Home > 전체기사

핀12, 랜섬웨어의 한 가운데서 속도가 최고라고 외치다

  |  입력 : 2021-10-08 13:45
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이중 협박 전략이 최고의 랜섬웨어 전략인 줄 알았는데, 그렇지도 않은 것 같다. 2018년부터 활동한 것으로 보이는 핀12는 빠르게 치고 빠지는 전술을 고집하며 피해자들을 양산하고 있다. 게다가 이렇게 했을 때 전혀 다른 고객을 끌어 모을 수도 있다.

[보안뉴스 문가용 기자] 속도를 강점으로 내세운 랜섬웨어 그룹이 나타났다. 게다가 아무나 안 노린다. 평균 60억 달러의 연간 수익을 내는 곳이 주로 이들의 표적이 된다. 피해자의 네트워크로 한 번 들어가 자기가 하고 싶은 짓을 하고 빠져나오는 데 걸리는 시간은 총 2.5일이며, 주 무기는 류크(Ryuk)라는 랜섬웨어다. 보안 업체 맨디언트(Mandiant)는 이 그룹을 핀12(FIN12)라고 부른다.

[이미지 = utoimage]


현재 랜섬웨어 공격자들 사이에서 가장 선호되는 전략은 이중 협박이다. 데이터를 먼저 빼돌리고 나서 암호화하는 것으로, 피해자가 파일 암호화만으로는 꿈쩍도 하지 않을 때 빼돌린 데이터를 공개하겠다고 협박하는 전략이 바로 이것이다. 하지만 핀12는 이런 행위에 관심도 없는 것처럼 보인다. “그렇게 공을 들일 바에야 한 조직이라도 더 공격하는 게 낫다고 보는 듯한 움직임을 보이고 있습니다.” 맨디언트의 부회장 존 헐트퀴스트(John Hultquist)의 설명이다.

맨디언트가 조사한 바에 따르면 핀12는 러시아어를 구사하는 이들로 구성되어 있으면 최소 2018년 10월부터 활동해 왔고, 랜섬웨어 공격에 특화되어 있다고 한다. 다만 피해자 네트워크로의 최초 침투는 수수료 등을 내고 다른 단체에 맡기는 편이다. 여태까지는 트릭봇(TrickBot)이라는 멀웨어 운영자들과 주로 손을 잡아왔는데, 그 외에 코발트 스트라이크(Cobalt Strike)와 엠파이어(Empire)와 같은 도구들도 사용되고 있다.

핀12에게 당한 조직들은 주로 북미에 위치하고 있다. 하지만 유럽과 아태지역의 기업들에서도 일부 피해 사실이 발견되고 있다. 피해자들의 20% 의료와 관련된 조직이라는 것도 유의해야 할 지점이다. 현재 랜섬웨어를 국가적 재난 수준으로 보고 정부 차원에서의 대응을 하고 있는 미국 정부가 집중해야 할 세력이 하나 더 추가된 것으로 보인다.

하지만 랜섬웨어에 집중하는 건 부작용이 있을 수 있다는 지적도 나오고 있다. 랜섬웨어를 일종의 미끼로서 활용해 시선을 끌고, 그 뒤에서 전혀 다른 공격을 실시하는 공격자들도 있기 때문이다. “예를 들어 특정 조직에 대한 사이버 공격 계획을 세우고 핀12나 다른 랜섬웨어 운영자들과 계약을 한다면 어떨까요? 겉으로는 랜섬웨어 공격을 하지만, 뒤로 침투해서는 데이터를 빼돌린다거나 사보타쥬를 감행할 수 있게 됩니다. 랜섬웨어에 지나치게 집중하면 이러한 뒷단의 진짜 의도를 못 알아챌 수 있습니다.” 맨디언트 측의 설명이다.

“핀12의 가장 큰 특징은 속도감입니다. 다른 랜섬웨어들이 열흘 넘게 피해자 네트워크에서 정찰하고 데이터를 빼내고 나서야 랜섬웨어 공격을 실시할 때 핀12는 3일 안에 침투해 들어가 파일을 암호화 하고 빠져나옵니다.” ‘침투’와 ‘피해’라는 측면에서는 단순 계산으로 다른 랜섬웨어 그룹들보다 서너 배 높다고 볼 수 있다. 누군가 다른 의도를 가지고 계약하기에 좋은 조건이라는 것이다. “작년 평균 공격 기간이 5일이었다는 걸 생각하면, 앞으로가 더 무섭기도 합니다. 시간이 계속 줄어들고, 그만큼 많은 조직들이 피해를 입을 테니까요.”

헐트퀴스트는 누군가 랜섬웨어 조직들을 활용해 진짜 목적을 달성하는 걸 최소화 하려면 랜섬웨어에만 집중하는 지금의 수사 및 조사 방식을 바꿔야 한다고 주장한다. “랜섬웨어 공격은 여러 단계로 구성된 사이버 작전입니다. 최초 침투, 횡적 움직임, 정보 수집 및 유출, 협박 등이 순차적으로 이뤄지죠. 사실 최초 침투나 횡적 움직임도 우리가 집중해서 모니터링 해야 할 요소인데 랜섬웨어 자체에만 집중할 때가 많습니다. 랜섬웨어 방어에 이 모든 절차들을 파헤쳐야 할 겁니다.”

3줄 요약
1. 새로운 랜섬웨어 공격자 핀12, 랜섬웨어 속도에 특화된 그룹.
2. 요즘 유행하는 이중 협박 공격을 하지 않고 3~4배 많은 공격을 실행.
3. 랜섬웨어에 대한 국가적 대응 분위기가 무르익는 가운데, 보다 종합적인 대책 필요.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)