Home > 전체기사

미국의 의료와 보건 기관 노리는 랜섬웨어 마우이의 기묘한 특성들

  |  입력 : 2022-07-07 14:02
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
미국의 첩보 기관들이 마우이라는 랜섬웨어를 조심하라는 경고문을 발표했다. 북한 정권이 뒤에 있는 것으로 보인다고 하며, 의료 기관들이 특히 주요 표적이라고 한다. 그런데 이 마우이는 랜섬웨어치고 뭔가 이상하다. 중요 기능이 하나 둘 빠져 있는 것이다.

[보안뉴스 문가용 기자] 미국의 정보 및 첩보 기관인 FBI, CISA와 재무부가 북한 정부의 지원을 받는 해킹 그룹의 활동에 대한 경고문을 발표했다. 주요 타격 대상은 미국의 공중 보건과 의료 관련 조직들이라고 한다. 이 공격에 활용되는 건 마우이(Maui)라고 하는 랜섬웨어이며, 북한의 해커들은 이 랜섬웨어를 수동으로 조작하며 운영하는 것으로 분석됐다.

[이미지 = utoimage]


의료 기관을 노리는 마우이 랜섬웨어의 공격은 최소 2021년 5월부터 시작한 것으로 추정된다. 피해를 입은 기관들 중에는 꽤나 오랜 기간 정상적인 운영이 불가능한 곳도 있었다. “북한 정부의 지원을 받는 해커들은 APT 단체임에도 돈을 벌기 위해 움직인다는 특징을 가지고 있습니다. 의료 기관의 경우 운영이 마비되는 것이 환자들에게 치명적으로 작용할 수 있어 랜섬웨어 공격에 특히 취약한데, 북한의 공격자들이 그런 점을 노린 것으로 보입니다. FBI, CISA, 재무부는 공격자들이 한 동안 공격을 이어갈 것으로 예상하고 있습니다.”

랜섬웨어의 수동 운영
이번 주인 7월 6일, 보안 업체 스테어웰(Stairwell)은 마우이 랜섬웨어에 대한 기술 분석 보고서를 발표했다. 일반적인 랜섬웨어에 당연히 있는 기능들 몇 가지가 빠져 있다는 내용이었다. 예를 들어 일반적인 랜섬웨어들에는 피해자들에게 보내는 협박 편지가 임베드 되어 있는데, 마우이에는 그렇지 않았다. 암호화 키를 해커들에게 전송하는 기능도 없었다. 정확히 말해 피해자의 파일을 암호화 하고 복호화 키를 공격자들에게 전송하는 과정이 자동으로 이뤄지도록 설계되는 게 보통인데 마우이는 달랐다. 암호화나 키 전송 모두 수동으로 처리되고 있었던 것이다. “공격자가 멀리서 명령행 인터페이스를 통해 파일을 암호화 하고 키를 빼내도록 되어 있었습니다.”

스테어웰이 찾아낸 바에 의하면 마우이는 AES, RSA, XOR 암호화 알고리즘을 같이 사용해 파일들을 암호화 한다고 한다. 먼저는 암호화 할 파일을 선택해서 AES로 암호화 하고, 그 과정에서 나온 AES 키는 RSA로 암호화 하며, RSA 공공 키는 XOR로 암호화 하는 식이다. 스테어웰의 수석 리버스 엔지니어인 실라스 커틀러(Silas Cutler)는 “파일 암호화 기능 자체는 다른 랜섬웨어들과 크게 다를 바가 없다”고 설명한다. “하지만 파일을 암호화 해 놓고는 피해자들에게 아무런 메시지도 남기지 않아요. 그건 대단히 큰 차이점이죠.”

커틀러는 “랜섬웨어 운영자들은 협박 편지를 통해 다른 랜섬웨어와의 차별성을 강조한다”고 설명한다. “랜섬웨어 운영자마다 각자의 다른 생각을 가지고 범행을 저지릅니다. 어떤 운영자는 보다 열린 자세로 피해자들과 대화를 하려 하고, 어떤 운영자는 보다 강압적이죠. 생각할 시간을 충분히 주는 자들도 있고, 마감 기간을 빠듯하게 잡아서 심리적 압박을 더하는 자들도 있고요. 하지만 아무런 편지도 남기지 않는 랜섬웨어는 거의 없습니다. 피해자와 어떻게 해서든 교신을 해야 랜섬웨어 공격자들도 돈을 받는 건데 아무런 방법을 제시하지 않는다는 건 랜섬웨어의 존재 이유 자체와 충돌하는 지점이죠. 그래서 지금은 공격자들이 어떤 식으로 피해자와 연락을 취하는지를 알아보고 있습니다.”

보안 컨설팅 업체 레어스 컨설팅(Lares Consulting)의 수석 엔지니어 팀 맥거핀(Tim McGuffin)의 경우 “자동으로 파일을 암호화 하고 복호화 키를 전송하지 않는 데에는 몇 가지 이유가 있을 수 있다”고 말한다. “자동화 대신 수동화로 랜섬웨어를 운영할 경우 최신 엔드포인트 탐지 도구들을 피해갈 확률이 꽤 높아집니다. 자동화 기술이 탑재된 랜섬웨어가 아무래도 탐지될 가능성이 높지요.”

또한 암호화 될 파일을 랜섬웨어 운영자가 직접 고르는 것 역시 전략적으로 유용할 수 있다고 맥거핀은 설명한다. “자동화로 파일을 암호화 하면 사실 아무 파일이나 닥치는 대로 암호가 되는데요, 이럴 경우 암호화 과정 중에 오류가 날 수도 있고, 크게 중요하지 않은 파일들이 암호화 될 수도 있습니다. 반면 수동으로 공격을 실시할 경우 맞춤형으로 파일을 골라 피해자를 더 곤란하게 만들 수 있습니다. 게다가 탐지될 확률 자체도 낮아지니 공격자로서는 1석 2조가 될 수 있습니다.”

그렇다고 마우이가 탐지 회피라는 측면에서 뛰어나다고 말하기도 힘들다. 요즘 멀웨어들에 기본적으로 탑재되는 탐지 및 분석 방해 기능이 내포되어 있지 않기 때문이다. 커틀러는 “수동으로 움직여 불필요한 노이즈를 만들지 않는다는 게 유일한 탐지 회피 전략입니다. 또한 편지를 남기지 않기 때문에 피해자가 파일이 암호화 되었다는 사실을 조금 늦게 발견할 가능성도 있습니다. 뭔가 적극적으로 탐지를 피한다기 보다 특성 자체가 은밀하다고 볼 수 있습니다.”

마우이는 일종의 미끼 역할인 것일까?
보안 업체 벡트라(Vectra)의 CTO인 아론 터너(Aaron Turner)는 “마우이가 랜섬웨어의 가장 보편적인 기능을 가지고 있지 않다는 건, 운영자들에게 숨은 의도가 있을 수 있다는 뜻”이라고 지적한다. “랜섬웨어 비슷한 걸로 눈길을 끌고 뒤에서는 다른 목적을 수행하는 것이죠. 돈을 벌기 위해서 움직이는 것처럼 보이지만 또 다른 뭔가를 취해가는 것일 수도 있어요. 북한 정권이 배후에 있다고 생각한다면 이게 그리 무리스러운 추측은 아니죠.”

터너는 정말 배후 세력의 목적이 다른 곳에 있는 거라면 “랜섬웨어 공격으로 시선을 끌고 사실은 뒤에서 각종 지적재산이나 첩보를 훔쳐가려는 것일 가능성이 높다”는 의견이다. “그리고 랜섬웨어로 돈이 들어오면 그건 보너스 정도가 되겠죠. 아무튼 마우이의 여러 가지 특성을 봤을 때 단순 랜섬웨어일 가능성은 낮다고 봅니다. 뭔가가 더 있습니다.”

3줄 요약
1. 현재 미국 의료/보건 시스템 노리는 랜섬웨어 마우이가 활동 중.
2. 그런데 당연히 있어야 할 기능들이 없고 수동으로 조작됨.
3. 마우이 운영자들은 정말 돈만 노리는 걸까, 아니면 다른 꿍꿍이가 있는 걸까?

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018 파워비즈배너 시작 11월6일 20181105-20200131
설문조사
최근 다크웹을 통한 데이터 및 개인정보 유출이 빈번하게 발생하고 있습니다. 다크웹에 대해 아시거나 접속해 보신 적이 있으신가요?
다크웹에 대해 들었지만, 접속해본 적은 없다
1~2번 접속해본 적 있지만, 활용방법은 잘 모른다.
종종 들어가서 업무에 활용하기도 한다.
가끔 전문가를 통해 접속해서 유출 정보를 찾는다.
기타(댓글로)