Home > 전체기사
샤문의 후계자? 중동에서 기승부리는 파괴형 멀웨어 제로클리어
  |  입력 : 2019-12-05 14:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
사우디 아람코 파괴했었던 샤문과 닮은 듯 다른 제로클리어...1400여개 조직 당해
최근 6개월 간 파괴형 사이버 공격 200% 증가해...적국 있는 모든 나라가 조심해야


[보안뉴스 문가용 기자] 이란에서 활동하는 것으로 보이는 해킹 단체가 중동의 에너지 산업을 노리고 파괴형 멀웨어인 샤문(Shamoon)을 뿌리기 시작했다고 IBM의 엑스포스(X-Force) 팀이 경고했다. 샤문은 몇 년 전 세계 최대의 석유 회사인 사우디 아람코(Saudi Aramco)의 윈도우 시스템 3만 5천여 대를 파괴시킨 멀웨어다.

[이미지 = iclickart]


하지만 엑스포스 팀이 이번 보고서에서 사용한 이름은 샤문이 아니라 제로클리어(ZeroCleare)다. 샤문과 여러 가지 면에서 비슷하지만 완전히 똑같지는 않다고 설명한다. “분석했을 때 코드까지 같은 멀웨어는 아니었습니다. 다만 관계성은 충분히 의심해봄직 한 수준입니다.” IBM의 보안 고문인 리모 케셈(Limor Kessem)의 설명이다.

샤문과 마찬가지로 제로클리어 역시 마스터 부트 레코드(MBR)를 덮어쓰기 함으로써 데이터를 삭제하고 시스템을 아예 벽돌로 만든다. 이를 위해 샤문과 제로클리어 모두 엘도스 로디스크(EldoS RawDisk)라는 정상 툴킷을 사용하는 것도 동일하다. 엘도스는 파일, 디스크, 파티션 관리 도구의 일종이다.

현재까지 드러난 정보에 의하면 제로클리어를 활용하고 있는 공격자는 APT34 혹은 오일리그(OilRig)라고 알려진 공격 단체와, 또 다른 이란 해킹 단체라고 한다. “먼저는 오일리그가 공격 표적이 되는 곳의 시스템에 접근할 수 있도록 길을 뚫습니다. 그러면 제2의 단체가 등장해서 제로클리어를 작동시킵니다. 주로 중동 여러 나라의 사회 기반 시설을 마비시키기 위해 이러한 활동이 진행되고 있습니다.”

케셈은 “특히 석유 관련 시설이 주요 표적이 되고 있다”고 설명한다. “산유국이 대부분인 중동 국가로서는 석유 관련 시설이 일시적으로라도 마비되면 전 국가적인 피해가 발생합니다. 이 공격은 금전적인 이득을 취하는 게 아니라 상대에게 순수 피해를 주기 위해서 자행되는 거라고 볼 수 있습니다. 현재까지 최소 1400개의 호스트들이 제로클리어에 당한 것으로 집계됩니다.”

샤문 역시 2012년 처음 등장해 어마어마한 피해를 입혔다. 가장 마지막에 등장한 건 2018년 12월로, 지난 1년 동안 잠잠했었다. 그 전에도 2년 동안 자취를 감췄다가 갑자기 등장한 것이었다. 처음이나 중간이나 마지막이나 샤문은 주구장창 중동의 조직들을 노리고 MBR을 지워댔다.

엑스포스 팀이 분석한 바에 따르면 제로클리어는 32비트 시스템과 64비트 시스템 모두에서 작동한다. 하지만 작동 원리는 조금 다르다. “64비트 윈도우 시스템은 마이크로소프트가 서명한 드라이버들만 장비에서 돌아가도록 조정합니다. 따라서 엘도스 로디스크처럼 서명되지 않은 드라이버는 64비트에서 실행될 수 없는 게 정상입니다. 그래서 공격자들은 먼저 서명이 되긴 했지만 취약한 드라이버를 먼저 실행시키고, 그 취약점을 익스플로잇 해서 엘도스 로디스크를 로딩합니다. 그 후 MBR 삭제가 시작되죠.”

제로클리어와 같은 ‘파괴형 사이버 공격'은 꾸준히 증가하고 있는 추세다. 케셈은 “지난 6개월 동안 약 200% 증가했다”고 설명한다. “금전적인 목적을 가진 공격자나 정치적인 목적을 가진 공격자나 파괴형 멀웨어를 모두 활용할 수 있습니다. 디스크를 지워놓고 피해자에게 다시 살릴 수 있다고 협박하면서 돈을 요구할 수도 있고, 외교적 적국에 사회적 피해를 일으키고 사라지기도 하죠. 어떤 경우든 피공격자에게 심각한 피해를 입히는 건 마찬가지입니다.”

또한 케셈은 “이게 비단 중동에만 국한된 문제는 아니”라고 강조하기도 했다. “세상 거의 모든 나라들이 적대적 국가를 두고 있습니다. 또한 사이버 공격은 나라와 지역마다 조금씩 다르긴 하지만 큰 흐름을 유행처럼 타기도 합니다. 따라서 모든 지역의 모든 나라들이 삭제형 멀웨어에 대한 방어 대책을 강구해야 합니다. 사건 대응 계획을 마련하고, 모니터링을 강화하며, 보안 교육을 심화시키는 것이 중요합니다.”

케셈은 “현재까지 나타난 파괴형 공격 중 대부분은 약한 크리덴셜로 보호 및 관리되고 있던 권한 높은 계정들을 침해하는 것부터 시작됐다”고 귀띔을 하기도 했다. “그 계정에서부터 네트워크 내에서 횡적으로 움직이고, 필요한 곳에 접근해 디스크를 삭제하는 순서로 일이 진행됐습니다. 권한 높은 계정을 관리하는 것도 중요한 대비책입니다.”

3줄 요약
1. 최근 중동에서 샤문과 닮은 제로클리어 멀웨어 기승 중.
2. 샤문과 제로클리어 모두 마스터 부트 레코드(MBR) 삭제.
3. 중동에서 주로 발생하지만, 사이버 공격은 유행을 타므로 다른 나라도 조심해야 할 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)