Home > 전체기사

한 달째 마비된 볼티모어, 랜섬웨어 뒤에는 NSA가 있었다

  |  입력 : 2019-05-28 11:14
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
로빈후드 랜섬웨어에 당한 볼티모어, 아직도 복구 작업 진행 중
랜섬웨어 퍼트린 건 NSA의 이터널블루라는 툴…제 도끼에 제 발 찍어


[보안뉴스 문가용 기자] 5월 7일 대대적인 랜섬웨어 공격에 당해 시 기능이 마비되다시피 한 볼티모어가 NSA의 이터널블루(EternalBlue)라는 해킹 툴에 당했다는 사실이 공개됐다. 이터널블루는 마이크로소프트의 윈도우 XP와 비스타에 존재하는 취약점을 익스플로잇 하는 도구로, 랜섬웨어가 이 도구를 타고 여기 저기 퍼진 것으로 나타났다.

[이미지 = iclickart]


이터널블루는 2017년 4월 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 공개한 것으로, 그 후 여러 사이버 공격자들이 악의적으로 활용했었다. 대표적인 사례가 워너크라이(WannaCry)와 낫페트야(NotPetya)다. MS는 이터널블루가 공개되자마자 취약점을 패치했다. 그러나 아직 많은 사용자들이 이 패치를 적용하지 않고 있다.

볼티모어 랜섬웨어 사건과 이터널블루와의 관계성을 제일 먼저 밝히고 보도한 건 뉴욕타임즈다. 해당 기사에서 타임즈는 “정부 기관은 기본적인 질문에조차 답을 하지 않고 있다”고 밝혔으며, 이 기사에 등장한 토마스 리드(Thomas Rid) 존스홉킨스대학 사이버 보안 전문가는 “정부 기관의 감독 체제는 실패하고 있으며, 국민들에게 답을 해야 할 의무가 있다”고 주장했다.

볼티모어 시는 지난 5월 7일 로빈후드(Robbinhood)라는 랜섬웨어에 감염됐다. 이 때 랜섬웨어 공격자들은 이터널블루를 사용해 멀웨어를 퍼트렸다. 볼티모어 시가 가지고 있던 서버 대부분이 마비됐고, 따라서 시의회의 각종 회의들이 취소됐다. 범인들은 협박 편지를 통해 한 시스템마다 3비트코인의 가격으로 복구시켜주겠다고 제안해왔다. 시스템 전체를 복구시키려면 13비트코인을 내라고 했다.

1주일 후 보안 업체 아머(Armor)는 볼티모어 네트워크에서 수집한 것으로 보이는 정보를 트위터에서 우연히 발견했다. 아머의 위협 첩보 전문가인 에릭 시포드(Eric Sifford)가 “5월 12일자 트윗 중 사용자 이름과 비밀번호 등 각종 민감한 정보와 관련된 내용을 포함하고 있는 것”을 발견했다며 “볼티모어 사건과 관련이 짙어 보였다”고 발표한 것이다. 해당 트위터 계정은 새로 만든 것이었으나, 아머는 계정 이름을 밝히지 않았다. 다만 로빈후드라는 단어가 있었다는 것만 공개했다.

“지금 시점에서 해당 트위터 계정이 진짜 범인들이 운영하고 있는 것인지, 누군가 악의적으로 장난을 치고 있는지 확신하기 어렵습니다. 다만 누군가 악의적으로 장난을 치는 것이라고 하더라도, 볼티모어 시 내부 문건에 대한 접근 권한이 있는 자의 소행인 것은 맞습니다.” 아머 측의 설명이다.

볼티모어의 시의회는 ‘사이버 보안 및 응급 대비 위원회(Committee on Cybersecurity and Emergency Preparedness)’를 만들고 시청 측에서 랜섬웨어 공격에 어떤 식으로 대응하는지 감독하기 시작했다. 그러나 아직 그 누구도 시 시스템의 완전 복구 시기를 예상조차 못하고 있다. 현재 유일하게 정상적으로 작동하고 있는 기능은 비상 사태 대응 서비스라고 한다.

여러 가지 비용 처리, 세금 관련 업무, 부동산 거래 등 시를 통해서 이뤄졌던 기능 대다수가 아직도 마비된 상태다. 이 때문에 볼티모어 시는 하청 업체나 계약자들에게 급여를 지급하지도 못하고 있다고 한다. 이러한 금전적인 문제들은 추가적인 소송으로 이어질 가능성이 있어, 볼티모어의 재앙은 아직도 그 끝이 보이지 않는다.

3줄 요약
1. 이번 달 초 랜섬웨어 겪은 볼티모어, 아직도 마비 상태 유지되고 있음.
2. 그런데 그 공격에 NSA가 만든 익스플로잇이 사용되었다는 사실이 밝혀짐.
3. 아직도 복구될 기미가 전혀 없고, 지불 관련 업무 지연되고 있어, 추가 소송 연이어 발생할 듯.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)