각국 공공부문, ‘고스트’ 랜섬웨어 공포
70개국 정부기관, 교육 및 의료, 공공 인프라, “일반 기업도 포함” 공공 앱 CVE 악용, 초기 액세스, ‘코발트 스트라이크 비컨’ 맬웨어 심어 IOC, TTPS, 랜섬 이메일 주소, 랜섬 메모, 취약점 완화 목록 삭제
[애플경제 이윤순 기자] 정부기관과 학교 및 대학, 의료기관, 그리고 크고 작은 기업들의 공개된 디바이스의 취약점을 노린 ‘고스트’ 랜섬웨어 그룹이 4년째 기승을 떨면서 지구촌 공공 부문의 사이버보안을 위협하고 있다.
‘고스트’ 랜섬웨어 그룹은 매우 민첩하게 행동하면서, 대중에게 공개된 공공부문의 취약점을 악용하는 것으로 유명하다. 이는 이미 미국 CISA나 FBI, 영국과 유럽 각국 보안 당국들이 지속적인 경고를 발하면서 추적해왔다. 최소 지난 4년 동안 전 세계의 취약한 인터넷 연결 서비스를 표적으로 삼은 ‘고스트’ 일당은 가장 최근에 지난 1월에 미 FBI 수사를 통해 그 마각이 또 다시 드러났다.
미 CISA에 따르면 ‘고스트’ 그룹은 2021년 초부터 인터넷 연결 서비스가 오래된 소프트웨어와 펌웨어를 실행하는 단체나 기관을 공격해 왔다. 그 이후로 우리나라를 포함한 70개국 이상의 기관이나 기업을 공격한 바 있다. 피해를 입은 대상은 중요 인프라를 비롯해, 학교 및 대학, 의료, 정부 네트워크, 종교 기관, 기술 및 제조 회사, 수많은 중소기업들이 포함된다.
지난 4년 간 지구촌 도처에서 암약
이 그룹은 일단 중국에 기반을 두고 있는 것으로 짐작된다. 그러나 CISA는 “광범위한 TTP(Tactics, Techniques, Procedures)를 배치하기 때문에 공격의 속성이 다양하다”고 했다. 특히, 지난 4년 간 이 그룹이 공격을 가한 70개국 중엔 중국도 표적에 포함된 것으로 파악되었다. 이는 또 랜섬웨어 페이로드, 암호화된 파일의 파일 확장자, 랜섬 이메일 주소, 랜섬 노트의 텍스트를 자주 바꿔가며 공격을 가한다.
이러한 다양한 전술로 인해 갖가지 이름으로 불리기도 한다. Ghost, Cring, Crypt3r, Phantom, Strike, Hello, Wickrme, HsHarada, Rapture 등등이다. 그런 이름 중 일부는 Cring.exe 및 Ghost.exe와 같이 그룹에서 배포한 랜섬웨어 파일의 이름에서 유래한 것들도 있다. 문제는 ‘고스트’ 그룹의 공격수법은 매우 정교하고 치명적이란 점이다.
‘사이버레디’가 미 FBI를 인용한 바에 따르면 이는 (공공부문, 또는 인프라의) 공개된 애플리케이션에서 일련의 CVE를 악용하여 대상 네트워크에 대한 초기 액세스를 획득한다. 그런 다음 ‘FortiOS’ 경로 횡단의 취약점(CVE-2018-13379)이나, 어도비 콜드퓨전(ColdFusion0의 두 가지 취약점(CVE-2010-2861 및 CVE-2009-3960), 그리고 마이크로소프트 쉐어포인트의 취약점(CVE-2019-0604)을 표적으로 삼는다.
또한 마이크로소프트 ‘익스체인지’에 영향을 미치는 일련의 결함, 즉 ‘ProxyShell’ 공격 체인(CVE-2021-34473, CVE-2021-34523 및 CVE-2021-31207)과 같은 취약점을 악용하는 경우가 많은 것으로 파악되었다.
어도비 콜드퓨전, MS 쉐어포인트 취약점도 표적
이런 방식으로 일단 침입한 후엔 흔히 손상된 서버에 웹 셸을 업로드하고, 명령 실행, 키 로깅, 파일 전송, 권한 상승, 방어 회피 및 측면 이동과 같은 다양한 방식으로 사용할 수 있는 ‘코발트 스트라이크 비컨’(Cobalt Strike Beacon) 맬웨어를 다운로드하는 것으로 밝혀졌다. 예를 들어, ‘코발트 스트라이크’는 흔히 시스템 사용자를 가장, 프로세스 토큰을 훔쳐 권한 상승으로 비컨(Beacon) 맬웨어를 다시 실행한다.
미 CISA는 이에 “‘고스트’는 피해자의 특별한 주목을 끌지 않으면서 며칠 동안만 네트워크에 숨어 있으면서, 초기 액세스에서 랜섬웨어 방어기제를 삭제하는 것으로 전환한다”고 경고했다. 이는 모든 IOC, TTPS, 랜섬 이메일 주소, 랜섬 메모, 그리고 기업이 손상을 방지하기 위해 취할 수 있는 취약점 완화 목록이 포함된다.
이에 정기적인 시스템 백업을 비롯해, 인터넷 연결 기기의 알려진 취약성 패치, 측면 이동을 제한하기 위한 네트워크 세분화, 무단 PowerShell 사용 모니터링, 서비스 노출을 제한하기 위한 사용되지 않는 포트의 비활성화 등의 보안 조치가 중요하다는 지적이다.