 "키패스, 어드밴스드 IP 스캐너, R클론, 파워스플로이트, 작업 스케줄러 등 사용하는 도구들이 제대로 잘 쓰이고 있는지, 권한 관리 및 사용 기록 검토를 철저히 해야 한다"고 조언했다.
관련기사
- 랜섬웨어 활개…"돈낸 곳 중 80%는 또 뜯겨"2021.06.18
- 보안 '비상'인데도…규제 강화가 꼭 기업 옥죄기일까2021.06.17
- 러시아, 사이버공격 따진 미국에 "우리 아니다"2021.06.17
- 랜섬웨어 해커, 좁혀오는 수사망에 공격 '주춤'2021.06.15
아울러 지난 4월 한국인터넷진흥원(KISA)가 발표한 보안 권고문을 인용하면서, IoT 기기를 이용한 암호화폐 채굴 악성코드가 성행 중인 점에 대해서도 주의를 당부했다.
박 팀장은 "당시 굉장히 많은 스마트기기들이 피해를 입어 보안 권고문이 발표된 것"이라며 "암호화폐 채굴 및 기기 파괴 목적의 악성코드가 유포되고 있는데, 소스가 300가지가 넘고 IP리스트도 수만개가 넘어 국가기관이 차단 조치를 취하고 있지만 조직에서 IoT 기기에 대해 최소한 계정 유출 여부라도 잘 확인해야 할 필요가 있다"고 말했다.
