지난해 6월 등장해 올해 초까지 전 세계 의료기관, 에너지 및 금융 기업 등에 막대한 피해를 입힌 악성코드 '하이브 랜섬웨어' 일부 버전이 국내 암호 연구자들에 의해 무력화됐다.
랜섬웨어는 몸값(ransom)과 악성코드(malware)를 합성한 말로 공격자가 피해자의 컴퓨터 데이터를 암호화해 사용 불가능하게 만든 뒤, 암호를 풀어주는 대가로 금전을 요구하는 행위다. 하이브는 최근 1년간 가장 활성화된 랜섬웨어 중 하나인데, 한국인터넷진흥원(KISA) 차세대암호융합팀이 하이브의 암호학적 취약점을 파고들어 암호화키를 추출하고 무료로 배포하고 있다.
KISA의 하이브 복구도구 개발 소식은 해외에서 더 큰 반향을 일으키고 있다. 국내보다 남미, 미국, 유럽에서 피해를 본 기업이 많았기 때문이다. KISA는 각국 정보 기관 및 글로벌 랜섬웨어 대응 협의체 '노모어랜섬' 등을 통해 글로벌 피해 사례에 대한 복구를 직·간접적으로 지원할 계획이다.
■악명 높은 랜섬웨어 하이브, 통합 복구도구 배포되자 뜨거운 반응
7일 KISA 암호이용활성화 홈페이지(☞링크)에 따르면 '하이브 랜섬웨어 통합 복구도구' 설치파일과 메뉴얼이 포함된 게시물은 지난달 28일 공개된 뒤 일주일 만에 7천 건에 가까운 조회수를 기록하고 있다.
KISA는 올해 3월에 하이브 랜섬웨어 버전1에 대한 복구도구를 배포한 후 다양한 변종에 대한 추가적인 암호학적 분석을 통해 버전4까지 복구 가능한 통합 복구도구를 개발하는 데 성공했다.
KISA가 하이브 랜섬웨어 1~4버전에 대한 복구도구를 만들어 무료로 배포하고 있다는 소식은 국내뿐 아니라 해외에서도 큰 화제가 되고 있다. 글로벌 보안 전문가들은 트위터를 통해 이 같은 소식을 알리며, 하이브 랜섬웨어 복구도구를 다운로드 받을 링크를 공유하고 있다.
특히 하이브 랜섬웨어의 피해가 집중된 남미 지역에서 높은 관심을 보이고 있다. 글로벌 보안 업체 트렌드마이크로가 지난 3월 발표한 보고서에 따르면 지난해 8월부터 올해 2월 말까지 하이브 랜섬웨어의 공격 시도는 아르헨티나, 브라질, 콜롬비아, 엘살바도르 등 남미 지역에 집중돼 왔다.
KISA도 해외에서 높은 관심을 확인하고 발빠른 지원에 나섰다. KISA 김기문 차세대암호융합팀장은 "해외에서 요청이 많아 지난 5일자로 영문 매뉴얼을 추가로 마련했다"고 설명했다. 영문 매뉴얼도 암호화이용활성화 홈페이지에서 이용할 수 있다.
또, 글로벌 랜섬웨어 복구도구 개발·배포 협력체인 '노모어랜섬'에 등록도 추진 중이다. 김 팀장은 "노모어랜섬 측에서 트위터 등에서 반응을 보고 먼저 신속하게 하이브 복구도구를 올리고 싶다는 연락이 왔다"며 "보통 노모어랜섬에 신규 복구도구를 올리려면 3~5개월 소요되는데, 이번에는 관심이 높아 빠르게 올라갈 것 같다"고 했다.
해외 정부기관의 협력 요청도 들어오고 있다. 그는 "하이브 랜섬웨어 복구도구를 자국 내 피해 조직에 지원하기 위한 문의도 있고, 새로운 랜섬웨어에 대한 공동 연구개발을 제안하는 요청도 들어오고 있다"고 말했다.
■복구도구 안통하도록 업그레이드 된 하이브...쫓고 쫓기는 싸움은 계속
하이브 랜섬웨어 운영자들은 현재 나온 복구도구로는 암호를 풀 수 없는 신종 변종 버전을 만들어 공격을 이어가고 있다.
KISA가 배포한 복구도구는 하이브 랜섬웨어 1~4버전에서만 작동하고, 올해 3월께 등장한 5버전에는 통하지 않는다. KISA도 5버전에 대해 연구를 시작했지만, 잠정적으로 복호화가 쉽지 않다는 결론을 내렸다.
마이크로소프트 연구원들에 따르면 하이브 랜섬웨어 운영자들은 소프트웨어의 프로그래밍 언어를 고랭에서 러스트로 바꾸고 더 복잡한 파일 암호화 프로세스를 사용하는 등 악성코드를 대폭 점검한 것으로 확인됐다.
하이브 랜섬웨어뿐 아니라, 최근 랜섬웨어 운영자들은 암호화 방식에 취약점이 생기지 않도록 공을 들이고 있다. 최근 암호 연구자들이 복구도구 개발에 적극적으로 나서면서, 공격자들도 대응에 나선 것이다.
관련기사
- "랜섬웨어, 몸값 협상 없이 복구할 수 있다"2022.03.17
- 랜섬웨어 치료제 만드는 사람들..."해커도 사람, 허점 있다"2022.04.21
- KISA, 하이브 랜섬웨어 통합 복구도구 개발 성공2022.06.28
- 랜섬웨어 공격에 문 닫은 美 대학..."데이터만 지켰어도"2022.06.29
록빗 랜섬웨어 운영자들은 지난달 말 다크웹(추적이 어려운 웹환경)을 통해 록빗 랜섬웨어에 대한 '버그바운티' 프로그램을 시행한다고 밝혔다. 버그바운티는 소프트웨어 내에 보안상 문제가 될 수 있는 오류를 제보하면 보상을 제공하는 제도로, 랜섬웨어 그룹이 버그바운티를 시행한 건 이번이 처음이다.
랜섬웨어 소프트웨어가 빠르게 진화한다고 해서 복구도구 개발이 의미 없는 것은 아니다. 글로벌 보안업체 카스퍼스키랩의 박성수 연구원은 "랜섬웨어 복구도구가 개발되면 해커들은 그것을 보고 또 업그레이드된 버전을 만들겠지만 이전 버전에 대한 피해를 덜어줄 수 있고 해커들의 활동에 제동을 걸어 공격 속도를 늦출 수 있는 것만으로도 의미가 있다"고 강조했다.