Home > 전체기사
대형 IT 기업 코그니잔트, 메이즈 랜섬웨어에 당해 마비
  |  입력 : 2020-04-21 15:57
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
30만 명 이상의 임직원 보유한 포춘 500대 기업...메이즈에 당해 마비
메이즈는 데이터 암호화 전에 일부 빼돌리고, 유출시키겠다는 이중 협박으로 유명


[보안뉴스 문가용 기자] IT 서비스 부문 대기업인 코그니잔트(Cognizant)가 메이즈(Maze) 랜섬웨어에 감염돼 일부 서비스를 중단할 수밖에 없었다고 발표했다. 코그니잔트는 포춘지 선정 500대 기업에 포함되는 곳으로 30만 명 이상의 직원을 보유하고 있다. 이번 공격으로 인해 정확히 어떤 피해를 얼마나, 어떤 식으로 입었는지는 아직 불투명하다.

[이미지 = iclickart]


일단 코그니잔트 측은 웹사이트를 통해 “내부 보안 팀과 외부 보안 전문가들이 힘을 합해 사건을 해결하기 위해 애쓰고 있다”고 밝히며 “유관기관과도 협조 체계를 구축해 수사를 진행하고 있는 상황”이라고 공개했다. 이를 제일 먼저 보도한 IT 매체 블리핑컴퓨터는 메이즈 운영자들과 인터뷰를 진행했는데, 이들은 이번 공격과의 연관성을 전면 부인했다. 사실 메이즈는 자신들의 공격을 인정한 적이 거의 없는 단체다.

코그니잔트 측은 조사를 통해 알게 된 침해지표를 고객들에게 제공하고 있기도 한데, 블리핑컴퓨터의 보도에 따르면 kepstl32.dll, memes.tmp, maze.dll이라는 파일들과 관련된 서버의 IP 주소들이 지표 속에 포함되어 있다고 한다. 이 파일과 IP 주소들은 전부 이전 메이즈 랜섬웨어 공격들의 침해지표에 등장한 것들이다.

이에 보안 전문가 비탈리 크레메즈(Vitali Kremez)는 메이즈 랜섬웨어의 일부 특징들을 활용한 규칙을 생성함으로써 식별을 가능하게 해주는 야라 규칙(Yara rule)을 만들어 트위터로 공개하기도 했다. 트위터의 링크를 좇아가면 다음 깃허브(https://github.com/k-vitali/Malware-Misc-RE/blob/master/2020-04-18-maze-ransomware-unpacked-payload.vk.yar) 계정이 나온다.

메이즈 랜섬웨어는 2019년에 처음 발견된 것으로, 그 동안 플로리다 주 등을 마비시키며 악명을 떨쳐왔다. 특히 ‘이중 협박’ 기법을 사용하기 때문에 더욱 악랄하다. 이중 협박이란, 기존의 ‘돈을 내지 않으면 파일을 영영 쓸 수 없다’라는 협박을 진행하면서 동시에 ‘돈을 내지 않으면 데이터를 유출시킨다’까지 추가한 것을 말한다. 데이터를 암호화 하기 전에 빼돌리기 하는 수법이 메이즈부터 유행하기 시작했다고 전문가들은 보고 있다.

이중 협박 전략을 쓸 경우 방어자들은 백업을 충실하게 마련하고 있는 상황에서도 범인들의 요구를 들어줄 수밖에 없다. 작년 11월 얼라이드 유니버설(Allied Universal)이라는 기업이 이런 공격에 당했다. 당시 공격자들은 300 비트코인을 요구했으나 얼라이드 유니버설 측이 이를 거부하자 민감한 정보를 유출시키겠다고 협박했다.

메이즈 운영자들은 공격 현황을 게시하는 웹사이트까지 만들었다. 여기서 비협조적인 고객(피해자)의 명단을 게시하고 주기적으로 해당 고객들의 데이터를 공개한다. 여태까지 수십 개의 기업들이 ‘강제 정보 공개’를 당했다. 법률 사무소, 의료 기관, 보험 회사 등이 고루 포함되어 있다. 아직까지 이 사이트에 코그니잔트의 것으로 보이는 데이터는 보이지 않고 있다고 한다.

3줄 요약
1. IT 서비스 업체인 코그니잔트, 메이즈 랜섬웨어에 당함.
2. 공격과 관련된 세부 사항은 공개되지 않았지마니 메이즈는 ‘이중 협박’으로 유명.
3. 이중 협박이란 ‘데이터 암호화’와 ‘데이터 공개’라는 두 가지를 동시에 들이미는 것.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)