Home > 전체기사
최근 랜섬웨어 공격자들 사이에서 떠오르는 관심사, MSP
  |  입력 : 2019-06-24 11:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
많은 기업 고객 두고 있는 MSP 업체들, 최근 랜섬웨어에 걸려
파급력 커서 범인들로서는 돈 받을 확률 높아…높은 금액이 걸려 있기도 해


[보안뉴스 문가용 기자] 최근에만 벌써 두 개의 관리 서비스 제공업체(MSP)가 랜섬웨어에 당했다. 아직 이번 사건에 대한 상세한 정보나, 피해 업체들의 이름은 공개되지 않고 있지만, 공격자들은 MSP 업체의 원격 관리 툴 두 개에 불법적으로 접근하는 데 성공한 것으로 보인다. 하나는 웹루트(Webroot)가 만든 것이고, 다른 하나는 카세야(Kaseya)가 개발한 것으로 보인다.

[이미지 = iclickart]


해외 대형 커뮤니티인 레딧(Reddit)에 달린 한 보안 전문가의 댓글에 따르면 이번 공격에 당한 MSP는 이름이 제법 알려진 큰 업체이며, 많은 고객들이 이번 사건의 영향을 받았다고 한다. 하지만 아직 이 전문가의 신원이 제대로 밝혀진 바는 없다.

MSP에 보안 서비스를 제공하는 업체인 헌트레스 랩스(Huntress Labs)의 보안 연구원이라고 밝힌 또 다른 인물은 레딧을 통해 “공격자들이 웹루트에서 만든 원격 관리 콘솔로 공격한 것이 확인됐다”고 댓글을 달았다. 이 사람은 “해당 콘솔을 통해 보통 관리자들이 장비를 원격에서 관리하는데, 공격자들이 이 콘솔로 파워셸 기반의 페이로드를 실행시켰고, 이 파워셸 페이로드가 랜섬웨어를 다운로드 했다”는 설명도 덧붙였다.

헌트레스 랩스의 이 전문가는 “데이터를 암호화 시키고, 섀도 복사본도 전부 삭제하는 기능을 가진 랜섬웨어, 소디노키비(Sodinokibi)가 사용됐을 가능성이 가장 높다”고 주장했다.

헌트레스 랩스의 CEO인 카일 한슬로반(Kyle Hanslovan)은 “이번 MSP 랜섬웨어 사건으로 인해 영향을 받은 고객(MSP 회사의 고객, 즉 헌트레스 랩스의 고객의 고객)이 연락을 해왔다”며 “웹루트 관리 콘솔의 로그를 넘겨주며 분석을 의뢰했다”고 밝혔다. “아직까지 공격자가 어떤 방식으로 웹루트 콘솔에 접근했는지는 알지 못합니다.”

하지만 해당 로그를 분석했을 때 다른 정보를 알아낼 수는 있었다. “타임스탬프를 보면, 공격자가 웹루트의 콘솔을 통해 악성 페이로드를 빠르게 다운로드 받고, 이를 콘솔과 연결된 모든 장비에 빠르게 심었다는 걸 알 수 있습니다. 속도를 보면 자동화 기술이 사용된 것이 거의 확실합니다. 저희에게 분석을 의뢰한 기업의 경우 총 67대의 컴퓨터가 랜섬웨어에 걸렸다고 합니다만, 피해의 전체적인 규모는 파악 중에 있습니다.”

헌트레스 랩스는 이 사건이 있은 후 웹루트 측이 고객들에게 보낸 이메일의 복사본을 게시했다. 원격 관리 포털의 경우 이중인증이 반드시 적용되게끔 체제를 변환한다는 내용이었다. 또한 웹루트는 “보다 일관적이고 괜찮은 사이버 위생 습관을 가졌다면 걸리지 않았을” 이 랜섬웨어가 웹루트의 고객 “소수에 영향을 미쳤을 뿐”이라고도 설명한 것으로 나타났다.

우회적으로 고객을 비판한 것인데, 동시에 “피해 복구를 서두르기 위해 고객들 및 필요한 외부 인력에 협조를 요청한 상태”라고 안심시키려는 말을 덧붙이기도 했다. 공지가 나가고 얼마 지나지 않아 웹루트는 자동화 콘솔 로그오프를 일괄적으로 실시했다. 약속했던 이중인증 로그인 방식을 콘솔에 적용하기 위해서였다.

MSP를 대상으로 보안과 컨설팅 서비스를 제공하는 또 다른 업체 UBX 클라우드(UBX Cloud)의 보안 전문가 한 사람도 레딧을 통해 “랜섬웨어 공격자들이 카세야에서 만든 원격 모니터링 및 관리 툴을 사용해 랜섬웨어를 퍼트리고 있다”는 내용의 게시글을 올리기도 했다.

“카세야 툴의 자동화 기능을 사용해 공격자들이 표적 시스템에 배치 파일을 심었고, 파워셸 등의 방법을 사용해 그 배치 파일을 실행시킨 것으로 보입니다. 이 사건의 경우도 피해자 측의 이중인증 사용 흔적을 발견할 수 없었습니다.”

카세야의 CTO인 존 듀란트(John Durant)도 곧 이 사건이 실제로 발생했다는 걸 인정했다. “랜섬웨어 공격자들이 카세야의 제품을 통해 일부 고객들의 디지털 자원에 피해를 입혔습니다. 공격자들은 이미 과거에 침해했던 크리덴셜을 사용해 접근한 것으로 보입니다.”

지난 2월에도 한 MSP가 랜섬웨어의 공격을 받았던 적이 있다. 이 MSP의 고객들이 사용하고 있던 컴퓨터 1500~2000여 대가 갠드크랩(GandCrab)에 걸려 마비됐다. 이 사건을 일으킨 공격자들도 카세야에서 만든 원격 모니터링 및 관리 툴을 활용해 갠드크랩을 퍼트린 것으로 밝혀졌다. 즉 이번 사건과 많은 면에서 흡사한 것이다.

듀란트는 “최근 랜섬웨어 공격자들이 MSP 업체들에 관심을 갖기 시작했다”고 경고했다. MSP 한 군데만 노리면 여러 회사에 영향을 줄 수 있고, 따라서 범인이 요구하는 돈을 낼 확률이 높기 때문이라고 그는 설명한다. “그렇다보니 요구할 수 있는 금액도 높은 게 보통이고요. 랜섬웨어가 산업화 됨에 따라 공격 방식과 표적 설정 등이 더 합리적이고 체계적으로 변하고 있습니다.”

3줄 요약
1. 최근 랜섬웨어 공격자들, MSP 업체 노린다.
2. MSP가 사용하는 ‘원격 관리 툴’을 통해 침투해 들어가고, 랜섬웨어 퍼트리는 경우 많음.
3. MSP와 원격 관리 툴 제조사들은 이중인증 등의 보다 강력한 보안 방안 도입해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
7월 1일부터 주 52시간 근무제가 확대 시행됩니다. 보안종사자로서 여러분의 근무시간은 어느 정도 되시나요?
주 32시간 이하
주 40시간
주 48시간
주 52시간
주 58시간
주 60시간 이상
기타(댓글로)
      

티제이원
PTZ 카메라

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

비전정보통신
IP카메라 / VMS / 폴

대명코퍼레이션
DVR / IP카메라

쿠도커뮤니케이션
스마트 관제 솔루션

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

AVIBILON
영상 보안 / 출입 통제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

한국씨텍
PTZ CCTV

슈프리마
출입통제 / 얼굴인식

트루엔
IP 카메라

디비시스
CCTV토탈솔루션

에스카
CCTV / 영상개선

엔토스정보통신
DVR / NVR / CCTV

씨오피코리아
CCTV 영상 전송장비

CCTV프랜즈
CCTV

티에스아이솔루션
출입 통제 솔루션

구네보코리아
보안게이트

옵티언스
IR 투광기

디케이솔루션
메트릭스 / 망전송시스템

지와이네트웍스
CCTV 영상분석

KPN
안티버그 카메라

베일리테크
랜섬웨어 방어솔루션

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

두레옵트로닉스
카메라 렌즈

퍼시픽솔루션
IP 카메라 / DVR

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

지에스티엔지니어링
게이트 / 스피드게이트

케이티앤씨
CCTV / 모듈 / 도어락

창우
폴대

수퍼락
출입통제 시스템

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

싸이닉스시스템즈
스피드 돔 카메라

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

인사이트테크놀러지
방폭카메라

유진시스템코리아
팬틸트 / 하우징

카티스
출입통제 / 외곽경비

넷플로우
IP인터폰 / 방송시스템

글로넥스
카드리더 / 데드볼트

세환엠에스
시큐리티 게이트

화인박스
콘트롤박스 / 배전향