Home > 전체기사

대형 IT 기업 코그니잔트, 메이즈 랜섬웨어에 당해 마비

  |  입력 : 2020-04-21 15:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
30만 명 이상의 임직원 보유한 포춘 500대 기업...메이즈에 당해 마비
메이즈는 데이터 암호화 전에 일부 빼돌리고, 유출시키겠다는 이중 협박으로 유명


[보안뉴스 문가용 기자] IT 서비스 부문 대기업인 코그니잔트(Cognizant)가 메이즈(Maze) 랜섬웨어에 감염돼 일부 서비스를 중단할 수밖에 없었다고 발표했다. 코그니잔트는 포춘지 선정 500대 기업에 포함되는 곳으로 30만 명 이상의 직원을 보유하고 있다. 이번 공격으로 인해 정확히 어떤 피해를 얼마나, 어떤 식으로 입었는지는 아직 불투명하다.

[이미지 = iclickart]


일단 코그니잔트 측은 웹사이트를 통해 “내부 보안 팀과 외부 보안 전문가들이 힘을 합해 사건을 해결하기 위해 애쓰고 있다”고 밝히며 “유관기관과도 협조 체계를 구축해 수사를 진행하고 있는 상황”이라고 공개했다. 이를 제일 먼저 보도한 IT 매체 블리핑컴퓨터는 메이즈 운영자들과 인터뷰를 진행했는데, 이들은 이번 공격과의 연관성을 전면 부인했다. 사실 메이즈는 자신들의 공격을 인정한 적이 거의 없는 단체다.

코그니잔트 측은 조사를 통해 알게 된 침해지표를 고객들에게 제공하고 있기도 한데, 블리핑컴퓨터의 보도에 따르면 kepstl32.dll, memes.tmp, maze.dll이라는 파일들과 관련된 서버의 IP 주소들이 지표 속에 포함되어 있다고 한다. 이 파일과 IP 주소들은 전부 이전 메이즈 랜섬웨어 공격들의 침해지표에 등장한 것들이다.

이에 보안 전문가 비탈리 크레메즈(Vitali Kremez)는 메이즈 랜섬웨어의 일부 특징들을 활용한 규칙을 생성함으로써 식별을 가능하게 해주는 야라 규칙(Yara rule)을 만들어 트위터로 공개하기도 했다. 트위터의 링크를 좇아가면 다음 깃허브(https://github.com/k-vitali/Malware-Misc-RE/blob/master/2020-04-18-maze-ransomware-unpacked-payload.vk.yar) 계정이 나온다.

메이즈 랜섬웨어는 2019년에 처음 발견된 것으로, 그 동안 플로리다 주 등을 마비시키며 악명을 떨쳐왔다. 특히 ‘이중 협박’ 기법을 사용하기 때문에 더욱 악랄하다. 이중 협박이란, 기존의 ‘돈을 내지 않으면 파일을 영영 쓸 수 없다’라는 협박을 진행하면서 동시에 ‘돈을 내지 않으면 데이터를 유출시킨다’까지 추가한 것을 말한다. 데이터를 암호화 하기 전에 빼돌리기 하는 수법이 메이즈부터 유행하기 시작했다고 전문가들은 보고 있다.

이중 협박 전략을 쓸 경우 방어자들은 백업을 충실하게 마련하고 있는 상황에서도 범인들의 요구를 들어줄 수밖에 없다. 작년 11월 얼라이드 유니버설(Allied Universal)이라는 기업이 이런 공격에 당했다. 당시 공격자들은 300 비트코인을 요구했으나 얼라이드 유니버설 측이 이를 거부하자 민감한 정보를 유출시키겠다고 협박했다.

메이즈 운영자들은 공격 현황을 게시하는 웹사이트까지 만들었다. 여기서 비협조적인 고객(피해자)의 명단을 게시하고 주기적으로 해당 고객들의 데이터를 공개한다. 여태까지 수십 개의 기업들이 ‘강제 정보 공개’를 당했다. 법률 사무소, 의료 기관, 보험 회사 등이 고루 포함되어 있다. 아직까지 이 사이트에 코그니잔트의 것으로 보이는 데이터는 보이지 않고 있다고 한다.

3줄 요약
1. IT 서비스 업체인 코그니잔트, 메이즈 랜섬웨어에 당함.
2. 공격과 관련된 세부 사항은 공개되지 않았지마니 메이즈는 ‘이중 협박’으로 유명.
3. 이중 협박이란 ‘데이터 암호화’와 ‘데이터 공개’라는 두 가지를 동시에 들이미는 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)