Home > 전체기사

우크라이나 정부 기관 겨냥한 ‘파괴형 멀웨어’, 혹시 러시아?

  |  입력 : 2022-01-20 00:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
우크라이나 정부 기관과 여러 단체들이 일제히 오프라인으로 변하고 있다. 사이버 공격에 당해서다. 랜섬웨어 공격처럼 보이지만 사실은 MBR을 지우는 삭제형 멀웨어라고 한다. 보안 업계와 우크라이나 정부는 러시아를 의심하고 있다.

[보안뉴스 문가용 기자] 지난 주 우크라이나의 정부 기관 다수가 멀웨어 공격에 당했다. 표적이 된 시스템을 운영 불가능하게 만드는 것이 목적인 것으로 보이며, 배후에 정부 지원을 받는 해커가 있을 가능성이 높은 것으로 분석되고 있다. 여기서 정부는 ‘러시아’로 대부분 의견이 모인다.

[이미지 = utoimage]


이번 캠페인에 사용된 멀웨어는 랜섬웨어처럼 보인다는 특징을 가지고 있다. 하지만 복원의 기능은 하나도 가지고 있지 않다. 주 기능은 마스터 부트 레코드(MBR)을 삭제하고, 특정 파일들을 찾아 지우는 것이라고 한다. 이는 MS가 분석해 발표한 내용이다. 이 공격에 대해 18일 미국 CISA도 미국 기업들에 경고를 발령했다. 이 멀웨어가 워낙 파괴적이기 때문에 나온 경고다.

MS에 의하면 이 멀웨어의 이름은 위스퍼게이트(WhisperGate)다. 1월 13일 처음 발견됐으며, 현재까지 우크라이나의 정부 기관, 정보 통신 기업, 비영리 단체의 시스템 수십 개를 감염시켰다. 이 공격에 피해를 입은 조직의 정확한 수는 아직 알려지지 않고 있지만, 지금껏 발견된 것보다 훨씬 많을 것이 확실하다고 MS는 보고 있다.

이 공격으로 우크라이나의 정부 기관들과 다수의 조직들이 오프라인 상태가 되어버렸다. 아직까지 자신의 소행이라고 밝힌 공격 단체는 없다. 수집된 증거들도 누군가를 범인으로 지목하기에는 부족하다. 하지만 대부분의 보안 전문가들은 러시아의 해킹 단체를 의심하고 있다. 실제 러시아는 우크라이나 침공을 준비하려는 듯한 움직임을 보이고 있는 상황이기도 하다. 2015년 우크라이나와 러시아가 지금과 비슷한 긴장 관계에 있었을 때 러시아가 우크라이나 전력 시스템에 사이버 공격을 가해 대규모 정전 사태를 일으키기도 했었다.

보안 업체 디지털셰도우즈(Digital Shadows)의 사이버 위협 첩보 분석가인 크리스 모건(Chris Morgan)은 “러시아라고 추정하는 게 억지스럽지는 않다”고 말한다. “러시아는 하이브리드 전쟁을 수행하는 데에 있어 매우 능숙했던 국가입니다. 지상 병력과 해킹 부대를 번갈아가면서, 혹은 동시에 운영하면서 상대를 괴롭히는 전략을 잘 구사합니다. 2008년의 조지아 사태, 2014년의 크리미아 반도 사태, 2017년의 우크라이나 사태가 좋은 사례입니다.”

MS는 특정 배후 세력이 아니라 멀웨어에 집중했다. MS에 의하면 위스퍼게이트는 임패킷(Impacket)이라는 도구를 활용하도록 설계가 되어 있다고 한다. 임패킷은 공격자들이 원격 코드 실행과 횡적 이동 공격을 할 때 자주 사용하는 도구다. 위스퍼게이트는 크게 2단계로 공격을 실시하는데, 1단계 멀웨어는 다양한 디렉토리에 첫 번째 페이로드를 심어 MBR을 지우고 랜섬웨어 협박 편지를 띄우는 데까지를 수행한다. 하지만 이 공격은 랜섬웨어 공격이 아니며, 공격자들은 피해자의 시스템을 복구시킬 마음이 전혀 없다.

2단계 공격이 진행되면 디스코드 채널에 호스팅된 멀웨어들이 다운로드 되기 시작한다. 그런 후에 특정 디렉토리 내에 있는 파일들을 골라서 변형시킨다. 주로 .backup, .bak, .jpeg, .java, .jar, .rtf, .sav, .xltm이라는 확장자가 붙은 파일들이 표적이 된다. 멀웨어는 이러한 파일들을 덮어쓰기 하며, 파일 이름을 변경시킨다. 피해자는 해당 파일들을 사용할 수 없게 된다.

MS는 위스퍼게이트를 사용하는 공격자의 의도가 “시스템 파괴 및 피해자 마비”에 있다고 보고 있다. “최대한 긴 시간 마비되게 하고, 최대한 긴 시간 복구를 하지 못하게 하는 게 공격자들의 의도인 것으로 보입니다. 우크라이나 국민들이 매일의 일상을 유지하는 데 필요한 기본적 기능들을 최대한 어렵게 만들어 사회적 혼란을 야기하고 우크라이나 정부에 대한 신뢰도를 낮추려는 것이 아닐까 의심하고 있습니다.”

보안 업체 넷엔리치(Netenrich)의 수석 위협 사냥꾼인 존 밤베넥(John Bambenek)은 “이런 식의 공격을 막는 데 있어 가장 좋은 방법은 기본 보안 수칙을 잘 지키는 것”이라고 강조한다. “멀웨어 침투를 막기 위한 보안 수칙은 그 어떤 것이라도 잘 통할 수 있습니다. 랜섬웨어든 RAT든 MBR 삭제 멀웨어든, 결국 멀웨어를 막기 위한 기본 수칙을 잘 지키는 게 핵심입니다.”

멀웨어 침투를 막기 위한 보안 수칙이라면 수상한 링크를 클릭하지 않고, 수상한 파일을 다운로드 해서 열지 않으며, 소프트웨어 업데이트를 제 때 해주는 것 등을 말한다. “그 외에 비즈니스 연속성 유지 방안과 재해 복구 계획을 미리 갖춰놓는 것도 중요합니다. 사이버 공격은 반드시 일어나게 되어 있다고 생각해야 합니다.”

3줄 요약
1. 러시아로 보이는 공격자들이 우크라이나 조직들 일제히 공격.
2. 공격에 사용된 멀웨어는 MBR을 삭제시키는 파괴형 멀웨어.
3. 기본 보안 수칙을 잘 지키는 것이 이러한 공격으로부터의 피해를 최소화 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
올해 기업에서의 클라우드 도입이 본격 확산될 것으로 보이는 가운데 이에 따른 보안 이슈도 부각되고 있습니다. 클라우드 보안 강화를 위한 방안으로 가장 주목 받을 솔루션은 무엇이라고 보시나요?
CASB(Cloud Access Security Broker, 클라우드 접근 보안중개)
CSPM(Cloud Security Posture Management, 클라우드 보안 형상 관리)
CWPP(Cloud Workload Protection Platform, 클라우드 워크로드 보호 플랫폼)
기타(댓글로)