외부로 노출된 RDP나 네트워크 보안 SSH가 오히려 침투 경로
국내엔 ‘클롭’, ‘소디노키비’, ‘케르베르’, ‘갠드크랩’ 등 공격 잦아
다크웹 마켓에서 최신 VPN 접속 정보 및 RDP 접속 정보를 판매
[애플경제 이보영 기자] 국내에서도 최근 RaaS를 목적으로 한 전문 해커들의 랜섬웨어 공격이 날로 증가하고 있다. 특히 통신 지원 OS인 RDP(remote desktop protocol)를 겨냥해 IoT검색엔진의 일종인 쇼단(Shodan)과 같은 사이트를 이용해 공격하는 경우도 잦아지고 있다. 원격 접속으로 외부에 잘못 노출된 RDP서버에 연결한 후, 내부의 AD(Active Directory) 서버 등을 통해 내부 전체 시스템을 대상으로 대규모 악성코드 전파를 수행하는 사례가 빈번한 실정이다.
웹 서비스를 제공하기 위한 웹 서버 중 외부로 노출된 RDP나 원격 네트워크 보안을 위한 SSH 서비스는 Shodan과 같은 사이트를 통해 쉽게 확인이 가능하다는 점이 약점이다. 이들은 자칫 내부 시스템의 침투를 통한 악성코드의 전파 통로로 활용되고 있다. Shodan 인텔리전스를 통해 나타난 정보를 보면, 전세계 300만대 이상의 RDP 서비스가 대외적으로 노출되어 있으며, 해커들은 이런 시스템에 자격증명 대입 공격을 통해 시스템에 접속하곤 한느 것이다. 이런 수법을 구사하는 해커그룹들은 다크웹 마켓에서 최신 VPN 접속 정보 및 RDP 접속 정보를 판매하고 있으며, RaaS 이용자들은 구매한 정보를 이용해 기업 내부 네트워크에 침투하고 있다.
2021년 들어 가장 공격 빈도가 높은 랜섬웨어는 소디노키비, 콘티 V2 등이다. ‘Cyber Crime Magazine’에 따르면 이들을 비롯해 대략 10개 정도의 랜섬웨어가 사이버 공격을 주도하는 것으로 나타났다. 이에 따르면 소디노키비(Sodinokibi)가 전체 공격의 14.20%로 가장 많고, 그 다음으로 ‘콘티V2가 10.20%, 록비트(Lockbi)가 7.50%, 클롭(Clop) 7.10%, 에그레거(Egregor) 5.30%, 아바돈(Avaddon) 4.40%, 류크(Ryuk) 4.00%, 다크사이드(Darkside) 3.50%, 선크립트(Suncrypt) 3.10%, 넷워커(Netwalker) 3.10%, 포보스(Phobos) 2.70% 등의 순위다.
랜섬웨어의 종류에는 국내를 대상하는 Clop Ransomware를 포함하여 RaaS(Ransomware as a Service)형태로 제공되는 형태 등 다양한 종류의 랜섬웨어가 있다. RaaS는 사용자가 원하는 악성코드를 맞춤 제작해 판매 및 제공 하는 서비스다. 아예 랜섬웨어로 약탈한 정보를 판매, 수익을 취하는 직업 해커들이다. 이는 악성코드를 통해 사용자가 금전적 이익을 취할 경우 악성코드 제작자와 이익을 공유하는 방식의 서비스를 의미한다.
RaaS를 이용하는 대표적인 랜섬웨어는 케르베르(Cerber), 갠드크랩(GandCrab), 소디노키
비(Sodinokibi) 등이 있다. 랜섬웨어 제작자 ‘Darksupp’는 공격 대상을 제한하는 특징을 가지고 있으며, 제휴자 및 병원, 학교, 대학, 비영리 단체, 공공 단체는 공격 대상에서 제외했다. 이는 추후 발생하게 될 법의 처벌을 고려한 것으로 추정된다.
그 중 클롭(Clop) 랜섬웨어는 2019년부터 국내를 대상으로 유포되기 시작한 랜섬웨어다. 이는 러시아 정부의 지원을 받는 것으로 추정되는 TA505 그룹이 배후인 것으로 알려졌으며, 국내의 다양한 기업을 공격 대상으로 한다. 주로 AD(Active Directory) 서버를 미리 장악한 후 랜섬웨어를 유포한다. 클롭 랜섬웨어는 정상파일로 위장하기 위해 그럴듯한 디지털서명 정보를 가지고 있는 점 또한 특징이다.
Clop 랜섬웨어는 내부 암호화를 할 때 다중 스레드를 이용해 감염을 진행하는 특성이 있다. 감염에서 제외되는 확장자 정보를 가지고 있으며, 감염된 파일로 인한 재감염을 막기위해 확장자에 ‘CLLP’도 포함되어 있다. 또한 클롭 랜섬웨어에는 감염에서 제외되는 파일 및 디렉토리명을 별도의 코드값으로 저장하고 있다. 암호화 대칭키를 감염된 파일의 하단에 포함하고 있으며, 내부 소스 코드에 하드코딩되어있는 경우가 대부분이다. 일단 이에 감염되면 랜섬노트가 생성되며, 공격자들은 피해자들과의 협상이 제대로 안 이뤄질 경우 탈취한 데이터를 업로드해버린다.
다크사이드 랜섬웨어(Darkside Ransomware)는 2020년 8월부터 유포되었으며 RaaS(Ransomware as a Service)형태로 유포된다. 다크사이드 랜섬웨어 내부에는 안티 바이러스 제품군을 탐지하거나 우회하고, 분석을 방해하기 위해 중요 문자열 모두가 자체 암호 알고리즘을 통해 암호화되어 있다. 또 중요 문자열 복호화는 2단계를 거쳐 진행되는 것으로 알려져있다.
이는 우선 키 생성 단계에서 하드 코딩된 초기 테이블 값을 이용하여 키 테이블을 생성한다. 그 다음으로 문자열 복호화가 이뤄진다. 우선 생성된 키 테이블을 이용해 알고리즘으로 문자열을 복원한다. 이는 특정 시스템 언어를 파악해 특정 국가를 제외하는 기능이 존재하기도 한다. 랜섬웨어 내부에 존재하는 설정 값은 자체 구현 알고리즘으로 암호화된 상태로 저장되어 있으며, RaaS 구매자가 악성행위를 다양하게 결정해 배포할 수 있는 형태로 제작되어 있다.
소디노키비 랜섬웨어는 2019년 갠드크랩 제작자들이 악성행위를 종료함과 동시에 다시 출현시킨 랜섬웨어다. 대표적인 공격벡터로는 다양한 기관이나 기업을 사칭한 한 내용의 피싱메일이 있다. 그러나 피싱메일 뿐만 아니라 다양한 공격벡터를 통해 랜섬웨어가 유포되기도 한다. 소디노키비 랜섬웨어 악성코드는 감염 직후 'Your files are encrypted !!!'라는 메시지를 포함한 화면으로 피해자 바탕화면을 수정하는게 특징이다.
(자료 : 한국인터넷진흥원)