국내 기업들 사정 잘 아는 ‘귀신’(GWISIN) 랜섬웨어 극성
Defense Evasion’ 기법, 웹 취약점과 웹셸 공격에 적극 활용
시스템 기본 명령어로 보안장비 회피, 최소한의 악성코드 심어
[애플경제 이보영 기자] **“You have been visited by GWISIN.”**(귀신이 왔어요!)
이는 최근 국내 기업들만을 주로 겨냥하는 ‘귀신(GWISIN)’ 랜섬웨어가 네트워크 침범 사실을 피해기업들에게 알리는 경고문이다. 최근 이처럼 ‘토종 랜섬웨어’ 격인 ‘귀신’이 시중에서 기승을 떨고 있다. 이에 인터넷진흥원과 ‘인터넷 보호나라’는 그 특징과 공격수법을 소개하고, 나름의 방어책을 안내하기까지 했다.
이에 따르면 이는 여느 해외 랜섬웨어와는 달리 국내 기업들의 사정을 꿰뚫다고 있으며, 심지어는 국내 보안당국이나 수사기관에 대해서도 잘 알고 있다. 또한 “국내에서 사용되는 인증제도(ISMS-P)를 언급하는 등 한국 보안시장에 대한 지식을 보유하고 있다고 판단된다”는 설명이다. 인터넷진흥원의 ‘인터넷 보호나라’는 “이들 은닉된 공격자는 그들이 말하는 것처럼 ‘귀신’처럼 타깃을 공격하고 있다”며 파편화되어 피해 기업들 간에 공유되고 있는 ‘귀신’ 랜섬웨어를 TTP(Tatcs, Technique, Procedure) 형태로 분석, 소개하고 있다.
‘인터넷 보호나라’는 ‘귀신’에 대한 TTT 분석 등 전문적인 메커니즘을 치밀하게 분석, 소개하고 있다. ‘Reconnaissance’, ‘Initial Access’, ‘Execution’, ‘Persistence’ 등 랜섬웨어 유포 조직의 TTP가 망라되어있다. 그러면서 “특히 ‘귀신’의 5가지 인사이트를 확인할 수 있다”고 소개했다.
이에 따르면 ‘귀신’은 우선 ‘Defense Evasion’ 기법을 다수 적용한다. 즉 ▲랜섬웨어 내부의 문자열 정보를 RC4로 암호화하고, ▲랜섬웨어 파일명을 정상 프로그램명으로 위장하며, ▲랜섬웨어 악성코드를 인젝션해 실행하며, ▲악성코드 실행을 위해 등록 했던 서비스, 레지스트리 삭제한다. 또 ▲Windows의 모든 이벤트 로그를 삭제하기도 하며, ▲악성코드를 통해 휴지통이나 공격에 수행했던 툴을 삭제한다. 때로는 ▲안전모드 부팅을 통해 방어 솔루션을 무력화하며, ▲다운로드한 악성파일의 시간 정보를 정상파일의 시간정보로 변경하기도 한다.
이는 또 ‘Defense Evasion’ 기법 외에 웹 취약점과 웹셸을 공격에 적극 활용하며, 악성코드 내부전파에도 내부의 웹서버에 웹셸을 업로드하여 명령제어 서버로 활용하는 모습을 보인다. IIS 웹 서비스를 직접 설치하여 랜섬웨어 배포에 활용하기까지 한다.
또한 보안장비 탐지를 회피하기 위해 시스템 기본 명령어를 활용하고, 최소한의 악성코드를 사용한다. 패스워드 추출 도구인 Mimikatz를 사용하여 패스워드를 확보하는 대신 lsass 프로세스의 메모리를 덤프하여 패스워드를 추출한다. 원격제어 악성코드를 통해 명령을 하달하는 대신 WMIC, WINRM, SMB 명령을 통해 악성코드를 실행하는 것이다.
또, 침투를 위해 국내 솔루션(통합 관리, 보안, 파일공유)등 다수의 솔루션을 악용했다. 통합관리솔루션의 파일 배포 실행 기능을 이용하여 랜섬웨어를 감염시키거나 특정 보안 솔루션의 설정파일에 백도어 기능의 코드를 숨겨 탐지를 회피하기도 했다.
특히 국내 보안 솔루션 등 기업 보안환경에 대한 지식과 비즈니스 이해도가 높다는 점도 특징이다. 때로는 수사 당국의 수사나 대응 조치를 방해하기 위해 기만 작전을 펼치기도 한다. 그야말로 ‘토종 랜섬웨어’ 다운 모습이다. 그렇다보니 국내 DRM 솔루션등 기업 내부에서 사용하고 있는 솔루션과 비지니스를 이해하고 이를 통해 더 위협적으로 기업에게 협박을 가한다. 예를 들어 공격자는 랜섬노트에 ‘정보보호 관리 체계가 잘 지켜지지 못했다’라는 문구를 적어놓기도 한다.
이 문구에 보면, 국제표준 정보보호 관리체계인 ISO27001 뿐만 아니라, 국내에서만 시행하고 있는 ISMS-P, PIMS같은 국내에서만 시행중인 정보보호 관리체계까지 명시하고 있다. 또한 악성코드의 실행 인자, 랜섬노트 등에 피해 기업의 기업명을 삽입해 악성코드 공유 나 신고하기 어렵게 만들었다. 특히 “국내 경찰, KISA 같은 침해사고 신고 기관은 도움을 줄 수 없으니 연락하지 말라”며 기만작전을 통한 수사기관에 신고와 분석을 방해하려는 움직임을 보인다.
이같은 ‘귀신’ 랜섬웨어에 대해 ‘인터넷 보호나라’는 기업체의 보안책임자(CISO)들에게 필요한 인사이트를 소개하고 있다. 이에 따르면 우선 기업 내부자산의 재점검과 분류를 통해 불필요한 자산 및 시스템을 과감하게 폐기, 기업 운영에 필수적으로 보호해야 하는 자산에 초점을 맞추어 대응범위를 축소해야 한다. 또 중요 자산의 기밀성과 무결성, 가용성을 보장할 수 있도록 선별된 자산에 대한 보안시스템과 백업시스템을 구축하여 가시성을 확보해야 한다.
또한 “공격자는 보안시스템에 대한 방어자의 신뢰를 역이용, 취약점을 악용하기 때문에 보안시스템으로의 무한한 신뢰는 지양해야 한다.”면서 “사업 및 경영부서의 요청으로 인해 보안정책이 위배되기 쉬우나, 공격자는 완화된 보안정책을 비틀어 침투하기 때문에, 타협을 통해 완화된 보안정책은 추가적인 대응 방안을 마련해야 한다.”고 권고했다. 특히 “단순 모니터링 만으로는 고도화되고 있는 공격에 대응할 수 없기 때문에, 차세대 모니터링 대응체계(탐지, 분석, 패치 등)를 구축하고 운영해야 한다.”고 강조했다.