Home > 전체기사
미국 노스캐롤라이나의 상하수도청, 랜섬웨어 공격 받아
  |  입력 : 2018-10-17 12:26
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
허리케인이 지나간 자리에 랜섬웨어가 들어서
“범죄자들과 협조 안 한다”...데이터베이스 처음부터 다시 구축


[보안뉴스 문가용 기자] 미국 노스캐롤라이나의 온슬로 상하수도청(ONWASA)이 지난 달 미국 동부 해안을 휩쓸고 지나간 플로렌스 허리케인에 대한 피해를 복구하는 와중에 랜섬웨어 공격을 받았다.

[이미지 = iclickart]


ONWASA에 의하면 랜섬웨어 공격은 서버와 개인 장비 등 내부 컴퓨터 시스템을 노린 것으로 보이며, “감염된 시스템은 크게 제한된 기능만을 수행할 수 있는 상태가 됐다”고 한다. 하지만 사용자 데이터는 침해되지 않았으며 수도 공급에도 별다른 차질이 없었다. 다만 일부 데이터베이스에서 문제가 생겨 다시 만들어야 할 것으로 보인다.

사건은 10월 4일부터 시작됐다. 제일 먼저는 여러 가지 형태로 사용되는 멀웨어인 이모텟(Emotet)이 반복적으로 공격을 시도하는 게 탐지됐다. 이모텟은 고급 뱅킹 트로이목마이지만, 실제로는 추가 뱅킹 트로이목마를 다운로드 하는, 드로퍼의 형태로 가장 많이 활용된다. 즉 이모텟이 자꾸만 공격을 시도했다는 건 추가 멀웨어에 대한 위협도 예상할 수 있다는 뜻이 된다.

ONWASA는 이모텟의 공격 시도를 탐지하고, 공격을 성공적으로 방어할 수 있을 것으로 보았다. 외부 보안 인력을 섭외해 문제를 얼른 해결하고자 발 빠르게 움직이기도 했다. 하지만 10월 13일 상황은 악화됐다. 수많은 시도 끝에 이모텟이 류크(Ryuk)라는 랜섬웨어를 드롭하는 데 성공한 것이다. 류크는 고도의 ‘표적형 랜섬웨어’로 올해 처음 등장했다.

류크는 처음 등장했을 때 국제 조직들을 표적으로 삼아 공격하고 있었다. 기술적으로 그리 대단한 멀웨어는 아니었지만 피해는 크게 입힐 수 있었다. 류크를 ‘표적형 랜섬웨어’라고 분류하는 이유는, 스팸을 통해 마구 퍼지는 다른 랜섬웨어와 달리 맞춤형 공격에서만 사용되기 때문이다.

“암호화 알고리즘을 보면, 소규모 운영 시스템만을 의도적으로 노리고 있다는 걸 알 수 있습니다. 즉 표적으로 삼은 네트워크에 침투해서도 가장 치명적인 자산들에만 공격을 가하기 위해 설계된 것입니다. 또한 감염과 배포가 공격자들에 의해 수동적으로 이뤄집니다.” 보안 업체 체크포인트(Check Point)의 설명이다.

다행히 류크가 성공적으로 침투했을 때 ONWASA의 IT 담당자 중 한 명이 새벽 세 시까지 야간 근무 중이었다. 이 담당자는 류크를 발견하자마자 시스템을 오프라인으로 만들어 긴급 보호 조치를 취했다. 하지만 랜섬웨어가 너무 빨리 퍼져 데이터베이스와 파일들을 암호화하는 데 성공했다. ONWASA는 애틀랜타와 메클렌부르크 카운티 등에 있었던 랜섬웨어 공격과 비슷한 사례라고 보고했다.

랜섬웨어 공격자들은 ONWASA에 협박을 위해 연락을 취했다. 이를 바탕으로 ONWASA는 “공격자들이 해외에 있는 것으로 보인다”고 유추하고 있다. 또한 정부 기관과 주요 기업들을 겨냥한 이전의 랜섬웨어 공격 때 발견된 공격자들의 이메일 주소와 같다고 발표하기도 했다. 그러면서 “절대 범죄자들과 협상하지 않겠다”는 의지를 표명했다.

그래서 ONWASA는 “데이터베이스와 시스템을 처음부터 다시 구축”할 계획이다. 현재 ONWASA는 FBI, 국토안보부, 노스캐롤라이나 주, 몇몇 사이버 보안 업체들과 함께 이 사건을 수사 중에 있다.

ONWASA는 앞으로 수주 동안 시스템을 복구할 계획이다. 따라서 일부 서비스나 기능이 지연되거나 평소보다 오래 걸릴 수 있다고 발표했다. “일부 자동화 기능으로 해결되던 일들을 수동으로 진행해야 합니다. 최대한 빠르게 모든 시스템을 정상 복구시키기 위해 노력하고 있습니다.”

3줄 요약
1. 허리케인 지나갔더니 랜섬웨어가 덮친 노스캐롤라이나 주.
2. 이모텟이라는 유명한 드로퍼의 반복적인 공격이 선행됨.
3. 결국 악명 높은 표적형 랜섬웨어인 류크가 침투에 성공함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
데이터3법 통과로 데이터 보안의 중요성이 더욱 커지고 있는 가운데 귀사에서 사용하고 있는 DB암호화 솔루션의 만족도는 어느 정도인가요?
매우 만족
만족
보통
불만족
당장 바꾸고 싶다
올해 도입 예정
필요성을 못 느낀다
기타(댓글로)