배드래빗, NSA 해킹 툴 ‘이터널로맨스’ 이용해 전파

러시아 중심으로 전 세계 15개국 감염시킨 배드래빗 랜섬웨어
NSA 해킹 툴 이용해 전파... 낫페트야와 동일 공격자로 추정

[보안뉴스 오다인 기자] 배드래빗(Bad Rabbit) 랜섬웨어가 24일을 기점으로 맹렬하게 전파됨에 따라 보안 연구자들은 데이터 원격 수집 등을 통해 이번 공격을 낱낱이 파헤치고 있다. 맨 처음 드러난 사실은 배드래빗이 페트야(Petya)와 낫페트야(NotPetya)의 코드를 수정해서 사용하긴 했지만 워너크라이(WannaCry) 같은 익스플로잇을 통해 전파되진 않았다는 점이었다.

[이미지=iclickart]

그러나 26일 시스코 시스템즈(Cisco Systems)의 탈로스 연구팀은 배드래빗 랜섬웨어 공격이 일명 ‘이터널로맨스(EternalRomance)’라는 익스플로잇을 사용해 전파됐다고 발표했다. 이터널로맨스는 미국 국가안보국(NSA)에서 유출된 툴 중의 하나로, 올 여름 ‘니에트야(Nyetya: ‘페트랩(Petrwrap)’ 또는 ‘골든아이(Goldeneye)’라고도 불린다)’ 랜섬웨어 공격에서 피해 조직 내에서 전파되는 데 사용된 툴이기도 하다.

배드래빗 랜섬웨어는 15개 국가의 정부기관, 언론사, 교통기관 등 수백 개 조직에 피해를 입혔다. 러시아의 대형 언론사 인터팩스 에이전시(Interfax Agency)와 온라인 뉴스 사이트 폰탄카(Fontanka), 우크라이나의 교통기관 키예프 메트로(Kiev Metro)과 오데사 국제공항(Odessa International Airport)을 포함해 여러 사회기반시설 및 금융 관계 부처도 이번 랜섬웨어 공격으로 피해를 입었다. 가장 큰 피해를 입은 지역은 러시아로, 보안 업체 어베스트(Avast)에 따르면 71%의 피해자가 러시아에 집중됐다.

전 세계 보안 연구자들은 현재 배드래빗 공격의 사후조사를 수행하고 있으며, 공격의 배후와 멀웨어의 출처에 대해서는 아직까지 논란이 일고 있는 상태다.

25일 연구자들은 배드래빗 공격자가 하드코드된 크리덴셜 목록과 미미카츠(Mimikatz)의 비밀번호 추출 수법을 이용해서 SMB 로컬 네트워크로 웜이 전파되는 것처럼 배드래빗을 전파시켰다는 사실을 정확히 짚어낼 수 있었다.

시스코 발표에 따르면, 배드래빗을 SMB를 통해 직접 퍼뜨리는 수단으로 이터널로맨스도 사용됐다.

시스코 탈로스의 위협 연구자 닉 비아시니(Nick Biasini)는 “(배드래빗은) 아직까지 활발하게 조사되고 있는 대상”이라면서 “리버스 엔지니어링(reverse engineering) 분석 결과, 어떤 익스플로잇 하나가 배드래빗에 들어있었다는 사실을 밝혀낼 수 있었다”고 설명했다. “처음엔 이 익스플로잇이 사용된 흔적도 찾을 수 없었습니다. 이런 익스플로잇이 실제 사용된 사례에 대해서도 전혀 드러난 바 없었고요. 리버스 엔지니어링 과정에서 이 익스플로잇의 정체가 드러난 것이죠.”

한편, 배드래빗을 연구하고 있는 러시아의 보안 업체 그룹 IB(Group IB)는 26일 배드래빗의 최초 감염 경로를 밝혔다. 그룹 IB에 따르면, 배드래빗은 러시아와 우크라이나의 여러 언론사 웹사이트에서 드라이브 바이(drive-by) 다운로드 방식으로 최초로 멀웨어를 전파시켰다. 또한, 그룹 IB 연구자들은 배드래빗 공격자가 올해 6월 우크라이나의 에너지, 금융, 통신사 등의 조직을 겨냥해 낫페트야 공격을 펼친 자와 동일 인물일 가능성이 “매우 높다”고 말했다.

그룹 IB는 26일 공지를 통해 “배드래빗은 해시 계산, 네트워크 분산 로직, 로그 제거 프로세스 등에서 낫페트야와 동일한 기능을 갖고 있다”고 설명했다.
[국제부 오다인 기자(boan2@boannews.com)]

2020년 경자년에 국내 주요 보안기업들과 보안관련 기관들이 공통적으로 꼽은 7가지 보안위협 가운데 가장 주목되는 분야는?
	랜섬웨어
	공급망 공격
	클라우드
	악성메일
	IoT
	다크웹
	AI
	기타(댓글로)