새 랜섬웨어 비안리안, 최근 폭발적인 인기 얻고 있어

7월에 느즈막히 등장한 랜섬웨어 비안리안이 다크웹에서 큰 인기몰이를 하는 중이다. 아직 그렇게나 특별한 점이 눈에 띄지는 않는데, 그리 좋은 소식일 리도 없어 보인다. 고 언어로 만들어진 멀웨어들이 활개를 치기 시작한다.

[보안뉴스 문가용 기자] 최근 새롭게 나타난 랜섬웨어인 비안리안(BianLian)의 활동량이 늘어나는 중이다. 호주, 북미, 영국의 여러 조직들이 이미 비안리안의 표적 공격에 당했다. 보안 업체 리댁티드(Redacted)에 의하면 최근 비안리안 때문에 새롭게 생겨나는 C&C 서버의 수가 위험할 정도로 많다고 경고했다.

[이미지 = utoimage]

비안리안은 고(Go) 언어로 만들어진 랜섬웨어로, 소닉월(SonicWall)의 VPN 제품들과 마이크로소프트 익스체인지 서버(Microsoft Exchange Server)에서 발견된 프록시셸(ProxyShell) 취약점들을 주로 익스플로잇 한다. 프록시셸은 CVE-2021-34473, CVE-2021-34523, CVE-2021-31207을 말한다.

“아직 비안리안이 이처럼 폭발적으로 성장하게 된 이유를 정확히 알지는 못합니다. 하지만 이것이 앞으로 있을 좋지 않은 사건들의 전조라고 보기에는 충분합니다. 운영자이든 비안리안의 파트너이든 공격 템포를 크게 높인 것이죠. 랜섬웨어 공격자들이 한 철 장사만 하지 않는다는 걸 생각해 보면, 앞으로 비안리안이 꽤나 눈에 띌 것이라고 예상합니다.” 리댁티드의 설명이다.

비안리안은 7월 중순 처음 세상에 모습을 드러냈다. 첫 등장부터 큰 인기를 끌었다고 보안 업체 사이블(Cyble)은 8월에 발표했었다. 비안리안에 대해 제일 처음 알린 건 사이블이었다. 하지만 인기의 정확한 이유는 당시에도 알려지지 않았었다.

공격의 순서
비안리안 갱단들은 제일 먼저 프록시셸 익스플로잇을 통해 피해자 시스템에 대한 접근 권한을 얻어낸다. 그런 다음 웹셸이나 엔지록(ngrok) 페이로드를 설치해 피해자 시스템을 모니터링한다. 탐지될 가능성을 최소화 하기 위해서 조심스럽게 움직여가며 암호화 할 시스템과 파일들의 위치를 찾아낸다.

리댁티드가 파악한 바에 의하면 비안리안은 이 과정에서 ‘리빙 오프 더 랜드(living off the land)’라는 전략을 가장 많이 활용한다고 한다. 즉 자신들이 준비한 공격 도구를 피해자의 시스템과 네트워크에 침투시키는 것이 아니라 피해자 시스템 내부에 이미 있는 여러 유틸리티나 도구들을 공격에 악용하는 것이다. 특히 net.exe를 사용해 권한을 추가하거나 조작하고, netsh.exe를 통해 호스트 방화벽 정책을 설정한다. reg.exe를 가지고는 레지스트리를 변경한다.

그렇다고 공격 도구를 전혀 사용하지 않는 건 아니다. 자신들이 직접 만든 커스텀 임플란트를 통해 피해자의 시스템에서 공격 지속성을 확보하기도 한다. 간단한 백도어를 사용해 임의의 페이로드를 원격 서버로 빼돌리고, 피해자 내부 메모리에 뭔가를 로딩시키고 실행시키는 것이다. 다만 이러한 도구는 ‘리빙 오프 더 랜드’ 전략이 통하지 않았을 때에만 사용되는 것으로 보였다.

“비안리안 운영자들은 여러 방법을 사용해 피해자의 네트워크에서 횡적으로 움직이는 데에 능통해 보입니다. 여러 방법을 활용할 줄 아니까 유연하기도 하고, 잘 들키지도 않습니다.” 리댁티드의 설명이다. “또한 요즘 나온 크로스플랫폼 랜섬웨어인 아젠다(Agenda), 몬스터(Monster), 레드알러트(RedAlert)와 마찬가지로 윈도 안전모드에 진입해 파일 암호화를 시작할 수도 있습니다. 이렇게 함으로써 보안 솔루션을 무력화시키는 것이죠. 스냅샷을 삭제하고 백업 데이터도 없앨 수 있습니다.”

걷잡을 수 없는 랜섬웨어
한 편 보안 업체 아크로니스(Acronis)에서 발표한 사이버 위협 전망 보고서에 따르면 랜섬웨어는 기업들에 있어 여전히 실존적 위협이라고 한다. 또 다른 보안 업체 소포스(Sophos) 역시 보고서를 통해 랜섬웨어 공격에 대해 경고했는데, 이 때 “다양한 공격 기술을 가진 단체들과 협력하여 새로운 유형의 공격 기법을 만들어낼 수 있다”고 발표했다.

그 외에도 보안 위협 지형을 복잡하게 만드는 건 다크웹의 시장이다. 다크웹의 시장이 활성화 되면 될수록 공격자들에게는 데이터를 빼돌릴 강력한 동기가 생긴다. 즉 공격자들이 부지런히, 악착 같이 움직이게 되는 계기가 된다는 뜻이다. 반면 보안 업체 블랙베리(BlackBerry)는 “공격자들이 부지런히 움직이는 것에 반해 방어자들은 아직도 제대로 된 대응책을 갖추고 있지 못하다”고 설명하기도 한다.

적절한 방어 대책에 대하여 리댁티드는 “다단계의 보안 아키텍처가 필요하다”고 권고했다. “사이버 보안 위협 전체적인 방어 능력을 강화하는 게 중요합니다. 각종 익스플로잇 공격과 침투 전략을 막고, 사건 발생 시 빠르게 대응하는 방법을 익혀야 하죠. 랜섬웨어 하나만 집중해서 방어력을 키운다는 건 그리 의미가 있지 않습니다.”

3줄 요약
1. 최근 새로 만들어진 랜섬웨어인 비안리안, 7월 중간에 혜성처럼 등장.
2. 비안리안의 인기가 급상승 하는 중.
3. 폭발적 인기의 비결은 아직 모르지만, 좋지 않은 전조임은 분명.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)