Home > 전체기사
낫페트야 분석해보니 블랙에너지 멀웨어와 유사성 있어
  |  입력 : 2017-07-04 12:04
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
공격 목표가 되는 파일 확장자 목록 서로 비슷해
ESET은 “이미 올해만 세 번째 공격”...우크라이나 정부도 “러시아가 범인”


[보안뉴스 문가용 기자] 낫페트야 멀웨어에서 블랙에너지(BlackEnergy) 멀웨어와의 유사성이 발견됐다. 블랙에너지는 우크라이나 정전 사태를 일으킨 멀웨어로 러시아 정부와 깊은 연관성을 가지고 있다는 것이 통설이다. 낫페트야는 랜섬웨어인 것처럼 위장해 등장했으나 현재는 디스크 삭제형 멀웨어인 것으로 판명 났다.

[이미지 = iclickart]


지난 주 세계를 깜짝 놀라게 한 낫페트야는 65개국 이상에서 발견되어 ‘글로벌한 공격’인 것처럼 보였으나 실제 피해 대부분은 우크라이나에 집중된 것으로 밝혀졌다. 마이크로소프트는 공격을 당한 2만여개 시스템 중 70%가 우크라이나에 있다고 구체적인 숫자를 들어 발표하기도 했다.

블랙에너지는 멀웨어이기도 하지만 우크라이나에 정전을 일으킨 공격 캠페인 그 자체를 말하기도 하고, 그 캠페인을 주도한 해킹 그룹을 지칭하기도 한다. 그 블랙멀웨어 캠페인 중에 활용된 멀웨어 중 킬디스크(KillDisk)라는 게 있다. 디스크를 삭제하는 기능을 가진 것으로, 보안 전문업체 카스퍼스키와 ESET은 낫페트야 샘플에서 킬디스크와의 유사성을 발견했다고 발표했다.

“2015년 우크라이나를 공격한 블랙에너지와 킬디스크를 분석했을 때, 공격 대상이 될 파일 확장자 목록이 발견되었습니다. 이번 낫페트야를 조사했을 때도 비슷한 목록을 발견했는데, 그 내용이 매우 비슷했습니다. 목록을 작성한 방식 자체도 비슷하고, 목록에 들어있는 확장자도 비슷했습니다. 두 공격 사이에 연관성이 있다는 걸 알 수 있는 부분이죠.” 카스퍼스키 랩 측의 설명이다.

하지만 이 정도만 가지고는 둘이 확실히 연결되어 있다고 단정 지을 수 없다는 게 카스퍼스키의 조심스러운 입장이다. 반면 ESET은 블랙에너지와 낫페트야의 연관성에 대해 보다 강한 확신을 표현한다. “낫페트야는 우크라이나를 겨냥한 사이버 공격으로 올해만 벌써 세 번째입니다.”

ESET이 꼽는 세 번의 공격은 1) 지난 3월에 발견된 Filecoder.NKH 랜섬웨어, 2) 5월에 있었던 XData 혹은 Filecoder.AESNI.C 랜섬웨어, 그리고 3) 이번 낫페트야 멀웨어다. 1)번 공격의 경우 Python/TeleBot.A 백도어와 난독화된 VBS 백도어, CredRaptor 비밀번호 탈취 멀웨어, Plainpwd 윈도우 크리덴셜 탈취 멀웨어, SysInternals PsExec 횡적 이동 멀웨어 등과 함께 사용됐다. 2)번 공격은 5일 동안 진행됐고 피해자의 96%가 우크라이나인이었다.

그 다음 세 번째로 발생한 공격이 바로 이 낫페트야로, 작년에 등장한 페트야라는 랜섬웨어로부터 코드를 일부 따온 것이 사건 초기에 발견되었고, 워너크라이가 활용했던 SMB 익스플로잇도 발견돼 사실은 삭제형 멀웨어라는 게 드러나기까지 얼마간 시간이 걸렸다. “페트야 랜섬웨어와는 다르게 Diskcoder.C가 마스터 부트 레코드(MBR)의 복구를 불가능하도록 되어 있었습니다.”

ESET 등을 포함해 보안 업계 거의 전부가 낫페트야 사건을 두고 “우크라이나를 겨냥한 사이버전”이라고 결론을 내린 건, 최초 공격이 우크라이나에서 주로 활용되는 회계 관련 소프트웨어인 미독(MEDoc)을 대상으로 했기 때문이다. “보다 정확히는 미독의 업데이트 서버에 침투한 것에 성공했습니다. 그 서버로부터 악성 업데이트 파일을 내보낸 것이죠. 사용자들 대부분 자동으로 업데이트를 받기 때문에 감염이 그렇게나 널리 퍼진 것이고요.”

보안 전문가들은 미독의 서버의 FTP 디렉토리에서 PHP 백도어인 medoc_online.php를 발견하기도 했다. 이 때문에 다른 멀웨어의 감염도 의심해봐야 한다고 한다. “삭제형 멀웨어는 눈에 띄는 공격을 실행하기 때문에 발견된 겁니다. 하지만 서버에서 발견된 백도어를 통해 소리없는 공격을 펼치는 것도 가능하기에 다른 공격이 이미 실행되었을 수도 있다는 걸 감안해 두고 조사를 실시해야 할 겁니다.”

한편 우크라이나 정부도 이미 ‘러시아가 범인’이라고 결론을 내렸다. 지난 토요일 성명서를 발표해 “러시아 정부는 우크라이나의 사회 및 정치적 불안감을 증폭시키려 사이버 공격을 실시했다”고 발표한 바 있다. 이번 발견은 러시아가 범인이라는 심증을 조금 더 확실히 굳히는 역할을 할 것으로 보인다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 1
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 잇따른 기밀 유출 사건으로 인해 종이유출차단방지(출력물) 보안 솔루션의 도입 필요성이 높아지고 있는데요. 해당 솔루션 도입을 위한 비용은 어느 정도가 적정하다고 보시나요?
2천만원 이하
5천만원 이하
1억원 이하
1~2억원 이내
2억원 이상