보안업체, ‘랜섬웨어 사이트 침투, 해독 열쇠 탈취, API 엔드포인트 감지’
파일 암호화로 공격 시작 징후 포착, 해당 기업에 경고, 차단해
“갱단 사이트의 코딩 오류, 보안 버그 역이용, 서버 IP도 파악”
[애플경제 이보영 기자] 보안 전문가들이 랜섬웨어 갱단의 다크 사이트를 거꾸로 해킹, 볼모로 잡힌 데이터를 손쉽게 해독, 회수하고, 몸값을 뺏기지 않은 사례가 해외에서 등장해 눈길을 끈다. 최근 사이버보안 업체인 ‘Atropos.ai’와 테크타깃 등 보안매체에 의하면 랜섬웨어 갱단이 사용하는 웹 사이트의 보안 결함(버그) 덕분에 6개의 기업이 막대한 몸값을 지불하지 않아도 된 것으로 전해졌다.
그 중 2개사는 갱단에게 몸값을 지불하지 않고도 데이터를 해독할 수 있는 복호화 키를 받을 수 있었다. 또 해킹된 4개 암호화폐 회사들은 랜섬웨어 갱단이 파일을 암호화하기 직전에 미리 경고를 받고, 도중에 이를 방어할 수 있었던 것으로 알려졌다. 이는 사이버보안 업계에서도 유례가 없는 일로 받아들여지고 있다.
알려지기론 ‘Atropos.ai’의 보안 연구원이자 최고 기술 책임자인 반젤리스 스티커스는 100개가 넘는 랜섬웨어나, 사이버 공격 그룹과, 그들의 데이터 탈취 사이트의 배후에 있는 명령 및 제어 서버를 식별(색출)하기 위한 연구를 해왔다. 피해자나 피해기업을 포함, 갱단 자체에 대한 정보를 외부로 폭로하는 데 사용할 수 있는 결함을 찾아내기 위한 것이었다. 해커들의 사이트를 해킹함으로써 ‘역습’을 가하는 방법이다.
스키터스는 8일(현지시각) 라스베이거스에서 열린 ‘블랙햇 보안 컨퍼런스’에서 이런 사실을 공식적으로 발표하면서 널리 알려졌다. 이에 따르면 우선 최소 3개의 랜섬웨어 갱단이 사용하는 웹 대시보드에서 여러 가지 간단한 취약점을 발견했다. “이는 갱단 사이트의 내부 작동을 손상시키기에 충분했다”는 것이다.
랜섬웨어 갱단은 보통 공개 브라우저인 ‘Tor 브라우저’를 통해 액세스할 수 있는 익명의 웹 버전인 다크 웹을 통해 신원과 운영을 숨기는게 특징이다. 그러므로 사이버 공격과 도난된 데이터의 저장에 사용되는 실제 서버가 어디에 있는지 식별하기 어렵다.
하지만 랜섬웨어 갱단이 도난된 파일을 게시, 피해자에게 돈을 갈취하는 데 사용하는 유출 사이트의 허점이 있을 것이란 사실에 착안했다. 실제로 해당 사이트엔 코딩 오류와 보안 버그가 있었고 스티커스는 “로그인하지 않고도 내부를 들여다보고 각종 범죄행위와 수법에 대한 정보를 추출할 수 있었다”는 것이다. 어떤 경우에는 버그로 인해 사이트 서버의 IP 주소가 노출되어 범죄자의 실제 위치를 추적할 수도 있었다. 그야말로 ‘도둑들의 소굴’을 급습, 그들 몰래 샅샅이 뒤진 셈이다.
일부 버그에는 악명높은 ‘Everest’ 랜섬웨어 갱이 백엔드 SQL 데이터베이스에 액세스하기 위해 기본 비밀번호를 사용하고 파일 디렉터리를 노출하며, ‘BlackCat’ 랜섬웨어 갱의 공격 대상을 진행 중임을 알 수 있게 한 API 엔드포인트도 들어있었다.
스티커스는 이에 IDOR(안전하지 않은 직접 객체 참조)로 알려진 버그 하나를 사용, ‘Mallox’ 랜섬웨어 관리자의 모든 채팅 메시지를 털었다. 그 속에는 앞서 해킹을 당한 회사와 공유한 두 개의 암호 해독 키가 포함되어 있었다. 그는 “피해자 중 두 곳이 소규모 기업이었고 나머지 네 곳은 암호화폐 회사였다”며 “그 중 두 곳은 유니콘(10억 달러 이상의 가치가 있는 신생 기업)으로 평가받지만, 공개할 수는 없다”고 했다.
한편 미국 FBI와 다른 정부 기관은 오랫동안 랜섬웨어 피해자에게 해커의 몸값을 지불하지 말라고 권고해 왔다. 악의적인 행위자들이 사이버 공격에서 이익을 얻는 것을 막기 위해서다. 하지만 이런 조언은 당장 데이터에 대한 액세스 권한을 회복해야 하거나, 시급히 사업을 재개해야 하는 기업으로선 따르기 힘든 것이다. 그렇다고 당국이 별도의 구제책을 제공하는 것도 아니다.
그 동안 일부 보안 당국도 랜섬웨어 갱단을 침해, 해독 키를 확보하거나, 사이버 범죄자들이 불법적인 수익원을 얻지 못하도록 하는 데 어느 정도 성공했지만, 그 성과는 미미했다. 이번 경우는 아예 ‘해킹’ 수준으로 깊숙이 파고 들어 해독 열쇠를 갖고 오거나, 사전에 공격 계획을 파악해낸 결과여서 특히 주목을 끈다.
또 다른 보안 연구에 따르면 실제로 랜섬웨어 갱단들 스스로는 예상외로 자신들을 위한 보안 역량은 그다지 높지않다는 평가도 있다. 여느 대기업과 동일한 수준의 간단한 보안 문제에도 취약할 수 있다는 것이다. 그래서 이번 쾌거는 더욱 사이버보안의 가능성을 넓혀가는 계기가 될 것이란 기대다.