레빌 랜섬웨어 조직이 일으킨 카세야 사태와 한국 공격, 같은 점과 다른 점

카세야 VSA 통해 유포된 ‘소디노키비’ 랜섬웨어, 국내에도 오랜 기간 악명 떨쳤다
카세야 사태와 한국 타깃 공격, 랜섬웨어 종류는 ‘소디노키비’로 같았지만...
기업과 개인으로 공격 대상 달랐고, 공급망과 웹 사이트 등 공격 방식도 달랐다

[보안뉴스 권 준 기자] 솔라윈즈와 익스체인지 사태에 이어 세계 최강대국 미국을 다시 한번 큰 혼란에 빠트린 사이버 공격 사건인 카세야(Kaseya) 사태를 일으킨 레빌(REvil) 랜섬웨어 조직에 의해 올해 상반기 한국이 가장 큰 피해를 입은 것으로 드러났다.

[이미지=utoimage]

더욱이 카세야의 VSA 취약점으로 유포된 랜섬웨어가 국내에서도 가장 활발하게 유포되고 있는 블루크랩(소디노키비) 랜섬웨어로 확인되면서 동일한 랜섬웨어로 공격한 카세야 사태와 한국 타깃 공격 간의 같은 점과 다른 점에 대한 궁금증이 커지고 있다.

보안업체 안랩의 ASEC 분석팀에 따르면 MSP(Managed Service Provider) 및 기업 관리 솔루션 개발사 카세야에서 제공하는 클라우드 기반 매니지먼트 서비스 VSA의 취약점으로 유포된 랜섬웨어는 국내에도 활발하게 유포되고 있는 블루크랩(소디노키비) 랜섬웨어로 확인됐다.

▲카세야의 VSA로 유포된 랜섬웨어 감염 화면[자료=안랩 ASEC 분석팀]

또 다른 글로벌 보안업체인 Emsisoft에 따르면 레빌 랜섬웨어 조직이 유포한 소디노키비(Sodinokibi) 랜섬웨어에 2021년 상반기에 가장 많이 감염된 나라가 바로 한국이라고 밝혔다. Emsisoft가 집계한 통계를 보면 올해 1월 1일부터 7월 6일까지 한국의 피해 건수가 2,509건에 달한다. 카세야 사태의 당사국이자 가장 큰 피해국이라고 할 수 있는 미국의 피해 건수인 391건보다 무려 6배 이상 많은 수치다.

▲레빌 랜섬웨어 조직이 유포한 소디노키비 랜섬웨어 피해현황 및 피해국가 통계[자료=Emsisoft]

이렇듯 레빌 랜섬웨어 조직에 의해 한국이 엄청난 피해를 입고 있었는데, 왜 카세야 사태에서는 한국의 피해가 크게 언급되지 않을까? 그 이유는 바로 피해 대상과 공격 방법에서 차이가 있기 때문이다.

같은 점 : 동일한 랜섬웨어 사용
우선, 이번 카세야 사태와 그간 한국을 대상으로 오랜 기간 계속돼왔던 공격의 같은 점은 공격에 사용됐던 랜섬웨어 종류가 소디노키비 랜섬웨어로 동일했다는 점이다. 사실 블루크랩 또는 소디노키비 랜섬웨어는 최근 몇 년간 우리나라에서 악명을 떨쳐온 랜섬웨어로 아주 유명하다.

소디노키비 랜섬웨어는 2019년 6월 서비스 중단을 선언한 갠드크랩의 뒤를 이으며 전 세계에서 유명세를 탔다. 특히, 우리나라에서는 지난 2019년부터 최다 유포 랜섬웨어로 집계됐고, 2020년에 이어 올해 상반기까지도 가장 많은 피해를 일으킨 랜섬웨어 가운데 하나로 꼽혀왔다.

다른 점 : 공격 대상과 공격 방식
그럼 카세야 사태와 한국 타깃 공격의 다른 점은 무엇이었을까? 먼저 공격 대상이 특정 기업과 불특정 개인으로 달랐다는 점이다. 카세야 VSA는 기업이 사용하는 솔루션으로 공급망 공격으로까지 언급된 이유는 VSA를 사용하는 특정 기업이 대량 감염돼 대규모 피해를 유발할 수 있는 공격이었기 때문이다. 이번 카세야 사태로 피해를 본 고객사가 전 세계에서 최대 1,500여곳에 달한다는 발표가 있을 만큼 카세야 VSA를 사용하는 기업 상당수가 피해를 입은 것으로 알려졌다.

공격 방식도 카세야 사태의 경우 매우 지능적이고 치밀하게 수행됐다. 효과적인 랜섬웨어 유포를 위해 공급망을 통해 공격했을 뿐만 아니라 감염 과정에서도 Windows Defender 무력화 및 안티바이러스(AV) 벤더의 탐지를 회피하기 위해 정상 MS 파일을 이용한 파일 암호화까지 수행하는 등 용의주도하게 진행됐기 때문이다.

그러나 한국 타깃 공격의 경우 랜섬웨어의 종류는 소디노키비로 같았지만, 광고 사이트 등을 통한 드라이브 바이 다운로드(Drive-by download) 방식이나 구글, MS Bing 검색 사이트를 통해 자바스크립트 형태(*.JS)로 유포되면서 불특정 개인들을 많이 감염시킨 것으로 드러났다. 개인 사용자들의 피해액이나 피해 규모가 적은 데다 지금까지 꾸준히 이어져 왔기에 크게 알려지지 않았던 셈이다.

레빌 랜섬웨어 조직이 일으킨 카세야 사태는 물론 한국 타깃 공격 역시 아직 진행형이다. 그렇기에 보다 정확한 조사를 통해 이미 피해를 입었거나 피해 우려가 높은 국내 기업과 개인들을 대상으로 한 보안 위협 및 대응조치 전파가 매우 중요한 과제가 될 것으로 보인다.
[권 준 기자(editor@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)