Home > 전체기사
다시 나타난 베가 랜섬웨어의 변종, 배후에 국가 있는 듯
  |  입력 : 2019-12-12 16:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
러시아어 구사자들을 노리던 베가 랜섬웨어...이제는 반대로 서방 국가 노려
협박 편지에 지갑 주소나 돈 액수도 명시되어 있지 않아...돈 벌 의도 하나도 듯


[보안뉴스 문가용 기자] 베가(Vega)라는 랜섬웨어의 변종 중 하나가 공격 전략을 크게 바꾼 채 나타났다. 보안 업체 블랙베리 사일런스(BlackBerry Cylance)는 “베가의 소스코드가 국가 지원 해커 부대의 손에 넘어갔을 가능성이 높아 보인다”고 발표했다.

[이미지 = iclickart]


이 변종의 이름은 제펄린(Zeppelin)으로, 11월 초부터 퍼지기 시작했다고 블랙베리 사일런스는 설명한다. “하지만 러시아, 우크라이나, 벨로루스, 카자흐스탄에 있는 컴퓨터들은 감염시키지 않습니다. 미국과 서유럽 국가들만 집중적으로 노리죠. 특히 기술 업계와 의료 산업이 표적이 되고 있습니다. 모듈 구성으로 되어 있어 언제고 공격 방식이 바뀔 수 있는데, 현재로서는 파괴적인 공격을 주로 실행하고 있습니다.” 블랙베리 사일런스의 부회장인 조시 레모스(Josh Lemos)의 설명이다.

“이러한 움직임을 종합했을 때 정치적 목적을 가진 국가 지원 해커들이 코드를 입수하고, 자신들의 진정한 움직임을 가리기 위해 제펄린을 활용하는 것으로 보입니다. 표적이 분명하다는 것에서 의심이 가장 크게 듭니다. 어떻게 했는지는 모르겠지만 국가 지원 해커들이 코드를 입수하고 자신들의 목적에 맞게 수정을 한 것이 제펄린의 정체라고 봅니다.”

사이버 범죄 시장에서 랜섬웨어는 대단히 인기가 높은 수단이다. 최근에는 랜섬웨어 공격 자체는 줄어들고 있는데, 이는 ‘표적 공격’ 형태로 변모하고 있기 때문이다. 그래서 수 자체가 줄어들었지만 피해액은 더 커지고 있는 상황이다.

또한 국가 지원을 받는 해커 단체들 역시 랜섬웨어를 점점 더 많이 활용하는 분위기다. 하지만 일반 사이버 범죄자들과 달리 돈을 버는 게 목적이 아니라, 파일 암호화를 통해 시스템을 마비시키는 것 자체를 위해 랜섬웨어를 활용한다. 단 하나의 예외가 있다면 북한의 해커들이다. 이들은 일반 사이버 범죄자들과 똑같이 돈을 벌기 위해 정부가 해킹 부대를 운영하고 랜섬웨어 공격을 한다.

“원래 베가는 러시아어 구사자들을 겨냥한 캠페인이었습니다. 그런데 이번에는 정반대로 서방 세계를 노리기 시작했습니다. 표적이 되는 사람들의 종류도 확 달라졌고요. 멀웨어 배포 방법 또한 이전과 다릅니다. 이전 베가 사용자들과 지금의 제펄린 사용자들이 다르다는 걸 알 수 있습니다. 원 저작자들이 돈을 받고 팔았거나, 스스로도 해킹을 당했을 수 있습니다.”

제펄린의 배후에 국가가 있을 것 같다고 블랙베리 사일런스 측이 생각하는 건, 협박 편지 때문이기도 하다. 여느 랜섬웨어처럼 피해자의 모니터에 돈을 비트코인으로 내라는 내용이 나타나지만, 정확한 금액이나 비트코인 지갑 주소를 지정하지 않는다. 공격자들과 연락할 방법이 아예 없다는 것으로, “공격자들이 돈을 벌고자 이런 행위를 하는 게 아니라는 뜻”이라고 레모스는 말한다. “결국 파괴 그 자체를 위해 제펄린을 활용한다고 봐도 됩니다.”

현재까지 블랙베리 사일런스는 제펄린의 샘플을 다섯 개까지 확보할 수 있었다. 현재까지 당한 조직들은 두 자리 수라고 한다. “아직 피해 규모가 수백에까지 이르지 못했습니다. 그만큼 고도로 표적화 된 공격이라는 것이죠.”

제펄린은 다양한 크기의 API를 무작위로 사용해 탐지 장치들을 피해간다. 샌드박스를 통한 분석 행위 역시 이 방법으로 차단한다. “다양한 키값을 코드 내에 난독화 처리하여 숨기고 있기도 합니다. 난독화를 하지 않으면 코드 점검에서 탐지될 것이 분명하니까요. 공격자들의 조심스런 습성과 스텔스 기술이 뛰어난 편입니다.”

블랙베리 사일런스는 특정 국가를 범인으로 지목하고 있지는 않다. “하지만 러시아, 우크라이나, 벨라루스, 카자흐스탄에서는 공격이 발생하지 않도록 여러 장치가 마련되어 있습니다. 특히 위 나라들의 IP 주소가 검색되면 공격이 발동되지 않습니다. 이걸 볼 때 범인은 이 네 개 국가 중 한 곳에 거주하고 있을 가능성이 높습니다.”

하지만 그 외에 더 정확한 발언을 하기에는 증거가 한참 부족하다는 게 블랙베리 사일런스 측의 입장이다. “아직 공격자들의 전략, 기술, 공격 과정에 대한 정보를 더 수집해야 합니다. 하지만 공격자들이 쉽게 이를 드러낼 리가 없죠. 어쩌면 이미 제펄린을 가볍게 쓰고 버렸을 수도 있어요. 그렇다면 더 이상 나타나지 않겠죠. 좀 더 지켜봐야 합니다.”

3줄 요약
1. 베가 랜섬웨어의 변종인 제펄린, 공격 수법과 방향 크게 바뀜.
2. 러시아 및 그 주변 국가에서는 공격이 발동되지 않고 미국 및 서유럽 국가만 피해 입도록.
3. 게다가 돈을 벌려는 의지도 안 보임. 국가 지원 해커일 가능성 높음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)