특정 파일 건너뛰는 수법, 암호화&비암호화 버전 헛갈리게
소량의 콘텐츠 암호화, 짧은 시간에 시스템 사용 불능 초래
감염 시간과 콘텐츠 암호화 시간 사이, 랜섬웨어 탐지 어렵게해
센티넬원 “다중 인증, 보안솔루션, 이메일 조심, 최신SW로 예방”
[애플경제 김향자 기자] 랜섬웨어가 간헐적인 암호화(intermittent encryption)를 사용하여 탐지 알고리즘을 우회하는 사례가 잇따르고 있어 특히 주의를 요하고 있다. 최근 미국의 사이버 보안 솔루션업체인 센티넬원(SentinelOne)에 따르면 최근 현장에서는 랜섬웨어 그룹들에 의해 배포된 ‘간헐적 암호화’에 의한 피해 사례가 보고되고 있다.
‘간헐적 암호화’는 선택한 전체 파일을 암호화하는 것이 아니라 파일의 모든 x바이트를 암호화하는 새로운 수법이다. 센티넬원 연구원들에 따르면, ‘간헐적인 암호화’는 진행 중인 랜섬웨어 감염을 탐지하기 위해 통계 분석을 사용하는 시스템을 수월하게 피해갈 수 있다. 애초 램섬웨어 감염을 방지하기 위한 이런 시스템은 운영 체제 파일 입력이나 출력 작업의 강도, 또는 알려진 파일 버전과 의심스러운 수정 버전 간의 유사성을 분석하는게 기본이다.
‘간헐적 암호화’는 그 틈새의 취약점을 파고 든 것이다. 즉, 파일 입․출력 작업의 강도를 낮추고, 파일에서 일부 바이트만 변경되기 때문에 특정 파일의 비암호화 버전과 암호화된 버전이 거의 유사한 것처럼 보이게 된다. 또한 소량의 콘텐츠를 암호화함에도 불구하고, 시스템을 매우 짧은 시간 내에 사용 불능으로 만들고, 감염 시간과 콘텐츠를 암호화한 시간 사이에는 랜섬웨어 활동을 탐지하는게 매우 어렵게 만든다.
애초 ‘록파일’ 랜섬웨어가 지난 2021년 중반에 ‘간헐적 암호화’를 사용한 최초의 악성코드 계열로 등장했지만, 현재는 여러 랜섬웨어 계열이 이를 활용하고 있다. 특히 서로 다른 파일 크기를 악용하는 수법을 구사하는 블랙캣(BlackCat) 랜섬웨어의 경우 ‘간헐적인 암호화’를 이용, 매우 신속하게 공격하기도 한다.
센티넬원에 따르면 최근 다크 웹의 인기 있는 범죄 포럼에서 새로운 상업용 랜섬웨어 광고를 내보낸 ‘퀵 랜섬웨어’도 이런 경우다. 루크로스트롬으로 광고주를 표현한 ‘퀵 랜섬웨어’는 본래는 원격 접근 도구(RAT)와 악성 프로그램 로더와 같은 다른 소프트웨어를 판매하는 것으로 간주되어 왔다. 개발자들에 따르면 랜섬웨어는 간헐적 암호화 사용 외에도 랜섬웨어 속도를 높일 수 있는 ‘Go’ 언어로 작성된다
더욱 가관인 것은 ‘퀵’은 해커 구매자들이 원하는 옵션에 따라 0.2비트코인(BTC)에서 약 1.5BTC의 가격으로 판매되고 있다. 광고주 루크로스트림은 또 “구매 후 6개월 이내에 보안 솔루션에서 랜섬웨어 패밀리의 바이너리가 검출되면, 검출되지 않은 새로운 랜섬웨어 샘플에 대해 60~80%의 후한 할인을 제공한다”고까지 광고하며, 판매에 열을 올리고 있다.
지난 6월말경 발견된 ‘플레이’ 랜섬웨어도 파일 크기에 따라 간헐적인 암호화를 사용하는 것으로 밝혀졌다. 이는 0x100000바이트의 청크(데이터 묶음 단위)를 16진수(1048576바이트)로 암호화하고 파일 크기에 따라 2개, 3개, 5개 청크를 암호화한다.
역시 Go 언어로 씌어진 ‘아젠다 랜섬웨어’도 ‘간헐적인 암호화’ 방법을 구사한다. ‘skip-step’이라 불리우는 공격 파일에는 이렇게 특정한 메가바이트 규모의 파일을 건너뛰고, 나머지 모든 XMB(메가 바이트)를 암호화한다. 다음으로 ‘아젠다 랜섬웨어’는 ‘패스트’로 명명된 메가바이트 파일만 암호화할 수 있게하고, 또 다른 공격 기법인 ‘퍼센트’는 파일의 1%만을 암호화하도록 하는 수법이다.
이 밖에도 지난 4월 발견된 ‘블랙 바스타’ 랜섬웨어는 C++ 언어로 작성된 것으로, 피해자들이 몸값을 지불하지 않을 경우 “유출된 자료를 공개하겠다”고 위협하며 이중 갈취 행위를 해왔다. 이 랜섬웨어의 간헐적 암호화는 파일 크기가 4KB 미만인 경우 64바이트마다 암호화하고 192바이트를 건너뛴다. 파일이 4KB보다 크면, 64바이트마다 암호화하지만 192바이트가 아니라 128바이트를 건너뛴다.
‘블랙캣’(BlackCat)은 ‘러스트’ 언어로 개발된 랜섬웨어로, RaaS 모델로 확산되고 있다. 이 그룹은 데이터 유출이나 분산 서비스 거부(DDoS) 공격으로 피해자를 위협하는 등의 수법으로 악명이 높았다. 최근엔 전체 암호화는 물론, 간헐적 암호화를 통합하는 모드를 포함한 다양한 암호화 모드를 구사한다. 또한 파일을 크기가 다른 블록으로 분할하는 등 고급 암호화 기능을 갖추고 있는가 하면, 각 블록의 첫 번째 P바이트만 암호화하기도 한다.
간헐적인 암호화 외에도, 블랙캣은 가능한 한 속도를 높이기 위한 논리도 포함하고 있다: 감염된 컴퓨터가 하드웨어 가속을 지원하는 경우, 암호화에 AES(Advanced Encryption Standard)를 사용한다. 그렇지 않을 경우엔 소프트웨어에 완전히 구현된 ‘ChaCha20’ 알고리즘을 사용하기도 한다.
이에 센티넬원사는 “공통 취약성에 의해 손상되지 않도록 운영 체제와 운영 체제에서 실행되는 모든 소프트웨어를 항상 최신 상태로 유지하고 패치를 적용하는 것이 좋다”며 대비책을 권고했다. 이에 따르면 또한 랜섬웨어가 한 대 또는 여러 대의 컴퓨터에서 실행되기 전에 위협을 탐지하기 위해 보안 솔루션을 배치하는 것이 좋다. 공격자가 랜섬웨어를 실행할 수 있는 네트워크의 일부에만 액세스하기 위해 자격 증명을 사용할 수 없도록 다중 요소 인증도 배치하는게 바람직하다. 특히 “랜섬웨어에 가장 많이 사용되는 감염 매개체 중 하나인 이메일에 대한 경각심을 높여야 한다”고 조언했다.