Home > Security

류크 랜섬웨어 공격자들의 움직임을 통해 배우는 방어 기술

  |  입력 : 2021-04-07 17:49
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
류크 랜섬웨어 공격자들은 비교적 눈에 덜 띄면서도 큰 피해를 일으키는 ‘공격 전문’ 집단이다. 그런 그들의 움직임을 추적하다 보면, 주로 현대 기업들의 네트워크에서 어떤 부분이 약하고 아픈 곳인지가 나타난다. 특히 두 가지가 문제인데…

[보안뉴스 문가용 기자] 류크(Ryuk) 랜섬웨어 운영자들이 사람을 모집하기 시작했다. 좋은 소식일 수 없다. 보안 업체 렌디션 인포섹(Rendition Infosec)의 창립자인 제이크 윌리엄즈(Jake Williams)가 다크웹에서 구인 광고를 처음 발견했을 때, 류크 운영자들은 경험 많은 랜섬웨어 공격자들을 찾고 있었다고 한다. 류크 운영자들이 인력을 구한 건 처음 있는 일이며, 이는 이들이 뭔가 거대한 것을 준비하고 있다는 뜻으로 분석된다.

[이미지 = pixabay]


류크 운영자들이 성장을 거듭한다는 건 다른 모든 사람들에게 나쁜 소식이다. 류크는 2018년에 처음 등장한 랜섬웨어로, 사이버 공간에서 가장 위협적인 존재 중 하나로 자리를 잡았다. 특히 의료 산업이 큰 피해를 입은 것으로 알려져 있다. 또한 피해자들에게 요구하는 평균 금액이 10만 달러로 “가장 비싼 랜섬웨어” 중 하나이기도 하다. 이런 자들이 성장 중에 있다.

류크는 현존하는 랜섬웨어 패밀리인 헤르메스(Hermes) 2.1의 변종이다. 트릭봇(TrickBot)과 같은 인기 높은 로더 및 봇넷 형 멀웨어를 통해 퍼지는 것이 보통이다. 하지만 그것이 전부는 아니다. 류크 운영자들은 여러 가지 침투 전략을 개발하거나 다른 공격자들로부터 입수하기도 했다. 고도로 정교하게 만들어진 피싱 메일을 뿌리거나, 정상적인 도구들을 악의적으로 활용하는 ‘리빙 오프 더 랜드(living off the land)’ 전략을 사용하는 데도 능숙하다.

류크 운영자들은 ‘인간이 직접 손으로 운영한다’는 특징도 가지고 있다. 자동화 기술을 사용하지 않고, 운영자가 수작업으로 정교하게 캠페인을 관리한다는 뜻이다. 물론 이것이 류크만의 고유한 특성이라고 볼 수는 없다. 첫 손에 꼽히는 랜섬웨어 운영자들은 의외로 수작업을 선호한다.

하지만 그런 ‘메이저’ 랜섬웨어들과 달리 류크 운영자들은 정보 공개용 웹사이트를 운영하지 않고 있다. 작년부터 랜섬웨어 공격자들 사이에서 대세로 손꼽히는 이중 협박 전략과 거리가 멀다는 뜻이고, 실제로 이 때문에 류크는 좀처럼 눈에 띄지 않아 정확한 피해 규모를 산출하기가 어렵다. 덕분에 류크는 잘 눈에 띄지 않는 상태를 유지하면서 공격을 이어가고 있다.

이런 랜섬웨어 공격을 효과적으로 막기 위해서는 다음과 같은 보안 실천 사항들이 권장된다.
1) 취약한 시스템들에 대한 패치
2) 각종 시스템과 장비들을 안전하게 설정하기
3) 망분리
4) 지나치게 높은 윈도 권한 부여 금지

이런 조치들을 다 지키고 실천하는 건 반드시 필요한 일이지만 충분하지는 않다. 그럼 뭘 더 해야 할까? 랜섬웨어 공격자들이 가장 간절이 원하고 바라는 것을 단절시켜야 한다. 그건 바로 높은 권한을 갖게 되는 것으로, 예를 들어 랜섬웨어 공격자가 도메인 관리자 권한을 갖게 되었다면 더 이상 횡적 움직임을 하지 못하게 되더라도 괜찮을 정도로 효과가 좋다. 충분한 권한만 있다면 랜섬웨어를 조직 구석구석에 퍼트릴 수 있기 때문이다.

따라서 랜섬웨어 공격자들은 인증 시스템을 농락하려는 시도를 초기에 실시할 수밖에 없다. 이 시점에서는 방어하는 기업이 훨씬 유리하며, 이 지점에서 수상한 점을 발견해 조치를 취한다면 큰 피해를 막을 수 있게 된다. 이 부분에 대한 추가 어드바이스를 제공하자면 다음과 같다.

1. NTLM은 이제 그만
NTLM 즉 NT LAN Manager라는 프로토콜에 대한 의존도를 낮추고 단절시키는 것은, 액티브 디렉토리(Active Directory)의 보안을 강화하는 데 있어 가장 중요한 일이다. NTLM은 오래된 윈도 프로토콜로, 탄생한 지 20년도 넘었다. 하지만 윈도 NT 4와 윈도 98과 윈도 ME, 심지어 더 오래된 버전의 윈도가 아직도 여러 조직에서 사용되고 있기 때문에 NTLM은 여전히 현역으로 취급받는다. NTLM은 그 자체로 오래되었을 뿐 아니라, 오래된 애플리케이션들과 엮여 있어 문제이기도 하다.

그래서 NTLM을 버리기 힘들다. 하지만 그래도 해야 한다. 류크, 메이즈(Maze), 로빈후드(RobbinHood), 레빌(REvil)과 같은 랜섬웨어 운영자들은 미미캐츠(Mimikatz)라는 도구를 활용하여 NTLM 크리덴셜을 메모리로부터 추출한다. 그리고 이를 활용해 시스템에 접근해 높은 권한을 확보한다. 이들이 자주 사용하는 수법이다. 상황이 이런데도 NTLM을 고집하는 건 위험한 도박이다.

2. 케르베로스(Kerberos) 모니터링
NTLM의 후계자로 꼽히는 프로토콜 중에 케르베로스(Kerberos)가 있다. 암호학적으로 보다 단단하고 안전하다는 평가를 받는다. 하지만 랜섬웨어 공격자들의 잦은 공격 대상이 되고 있는 것이 현실이다. 태생적으로 분산화 된 프로토콜로, 인증 세션 내에서 모든 일처리가 진행되지 않는다는 치명적인 약점을 가지고 있다. 즉 인증 크리덴셜을 재사용하는 유형의 공격에 남용될 소지가 있다는 것이다.

류크 운영자들은 자신들이 한 번 침투한 환경에서 이런 점을 활용해 공격 지속성을 확보한다. 수일에서 수주까지 한 네트워크에 머물며 여러 가지 악성 행위를 실시하다가 결정적인 순간에 류크 랜섬웨어를 발동시킨다. 주로 이런 기간 동안 랜섬웨어에 감염된 시스템을 최대한 많이 늘려 놓아 피해 조직에서 돈을 낼 수밖에 없도록 만드는 것이 핵심이다.

이 때문에 방어하는 조직들 입장에서는 인증 시스템에서 이뤄지는 수상한 행위들을 최대한 꼼꼼하게 탐지해야 한다. 케르베로스 세션들이 정확히 인증되었는지, 인증된 세션 내에서 데이터 처리 등이 이뤄지고 있는지를 확인할 수 있어야 한다는 것이다.

아마 많은 분들이 이 두 가지 ‘어드바이스’를 읽고, “너무 복잡하고 난이도 높은 작업”이라고 여기고 포기했을 것이다. 기존 보안 권고사항인 패치, 비밀번호 재설정, 열린 포트 닫기, 권한 계정 줄이기 등과는 확실히 차원이 다른 난이도를 가진 작업임에 분명하다. 하지만 사이버 범죄자들이 예전 그대로의 모습으로 남아 있어주질 않는다. 기본적인 보안 수칙으로도 어느 정도 방어가 되었던 시대가 아니다.

공격자의 수준이 오른만큼 보안의 수준도 올려야 한다. 보안이 기본적인 ‘사이버 위생’을 바탕으로 하고 있다지만, 그 수준에 계속 머물러 있어도 된다는 뜻은 아니다. 기본은 말 그대로 기본이다. 당연히 지켜져야 할 일들일 뿐이다. 여기에 조금 더 고급 방어 기술을 장착시켜야 할 때가 되었다. ‘할 일이 너무 많아 보인다’는 이유만으로 필요한 일을 간과하는 것처럼 어리석은 일도 없다.

글 : 앤드류 재키스(Andrew Jaquith), CISO, QOMPLX
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비