삼삼 랜섬웨어, 특정 기업 노리는 표적형으로 진화

입력 : 2016-04-07 10:55

특정 대상을 표적으로 삼는 크립토 랜섬웨어 ‘삼삼(Samsam)’
불특정 다수에서 특정 기업을 겨냥한 ‘표적형 랜섬웨어’로 진화
레드햇 제이보스 엔터프라이즈 서버 중 패치 안된 제품 노려

[보안뉴스 김경애] 패치가 안 된 취약점을 갖고 있는 서버를 집중적으로 노리는 랜섬웨어 삼삼(Samsam)의 움직임이 심상치 않다.

본지는 지난 3월 30일 ‘삼삼(SamSam)’ 랜섬웨어에 대해 최초 보도하며, 주의를 당부한 바 있다. 그 이후에 레드햇 제이보스(Red Hat JBoss) 엔터프라이즈 제품들을 사용하는 기업을 타깃으로 한 삼삼 랜섬웨어도 기승을 부리고 있다.

기존에 불특정 다수를 겨냥한 무작위 공격 형태에서 타깃을 정해 공격하는 ‘표적형 랜섬웨어’로 진화했다는 점에서 주목되고 있다.

그동안 랜섬웨어(ransomware)는 컴퓨터를 잠그거나 파일을 암호화한 후, 잠금 해제 및 암호 해독을 조건으로 금전을 요구하는 악성코드로, 드라이브 바이 다운로드(Drive-by-Download)나 악성 스팸메일을 통해 유포돼 왔다.

하지만 삼삼은 전형적인 랜섬웨어와는 다른 특징을 보이고 있다. 패치가 안 된 취약점을 갖고 있는 특정 서버를 집중적으로 노린다.

이와 관련 시만텍 측은 “삼삼 랜섬웨어의 공격자들은 레드햇 제이보스 엔터프라이즈 제품을 운영하고 있는 서버 가운데 패치가 되지 않은 서버들을 찾아내기 위해 젝스보스(Jexboss)와 같은 도구들을 활용한 것으로 나타났다”며 “공격자들이 제이보스의 취약점들을 이용해 이 서버들 중 하나에 성공적으로 침투하게 되면 이들은 다른 무료 도구와 스크립트를 사용해 네트워크로 연결된 컴퓨터상에서 자격증명(credentials)과 정보를 수집한다. 이후 공격자들은 이 시스템 상의 파일들을 암호화는 랜섬웨어를 배포한 뒤 금전을 요구한다”고 밝혔다.

또한, 삼삼 랜섬웨어는 공격자들이 RSA 키페어를 스스로 생성한다는 점에서도 다른 랜섬웨어들과 차별화된다. 대부분의 크립토 랜섬웨어는 명령제어(C&C) 서버에 접속하고, 이 서버를 통해 감염된 컴퓨터의 파일을 암호화하기 위해 RSA 키 페어를 생성하고 공개키는 되돌려 보낸다. 반면, 삼삼 랜섬웨어 공격자들은 키페어를 만들고 타깃 컴퓨터에 공개 키를 랜섬웨어와 함께 업로드하는 것으로 분석됐다.

시만텍은 이번 삼삼 랜섬웨어의 출현을 통해 앞으로 더욱 많은 랜섬웨어 공격자들이 기업과 같은 특정 조직을 직접적으로 공격할 수 있다는 점에 주목하고 있다고 밝혔다. 이는 공격자들에게 랜섬웨어가 성공적인 비즈니스 모델로 입증되면서 랜섬웨어 공격이 불특정 다수를 겨냥한 방식에서 표적 공격으로 발전하고 있다는 얘기다.

시만텍은 이번 삼삼 랜섬웨어와 관련해 레드햇 제이보스 엔터프라이즈 제품을 사용하고 있는 기업들은 현재 패치가 되지 않은 버전을 사용하고 있는지 반드시 확인하고, 만약 미패치 버전이라면 즉시 최신 패치를 설치하라고 권고했다.

레드햇은 다음과 같은 제이보스 제품 및 이후 버전들은 영향을 받지 않는다고 밝혔다.
△Red Hat JBoss Enterprise Application Platform (EAP) 5.0.1
△Red Hat JBoss Enterprise Application Platform (EAP) 4.3 CP08
△Red Hat JBoss Enterprise Application Platform (EAP) 4.2 CP09
△Red Hat JBoss SOA-Platform (SOA-P) 5.0.1
△Red Hat JBoss SOA-Platform (SOA-P) 4.3 CP03

시만텍코리아 제품기술본부 윤광택 상무는 “지금까지 랜섬웨어는 불특정 다수를 겨냥해 스팸 메일 등을 통해 무작위로 공격하는 형태였는데, 이번 삼삼 랜섬웨어는 한차원 진화한 랜섬웨어의 공격유형을 보여주고 있다”며, “전세계적으로 변종 랜섬웨어가 지속적으로 증가하고 있고, 앞으로는 특정 타깃을 겨냥한 표적 공격 형태의 랜섬웨어가 늘어날 것으로 예상되는 만큼 우리 기업들의 각별한 주의와 대비가 필요하다”고 말했다.

한편, 시만텍은 삼삼 랜섬웨어와 이와 관련한 해킹 도구들에 대응해 보호할 수 있는 시만텍 및 노턴(Norton) 제품들을 제공하고 있다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

김경애기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  청년 목돈마련 돕는 홈페이지 사칭한 피싱 사...

• 2

  SW 공급망 보안 가이드라인 1.0 발표.....

• 3

  근로복지공단 고양지사 퇴사 직원, 내부 일탈...

• 4

  2024년 3월 악성코드 공격 동향 분석해보...

• 5

  KB증권, 당사 사칭 카카오톡 공모주 청약 ...

• 1

  [퀴즈 이·보·소] 거듭되는 취약점에 대표가...

• 2

  [보안 상장기업 주간 주가동향] 시장 기대치...

• 3

  메모리 안전 언어로 떠오르는 러스트의 라이브...

• 4

  [글로벌 인터뷰] OT를 넘어 확장된 CPS...

• 5

  제로트러스트 도입·확산 시범사업, 어떻게 진...

• 1

  한국형 전투기 KF-21 자료 유출하려다 걸...

• 2

  국가정보원, 국정원장 사칭 이메일 유포 주의...

• 3

  에스원, 출력물보안 서비스로 인쇄 출력물 통...

• 4

  2023년 가장 주목받은 사이버 위협 커뮤니...

• 5

  NSA의 제로트러스트 가이드라인, CISO는...