Home > 전체기사

카세야, “레빌에 돈 내고 복호화 키 산 것 아니다”

  |  입력 : 2021-07-27 11:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
7월 초 발생한 카세야 사태의 해결책이 등장했다. 복호화 키가 나온 것이다. 하지만 카세야는 이 키의 출처를 명확히 밝히지 않고 있다. 때문에 돈을 냈다는 추측이 나오고 있는데, 카세야는 절대 그러지 않았다고 일축한다.

[보안뉴스 문가용 기자] 7월 2일 전 세계는 유례없는 대규모 랜섬웨어 공격에 깜짝 놀랐다. MSP 업체들 사이에서 널리 사용되는 소프트웨어인 카세야 VSA(Kaseya VSA)를 통해 레빌(REvil) 랜섬웨어가 세계 곳곳으로 퍼진 것이다. 그런 일이 있은 후 3주 후, 돌연 카세야 측은 유니버설 복호화 키를 손에 넣었다고 알리며 NDA 계약을 체결하는 고객사에 제공해 주겠다고 발표했다.

[이미지 = utoimage]


하지만 카세야는 복호화 키를 어디서 구했는지, 누가 개발한 것인지, 아무 것도 밝히지 않고 있다. 게다가 레빌 랜섬웨어 운영자들도 갑자기 자취를 감춘 상태라 카세야가 범인들에게 돈을 냈다고 보기 힘든 상황이었다. 그런 상황에서 카세야는 “범인들에게 돈을 지급한 건 절대 아니”라고 발표했다. 직접적이든 간접적이든, 범인들에게 카세야의 돈이 들어가지 않았다고 재차 강조했다. 복호화 키의 성공률이 100%라는 설명도 덧붙었다.

7월 2일 발생한 ‘카세야 사태’는 레빌이라는 사이버 범죄 갱단이 카세야 VSA라는 소프트웨어의 취약점을 익스플로잇 하면서 발생했다. 레빌은 50~70개의 VSA 서버에 접근할 수 있었던 것으로 보이는데, 이 서버들 대부분 MSP 업체들이 사용하고 있던 것들이었다. MSP의 특성상 서버들 모두 인터넷에 직접 연결되어 있기도 했다. 레빌은 이 서버에 연결되어 있던 고객사들에 손을 뻗쳤고, 이로써 약 1500개 기업들이 레빌에 감염됐다. 공격자들은 7천만 달러를 요구했다.

네덜란드의 취약점 관리 기구인 DIVD에 의하면 공격자들이 감염시킬 수 있었던 서버나 기업들은 1500개보다 훨씬 더 많았다고 한다. 이번 공격에 악용된 취약점을 이미 4월에 카세야 측에 알렸던 DIVD는 인터넷 스캔을 통해 취약한 서버가 2200대 이상 인터넷에 연결되어 있음을 발견할 수 있었다고 한다. 50~70개 서버를 공략해 1500개 기업을 감염시켰는데, 2200개를 전부 공격했다면 어땠을까? DIVD는 상상을 초월하는 규모의 피해가 있을 수 있었다고 말한다.

DIVD는 블로그 게시글을 통해 “왜 그들이 공격 규모를 축소시켰는지 알 수 없다”며 “확실한 건 공격자들의 ‘힘 조절’ 덕분에 많은 기업들이 운 좋게 살아났다는 것”이라고 지적한다. 보안 업체 헌트레스 랩스(Huntress Labs)의 수석 연구원인 존 하몬드(John Hammond)는 “보안이 튼튼했다거나 방비가 좋아서 피해를 예방한 게 아니라 온전히 공격자들 덕분에 피해가 작았다는 건 크게 고민해 봐야 할 문제”라고 말한다. “이래서는 다음 공격을 막을 수 있다고 자신 있게 말할 수 없기 때문입니다.”

DIVD와 카세야는 카세야 사태가 일어나기 전에 보안 취약점을 해결하기 위한 패치를 개발하고 있었다. 안타깝게도 공격자가 한 발 빨라 패치가 개발 완료되고 배포가 되기 직전에 사태가 발생했다. 사태가 일어나고 수많은 피해가 발생하고 나서야 패치는 배포되기 시작했다. 사건 발생 후 9일만의 일이었다. 그리고 지난 주말 복호화 키가 등장하기 전까지 MSP들은 서버를 패치하고 고객의 데이터를 복구하기 위해 모든 방법을 동원하고 있었고, 레빌이 요구한 돈을 누가 내야 하느냐는 문제가 논의되기 시작했다.

헌트레스 랩스의 공동 창립자인 크리스 비즈넷(Chris Bisnett)은 “복호화 키가 조금 더 빨리 나왔으면 좋았을 걸”이라고 말한다. “이미 3주나 지난 시점이라 피해자들 대부분 정상적인 복호화를 포기하고 백업 파일을 사용해 복구한 상황이었습니다. 3주나 복호화 키를 기다리면서 사업을 중단할 업체는 어디에도 없지요. 아예 처음부터 시작하는 곳도 있었을 것이고요. 없는 것보다 낫겠지만, 7월 2일의 피해자들의 경우 이번 복호화 키는 크게 유용하지 않을 겁니다.”

비즈넷은 카세야가 FBI나 그 외 첩보 기관들로부터 복호화 키를 받았을 가능성을 높게 보고 있다. 특히 미국과 러시아의 대통령이 레빌을 합동으로 잡겠다고 약속한 시점에 갑자기 레빌이 사라진 것 때문에 더 그렇게 생각할 수밖에 없다는 입장이다. 하지만 미국과 러시아 정부는 레빌이 사라진 것에 대해 ‘아무 것도 모른다’고 발표했었다.

카세야는 이 부분을 명확히 밝히고 있지 않다. “카세야는 복호화 키를 입수한 시점부터 최대한 빠르게 움직여 고객들의 복구 작업을 돕고자 했습니다. 사태 발발 후 저희가 침묵하던 기간이 길어 레빌과 협상을 진행 중이라는 추측이 나오던 걸 알고 있습니다만 이는 전혀 사실이 아닙니다. 랜섬웨어 공격자들에게 돈을 낸다는 건 그들을 육성하는 것이나 다름없다는 걸 저희는 잘 이해하고 있습니다.”

3줄 요약
1. 3주 전 카세야 사태라는 대규모 랜섬웨어 사건 발생.
2. 3주 후인 지난 주말 카세야는 복호화 키 입수했다고 배포 시작.
3. 복호화 키 출처에 대해서는 명확히 밝히지 않아 여러 추측 나오는 중.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아이티스테이션 파워비즈모니터랩 파워비즈 6개월 2021년7월1~12월31일 까지엔사인 파워비즈 2021년6월1일~11월30일 까지2021 전망보고서위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
2021년 상반기 발생했던 보안 사건 가운데 가장 파급력이 컸던 이슈는 무엇이라고 보시나요?
솔라윈즈 사건
콜로니얼 파이프라인 사건
카세야 사건
익스체인지 서버 취약점 사건
원자력연구원/KAI 해킹 사건
국내 대기업 주요 정보 다크웹 유출 사건
기타(댓글로)