Home > 전체기사

레빌 랜섬웨어 조직이 일으킨 카세야 사태와 한국 공격, 같은 점과 다른 점

  |  입력 : 2021-07-12 01:46
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
카세야 VSA 통해 유포된 ‘소디노키비’ 랜섬웨어, 국내에도 오랜 기간 악명 떨쳤다
카세야 사태와 한국 타깃 공격, 랜섬웨어 종류는 ‘소디노키비’로 같았지만...
기업과 개인으로 공격 대상 달랐고, 공급망과 웹 사이트 등 공격 방식도 달랐다


[보안뉴스 권 준 기자] 솔라윈즈와 익스체인지 사태에 이어 세계 최강대국 미국을 다시 한번 큰 혼란에 빠트린 사이버 공격 사건인 카세야(Kaseya) 사태를 일으킨 레빌(REvil) 랜섬웨어 조직에 의해 올해 상반기 한국이 가장 큰 피해를 입은 것으로 드러났다.

[이미지=utoimage]


더욱이 카세야의 VSA 취약점으로 유포된 랜섬웨어가 국내에서도 가장 활발하게 유포되고 있는 블루크랩(소디노키비) 랜섬웨어로 확인되면서 동일한 랜섬웨어로 공격한 카세야 사태와 한국 타깃 공격 간의 같은 점과 다른 점에 대한 궁금증이 커지고 있다.

보안업체 안랩의 ASEC 분석팀에 따르면 MSP(Managed Service Provider) 및 기업 관리 솔루션 개발사 카세야에서 제공하는 클라우드 기반 매니지먼트 서비스 VSA의 취약점으로 유포된 랜섬웨어는 국내에도 활발하게 유포되고 있는 블루크랩(소디노키비) 랜섬웨어로 확인됐다.

▲카세야의 VSA로 유포된 랜섬웨어 감염 화면[자료=안랩 ASEC 분석팀]


또 다른 글로벌 보안업체인 Emsisoft에 따르면 레빌 랜섬웨어 조직이 유포한 소디노키비(Sodinokibi) 랜섬웨어에 2021년 상반기에 가장 많이 감염된 나라가 바로 한국이라고 밝혔다. Emsisoft가 집계한 통계를 보면 올해 1월 1일부터 7월 6일까지 한국의 피해 건수가 2,509건에 달한다. 카세야 사태의 당사국이자 가장 큰 피해국이라고 할 수 있는 미국의 피해 건수인 391건보다 무려 6배 이상 많은 수치다.

▲레빌 랜섬웨어 조직이 유포한 소디노키비 랜섬웨어 피해현황 및 피해국가 통계[자료=Emsisoft]


이렇듯 레빌 랜섬웨어 조직에 의해 한국이 엄청난 피해를 입고 있었는데, 왜 카세야 사태에서는 한국의 피해가 크게 언급되지 않을까? 그 이유는 바로 피해 대상과 공격 방법에서 차이가 있기 때문이다.

같은 점 : 동일한 랜섬웨어 사용
우선, 이번 카세야 사태와 그간 한국을 대상으로 오랜 기간 계속돼왔던 공격의 같은 점은 공격에 사용됐던 랜섬웨어 종류가 소디노키비 랜섬웨어로 동일했다는 점이다. 사실 블루크랩 또는 소디노키비 랜섬웨어는 최근 몇 년간 우리나라에서 악명을 떨쳐온 랜섬웨어로 아주 유명하다.

소디노키비 랜섬웨어는 2019년 6월 서비스 중단을 선언한 갠드크랩의 뒤를 이으며 전 세계에서 유명세를 탔다. 특히, 우리나라에서는 지난 2019년부터 최다 유포 랜섬웨어로 집계됐고, 2020년에 이어 올해 상반기까지도 가장 많은 피해를 일으킨 랜섬웨어 가운데 하나로 꼽혀왔다.

다른 점 : 공격 대상과 공격 방식
그럼 카세야 사태와 한국 타깃 공격의 다른 점은 무엇이었을까? 먼저 공격 대상이 특정 기업과 불특정 개인으로 달랐다는 점이다. 카세야 VSA는 기업이 사용하는 솔루션으로 공급망 공격으로까지 언급된 이유는 VSA를 사용하는 특정 기업이 대량 감염돼 대규모 피해를 유발할 수 있는 공격이었기 때문이다. 이번 카세야 사태로 피해를 본 고객사가 전 세계에서 최대 1,500여곳에 달한다는 발표가 있을 만큼 카세야 VSA를 사용하는 기업 상당수가 피해를 입은 것으로 알려졌다.

공격 방식도 카세야 사태의 경우 매우 지능적이고 치밀하게 수행됐다. 효과적인 랜섬웨어 유포를 위해 공급망을 통해 공격했을 뿐만 아니라 감염 과정에서도 Windows Defender 무력화 및 안티바이러스(AV) 벤더의 탐지를 회피하기 위해 정상 MS 파일을 이용한 파일 암호화까지 수행하는 등 용의주도하게 진행됐기 때문이다.

그러나 한국 타깃 공격의 경우 랜섬웨어의 종류는 소디노키비로 같았지만, 광고 사이트 등을 통한 드라이브 바이 다운로드(Drive-by download) 방식이나 구글, MS Bing 검색 사이트를 통해 자바스크립트 형태(*.JS)로 유포되면서 불특정 개인들을 많이 감염시킨 것으로 드러났다. 개인 사용자들의 피해액이나 피해 규모가 적은 데다 지금까지 꾸준히 이어져 왔기에 크게 알려지지 않았던 셈이다.

레빌 랜섬웨어 조직이 일으킨 카세야 사태는 물론 한국 타깃 공격 역시 아직 진행형이다. 그렇기에 보다 정확한 조사를 통해 이미 피해를 입었거나 피해 우려가 높은 국내 기업과 개인들을 대상으로 한 보안 위협 및 대응조치 전파가 매우 중요한 과제가 될 것으로 보인다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
파워비즈배너 시작 11월6일 20181105-20200131위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2022년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
다크웹의 대중화 추세, 사이버범죄의 확산을 이끌다
월패드 등 가정집 노리는 해킹, IoT 보안의 패러다임을 바꿔라
클라우드 확산에 따른 보안 위협, 이제부터가 진짜 시작
전략의 혁신으로 중흥기 맞은 랜섬웨어
분산 네트워크와 제로트러스트의 대두
대선·올림픽·월드컵 등 대형 이벤트 노린 사이버공격 대응
메타버스·NFT 등 가상세계 플랫폼 확산과 보안위협
수술실·지하철·요양원까지... CCTV 의무 설치 확대
중대재해처벌법 시행에 따른 안전과 보안장비의 융합
비대면 트렌드에 따른 인증수단 다양화와 보안 강화