Home > 전체기사

익스체인지 서버 패치 안 하면 랜섬웨어 놀이터 된다

  |  입력 : 2021-04-05 13:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
익스체인지 서버 사태가 대단위 랜섬웨어 공격으로 이어지고 있다. APT 단체가 미리 제로데이 익스플로잇으로 뚫어놓은 길을 아마추어 해커들까지 올라타고 있기 때문이다. 보통 이렇게까지 상황이 진전되면 일이 대단히 복잡해진다.

[보안뉴스 문가용 기자] 마이크로소프트 익스체인지 서버를 두고 속도 경쟁이 벌어지고 있는 상황이다. 기업과 기관들이 먼저 패치를 적용하느냐, 공격자들이 먼저 패치 적용 전의 서버를 찾아내 멀웨어를 심느냐의 싸움이 치열하다. 취약한 서버에 먼저 도착한 공격자들은 현재 랜섬웨어를 주로 심고 있다고 한다.

[이미지 = Pixabay]


익스체인지 서버에 랜섬웨어가 심기고 있다는 소식이 제일 처음 나온 건 3월 12일의 일이다. 마이크로소프트가 공식 패치를 발표하고서 열흘이 지난 시점에서다. 그러고서는 익스체인지 서버의 제로데이를 노리는 랜섬웨어 공격자들의 활동이 급증하고 있다는 경고가 여기 저기서 나오기 시작했다. 급기야 3월 30일에는 랜섬웨어 공격 시도 회수가 5만 번을 넘어선 것으로 집계됐다.

랜섬웨어 공격자들이 가장 많이 노리는 곳은 정부와 국방 분야, 제조업, 은행과 금융 산업이라고 보안 업체 체크포인트(Check Point)가 발표했다. 피해가 가장 큰 국가는 미국으로, 모든 공격 시도의 49%가 미국 조직을 겨냥한 것으로 나타났다. 그 다음은 영국(5%), 네덜란드(4%), 독일 순이었다.

가장 먼저 눈에 띈 랜섬웨어는 디어크라이(DearCry) 혹은 도조크립트(DoejoCrypt)라는 것으로, 원본 파일들을 먼저 복사한 후 암호화를 진행하고, 암호화 완료 후 원본 파일들을 삭제하는 방식으로 공격한다. 이는 과거 워너크라이(WannaCry)가 보여주었던 공격 순서이기도 하다. 디어크라이는 주로 차이나 초퍼(China Chopper)라는 웹셸을 통해 피해자 시스템으로 전달되는 것으로 분석됐다.

디어크라이가 파일을 암호화 한 후 부착하는 헤더 역시 워너크라이 공격에서 발견됐던 헤더와 비슷하다고 보안 업체 소포스(Sophos)가 발표했다. 엔지니어링 국장인 마크 로만(Mark Loman)은 자사 블로그를 통해 “우연일 가능성은 낮다”고 밝혔다. 여기에 더해 디어크라이의 바이너리에는 백신에 대한 방어 체제가 하나도 없었고, 모든 랜섬웨어 텍스트 문자열이 있는 그대로 노출되어 있었다고도 한다.

두 번째 랜섬웨어, 블랙킹덤
3월 18일 목요일, 소포스는 또 다른 랜섬웨어 조직의 움직임을 포착했다. “IT 팀들이 휴식을 취하거나 당번들만 남아 있어 보안이 허술한 틈을 주로 노리고 있습니다. 그래서 주말에 주로 활동이 포착됩니다.” 즉 취약한 익스체인지 서버를 보유하고 있으면서 패치도 하지 않고, 주말에 모니터링 요원을 운영하지 않는 조직이라면 이 두 번째 랜섬웨어 공격에 당할 가능성이 높다는 것이다. 이 공격자들에게는 블랙킹덤(Black Kingdom)이라는 이름이 붙었다.

소포스에 의하면 블랙킹덤은 대단히 ‘아마추어스럽고 유치하다’고 한다. “이번 익스체인지 사태에 대하여 알게 된 아마추어 해커들이 급하게 만들어낸 것으로 보입니다. 블랙킹덤은 파이선으로 작성됐으며, 오리지널 소스코드가 랜섬웨어 바이너리 내부에 그대로 남아 있도록 컴파일링 되었습니다.”

블랙킹덤 공격자들의 ‘아마추어스러움’은 파일 암호화 방식에서도 드러난다. “보통 랜섬웨어들은 파일을 암호화 할 때 독특한 파일 확장자 이름을 붙입니다. 그래야 중복돼서 암호화 되는 일이 발생하지 않거든요. 하지만 블랙킹덤은 파일 확장자를 무작위로 정합니다. 사실 랜섬웨어 공격자들 사이에서 거의 발견하기 힘든 공격 패턴입니다. 또한 암호화가 중복돼서 진행되는지조차 확인하지 않습니다.”

블랙킹덤은 피해자들에게 약 1만 달러의 돈을 요구한다. 오늘날 랜섬웨어 공격자들에 비하면 낮은 금액이다. 로만은 “이렇게까지나 초보 티를 팍팍 내는 공격자들까지 달려들고 있다는 건, 익스체인지 서버 사태가 그만큼 위험하다는 뜻”이라고 경고한다. “하프늄(Hafnium)이라는 PT 단체가 길을 뚫어놓으니까 아마추어들이 그 길을 그대로 따라가고 있죠. 사이버 공격이 악화되는 전형적인 패턴입니다. 앞으로도 계속해서 새로운 공격자들의 새로운 시도가 이어질 것입니다.”

3줄 요약
1. 익스체인지 서버 사태, 랜섬웨어 공격자들의 놀이터 되는 중.
2. 패치 발표나고서 불과 열흘 뒤부터 공격들이 여기 저기서 발견됨.
3. 초보 수준의 아마추어들까지 참전한 상황.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 주요 보안 위협 트렌드 가운데 올해 말까지 가장 큰 위협이 될 것으로 전망되는 트렌드 한 가지만 꼽아주신다면?
산업 전반에 영향 미치는 타깃형 랜섬웨어 공격 증가
다크웹/딥웹 등을 통한 기업 주요 정보 유출 및 판매 피해 급증
북한/중국/러시아 등 국가지원 해킹그룹의 위협 확대
코로나 팬더믹 등 사회적 이슈 악용한 사이버 공격
서드파티 SW나 조직 인프라 솔루션을 통한 공급망 공격 증가
업무 메일로 위장한 정보유출형 악성코드 활개
기타(댓글로)