보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

록빗 랜섬웨어, 한 달 잠잠하더니 새로운 시스템 연구하고 있었나

입력 : 2023-06-26 16:53
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
록빗이라는 랜섬웨어 집단이 개발한 것으로 보이는 랜섬웨어 샘플이 대거 발견됐다. 그런데 기존 PC나 서버가 아니라 각종 임베디드 시스템을 노리기 위한 샘플들이었다. 최근 다소 잠잠하나 싶었더니 뒤에서 이런 연구를 진행하고 있었다.

[보안뉴스 문가용 기자] 악명 높은 록빗(LockBit) 랜섬웨어 갱단이 새로운 아키텍처에서 작동하는 랜섬웨어를 개발 중에 있다는 소식이다. 보안 업체 카스퍼스키(Kaspersky)가 6월 22일자 블로그를 통해 공개한 내용에 따르면 최근 카스퍼스키의 보안 전문가들은 한 집(zip) 파일을 우연히 발견했는데, 압축을 풀어보니 록빗 멀웨어 샘플들이 가득했다고 한다. 이전에 록빗 갱단이 사용했던 인크립터의 다양한 변종들인 것으로 분석됐다.

[이미지 = gettyimagesbank]


이 압축 파일에 있던 샘플들은 프리BSD(FreeBSD)와 리눅스 환경을 노리고 만들어진 것이었다. 이 두 가지 운영 체제를 노리는 사이버 공격자들은 최근 몇 년 동안 꾸준히 증가하는 중이다. 뿐만 아니라 ARM, ESA/390, 파워피씨(PowerPC), 애플 M1, 안드로이드 SoC 등 다양한 아키텍처를 노리는 명령들도 다수 발견됐다. 또한 샘플들 전부가 ‘개발 중’에 있기도 했다. 록빗이 공격의 스펙트럼을 넓히기 위해 여러 가지로 연구 중에 있는 것으로 분석됐다.

보안 업체 가이드포인트시큐리티(GuidePoint Security)의 위협 분석가인 제이슨 베이커(Jason Baker)는 “이 샘플들이 실제 공격에 활용될 경우 록빗 공격이 한층 ‘최첨단’으로 업그레이드 될 것”이라고 설명한다. “랜섬웨어 시장은 계속해서 새로운 세력들로 채워지고 있고, 따라서 범죄자들 사이의 경쟁이 치열합니다. 조금만 뒤쳐지고 새로운 유행을 따라가지 못해도 고객들의 선택을 받지 못합니다. 새로운 환경과 아키텍처에 대한 연구가 랜섬웨어 서비스 제공자들마다 진행되어야 하지요. 록빗 역시 그러한 차원에서 새로운 시도를 하고 있는 것으로 보입니다.”

콘티(Conti)라는 거대 랜섬웨어 단체가 와해된 후 록빗을 가장 막강한 랜섬웨어 조직으로 보는 보안 전문가들이 늘어나고 있다. 하지만 지난 달에는 활동량이 크게 줄어들었다. 랜섬웨어 전체의 활동량은 늘어났는데 록빗은 30%나 줄어들었다고 스스로 인정하기도 했다. 그런 후에 이러한 샘플 덩어리가 발견된 것이라 베이커는 “새로운 샘플 연구와 개발에 시간을 투자한 것이 분명해 보인다”고 말한다.

임베디드 시스템
마이터코퍼레이션(MITRE Corporation)의 프로젝트 리더인 아담 페닝턴(Adam Pennington)은 “록빗의 이러한 움직임은 방어자들에게 좋지 않은 소식”이라고 경고한다. “이미 수년 전부터 임베디드 환경에서의 공격자들의 활동력이 증가하고 있다는 경고가 여러 보안 전문가들로부터 나왔습니다. 그러한 시스템들에서 행해진 공격은 꽤나 높은 공격 지속성을 보여주기도 하지요. 록빗이 결국 조금씩 조금씩 임베디드 환경을 공략하는 방향으로 나아가고 있다고 분석됩니다.”

보안 업체 크리티컬스타트액슈얼리(Critical StartActually)의 연구 총괄 캘리 겐터(Callie Guenther)는 “록빗이 금방 임베디드 환경을 공략하지는 못할 것”이라는 입장이다. “기존 OS들과 달리 임베디드 시스템들과 사물인터넷 장비들은 컴퓨팅 자원의 한계가 분명합니다. 프로세서들도 약하고, 하드웨어 용량도 별로 높지 않죠. 그러니 이런 시스템들을 침해하려는 랜섬웨어라면 기존 PC용 랜섬웨어와는 확실히 달라야 할 겁니다. 이 부분을 극복하는 게 록빗의 현재 과제일 거라고 봅니다.”

또한 임베디드 장비들마다 특수한 펌웨어나 맞춤형 OS로 운영되는 경우가 많다는 것도 중요한 변수라고 겐터는 지적한다. “페이로드를 심고, 실행하고, 활용하는 방법 자체가 펌웨어와 OS마다 달라질 수 있습니다. 공격자들로서는 표적들에 따라 항상 다른 뭔가를 시도해야 한다는 뜻인데, 이것 역시 만만치 않은 장애물이 될 것입니다.”

베이커는 그러한 점이 록빗에게 장애물로서만 인식되지 않고, 오히려 매력으로 다가갈 수도 있다고 본다. “누구나 보편적으로 장악할 수 없는 시스템이 바로 임베디드 시스템입니다. 그러니 같은 장비나 생태계를 놓고 경쟁할 일이 적어지고, 오히려 그 분야에서 독보적인 기술력을 갖춘 랜섬웨어 공격자로서 사업을 이어갈 수 있습니다. 한 동안 독점적인 위치를 점할 수 있다는 것이죠. 록빗이라는 브랜드가 막강해질 거라고 록빗 스스로는 보고 있을 수 있습니다.”

임베디드 멀웨어, 방어 난이도 높아
페닝턴은 임베디드 시스템에 대한 방어력이 부실하다는 점을 강조한다. “록빗이나 다른 공격 단체가 임베디드 시스템을 아무렇지 않게 공격하게 된다면 피해자에게는 거대한 위협이 될 것입니다. 임베디드 시스템에서 이뤄지는 사이버 공격이라는 것이 아직 생소한 것이기도 하고, 무엇보다 임베디드 시스템은 보안의 테두리에 있지 않을 때가 많습니다. 보안 전문가나 관리자들이 간과할 때가 많은 것이 바로 이 임베디드 시스템이라는 겁니다.”

대부분의 기업들이 보안을 강화한다고 했을 때 집중적으로 쳐다보고 살피는 건 윈도 기반 PC와 서버들이다. 판매량 높은 애플의 컴퓨터조차 이제야 서서히 기업의 관리 대상이 되는 분위기이다. “하지만 임베디드 장비들도 결국 윈도 PC와 같은 네트워크에 연결된 컴퓨터들입니다. 안전하다고 여기거나 간과할 이유가 전혀 없는 것이죠."

페닝턴은 “기업들이 현재 네트워크에 연결된 OS나 장비의 종류가 생각보다 많다는 걸 인지하는 게 중요하다”고 짚는다. “윈도 컴퓨터는 우리가 하루 종일 다루는 것이다 보니 그쪽 생태계의 위험성에 대해서도 자연스럽게 생각하곤 합니다. 하지만 숨어 있는 장비와 OS들에는 생각이 미치지 않죠. 그러다 보니 보안에 소홀하게 되고요. 프린터를 사용할 때, 각종 사물인터넷을 살필 때마다 우리 회사에 윈도 말고 다른 기술들도 있다는 걸 되새기는 게 좋습니다. 그리고 공격자들이 그런 사실을 더 잘 알고 있다는 것도요.”

3줄 요약
1. 록빗이 연구하고 있던 새로운 샘플이 발견됨.
2. 뜯어보니 새로운 OS와 아키텍처를 공략하기 위해 만든 샘플들.
3. 임베디드 시스템에 대한 본격적인 공략이 시작된 것으로 보임.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
<보안뉴스>의 보안전문 기자들이 선정한 2024년 주요 보안 키워드 가운데 가장 파급력이 클 것으로 보는 이슈는?
점점 더 지능화되는 AI 보안 위협
선거의 해 맞은 핵티비즘 공격
더욱 강력해진 랜섬웨어 생태계
점점 더 다양해지는 신종 피싱 공격
사회기반시설 공격과 OT 보안 위협
더욱 심해지는 보안인력 부족 문제
제로트러스트와 공급망 보안
가속화되는 클라우드로의 전환과 이에 따른 보안위협
모바일 활용한 보인인증 활성화와 인증보안 이슈
AI CCTV의 역할 확대