Home > 전체기사

미국 노스캐롤라이나의 상하수도청, 랜섬웨어 공격 받아

  |  입력 : 2018-10-17 12:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
허리케인이 지나간 자리에 랜섬웨어가 들어서
“범죄자들과 협조 안 한다”...데이터베이스 처음부터 다시 구축


[보안뉴스 문가용 기자] 미국 노스캐롤라이나의 온슬로 상하수도청(ONWASA)이 지난 달 미국 동부 해안을 휩쓸고 지나간 플로렌스 허리케인에 대한 피해를 복구하는 와중에 랜섬웨어 공격을 받았다.

[이미지 = iclickart]


ONWASA에 의하면 랜섬웨어 공격은 서버와 개인 장비 등 내부 컴퓨터 시스템을 노린 것으로 보이며, “감염된 시스템은 크게 제한된 기능만을 수행할 수 있는 상태가 됐다”고 한다. 하지만 사용자 데이터는 침해되지 않았으며 수도 공급에도 별다른 차질이 없었다. 다만 일부 데이터베이스에서 문제가 생겨 다시 만들어야 할 것으로 보인다.

사건은 10월 4일부터 시작됐다. 제일 먼저는 여러 가지 형태로 사용되는 멀웨어인 이모텟(Emotet)이 반복적으로 공격을 시도하는 게 탐지됐다. 이모텟은 고급 뱅킹 트로이목마이지만, 실제로는 추가 뱅킹 트로이목마를 다운로드 하는, 드로퍼의 형태로 가장 많이 활용된다. 즉 이모텟이 자꾸만 공격을 시도했다는 건 추가 멀웨어에 대한 위협도 예상할 수 있다는 뜻이 된다.

ONWASA는 이모텟의 공격 시도를 탐지하고, 공격을 성공적으로 방어할 수 있을 것으로 보았다. 외부 보안 인력을 섭외해 문제를 얼른 해결하고자 발 빠르게 움직이기도 했다. 하지만 10월 13일 상황은 악화됐다. 수많은 시도 끝에 이모텟이 류크(Ryuk)라는 랜섬웨어를 드롭하는 데 성공한 것이다. 류크는 고도의 ‘표적형 랜섬웨어’로 올해 처음 등장했다.

류크는 처음 등장했을 때 국제 조직들을 표적으로 삼아 공격하고 있었다. 기술적으로 그리 대단한 멀웨어는 아니었지만 피해는 크게 입힐 수 있었다. 류크를 ‘표적형 랜섬웨어’라고 분류하는 이유는, 스팸을 통해 마구 퍼지는 다른 랜섬웨어와 달리 맞춤형 공격에서만 사용되기 때문이다.

“암호화 알고리즘을 보면, 소규모 운영 시스템만을 의도적으로 노리고 있다는 걸 알 수 있습니다. 즉 표적으로 삼은 네트워크에 침투해서도 가장 치명적인 자산들에만 공격을 가하기 위해 설계된 것입니다. 또한 감염과 배포가 공격자들에 의해 수동적으로 이뤄집니다.” 보안 업체 체크포인트(Check Point)의 설명이다.

다행히 류크가 성공적으로 침투했을 때 ONWASA의 IT 담당자 중 한 명이 새벽 세 시까지 야간 근무 중이었다. 이 담당자는 류크를 발견하자마자 시스템을 오프라인으로 만들어 긴급 보호 조치를 취했다. 하지만 랜섬웨어가 너무 빨리 퍼져 데이터베이스와 파일들을 암호화하는 데 성공했다. ONWASA는 애틀랜타와 메클렌부르크 카운티 등에 있었던 랜섬웨어 공격과 비슷한 사례라고 보고했다.

랜섬웨어 공격자들은 ONWASA에 협박을 위해 연락을 취했다. 이를 바탕으로 ONWASA는 “공격자들이 해외에 있는 것으로 보인다”고 유추하고 있다. 또한 정부 기관과 주요 기업들을 겨냥한 이전의 랜섬웨어 공격 때 발견된 공격자들의 이메일 주소와 같다고 발표하기도 했다. 그러면서 “절대 범죄자들과 협상하지 않겠다”는 의지를 표명했다.

그래서 ONWASA는 “데이터베이스와 시스템을 처음부터 다시 구축”할 계획이다. 현재 ONWASA는 FBI, 국토안보부, 노스캐롤라이나 주, 몇몇 사이버 보안 업체들과 함께 이 사건을 수사 중에 있다.

ONWASA는 앞으로 수주 동안 시스템을 복구할 계획이다. 따라서 일부 서비스나 기능이 지연되거나 평소보다 오래 걸릴 수 있다고 발표했다. “일부 자동화 기능으로 해결되던 일들을 수동으로 진행해야 합니다. 최대한 빠르게 모든 시스템을 정상 복구시키기 위해 노력하고 있습니다.”

3줄 요약
1. 허리케인 지나갔더니 랜섬웨어가 덮친 노스캐롤라이나 주.
2. 이모텟이라는 유명한 드로퍼의 반복적인 공격이 선행됨.
3. 결국 악명 높은 표적형 랜섬웨어인 류크가 침투에 성공함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)