윈도우 업데이트 같은 랜섬웨어, IoT 백만 대의 봇넷

입력 : 2016-08-31 09:28

비상 윈도우 업데이트 같은 랜섬웨어, 기업 사용자들 속여
IoT 백만 대로 구성된 봇넷, 대규모 디도스 공격 실시해

[보안뉴스 문가용] 또 새로운 랜섬웨어가 발견되었다. 이번 랜섬웨어는 비상 윈도우 업데이트(Critical Windows Update)인 것처럼 위장해 사용자들이 의심 없이 악성 링크를 클릭한다고 한다. 이 랜섬웨어의 이름은 팬텀(Fantom)으로 보안 전문업체인 AVG의 제이쿱 크라우스텍(Jakub Kroustek)이 발견했다.


“피해자들은 가짜 윈도우 업데이트 화면을 먼저 보게 됩니다. 진짜와 매우 흡사한 화면이죠. MS의 저작권 표시도 나와 있고, 파일 이름은 ‘비상 업데이트(critical update)’라 딱 속기 쉬워요. PC 업데이트를 별 다른 의심 없이 해오던 대다수 사용자들이라면 누구나 빠질 수 있는 함정입니다.”

다운로드가 끝나면 팬텀은 백그라운드에서 파일을 암호화하기 시작한다. 랜섬웨어에 들어있는 WindowsUpdate.exe 파일은 화면 전체를 차지하는 업데이트 화면을 로딩해 사용자가 이 가짜 업데이트를 하는 동안 다른 작업을 하지 못하도록 한다.

파일의 암호화가 끝나면 팬텀은 Decrypt_Your_Files.HTML이란 파일을 실행시켜 랜섬 노트를 화면에 출력시킨다. 파일이 암호화되었다는 걸 고지하고, 사용자에게 부여된 고유 ID를 알려주면서 어디로 연락하라고 지시하는 내용이다.

팬텀 랜섬웨어가 사용하는 암호화 알고리즘은 AES-128이다. 아직 팬텀이 암호화한 파일을 복호화하는 방법은 없다. 팬텀은 특히 기업 사용자들에게 큰 위협거리다. 기업의 윈도우 환경에서 흔히 볼 수 있는 화면을 바탕화면에 깔기 때문이다.

“사이버 범죄자들이 최근에 사용자들이 잘 알고 익숙하게 느끼는 것들을 흉내 내어 공격하고 있습니다. 이로써 생활 근간의 신뢰를 깨버리는 효과를 가져갑니다.” 보안업체 카보나이트(Carbonite)의 노먼 구아다뇨(Norman Guadagno)의 설명이다.

기업 운영자 및 책임자라면 팬텀의 이런 위장술에 대해 회사 전체에 알려야 한다. 또한 윈도우 업데이트를 개별적으로 처리하는 게 아니라 회사 차원에서 다루도록 해야 한다. 그래도 불안함은 남는다. 중요한 시스템을 백업하고 망분리 시키는 것도 가능한 조치다.“백업은 가장 효과적인 랜섬웨어 대항책입니다. 백업이 되어 있지 않은 피해자들은 대부분 범인들에게 돈을 지불하는 방향으로 결정을 하더군요.”

한편 봇넷 쪽에서도 새로운 소식이 있다. 새로운 ‘백만 단위’ 봇넷도 발견된 것. 게다가 거의 IoT 기기들로만 이루어져 있다. IoT 기기들로 인해 보안 사고들이 범람할 것이라는 우려가 가시화되고 있다. 이 봇넷을 발견한 건 레벨 3 쓰레트 리서치 랩스(Level 3 Threat Research Labs)로, 이 봇넷 형성에 가장 지대한 공헌을 한 멀웨어는 배시라이트(BASHLITE)라는 멀웨어 패밀리라고 한다. 이 멀웨어 패밀리는 리즈케밥(Lizkebab), 토를루스(Torlus), 가프깃(gafgyt)이라고도 한다. 이 멀웨어는 봇넷을 만들어 디도스 공격을 전문적으로 실행한다.

멀웨어의 소스코드는 이미 2015년에 공개되었다. 그 후로 10여 가지가 넘는 변종이 등장했다. 기본적으로 리눅스 환경에서 크로스컴파일링이 쉽도록 만들어져 있어 IoT 기기들을 공격하기에 매우 적합하다고 한다. 과연, 이번에 발견된 봇넷에는 이미 1백만 대의 IoT 기기들이 연결되어 있다고 한다.

“IoT 기기들을 봇넷에 악용하는 건 최근 들어 새롭게 현실화된 공격 방법입니다. 그리고 사물인터넷이 발전함에 따라 이런 봇넷도 더 발견되고, 더 커지겠죠. 공격력도 더 강력해지겠고요.” 레벨 3 측의 설명이다. “현재는 가정용 라우터 등이 가장 빈번하게 공격받고 있지만, 아마 해커들은 공격이 쉬운 쪽으로 자유롭게 이동할 것으로 보입니다. 어차피 이제 IoT 기기들은 더 많이 시장에 몰려들어올 거니까요.”

한편 지난 주 트립와이어(Tripwire)라는 보안업체는 220명의 블랙햇 참가자들을 대상으로 IoT와 관련된 설문을 실시했는데, IoT 기기 보안 문제에 대한 대비책이 충분히 마련되었다고 답한 사람들은 1/3도 되지 않았다. 또한 IoT 기기들의 무기화 및 디도스 공격의 활성화가 우려된다고 하는 사람들은 78%나 되었다.

“IoT가 우리 생활에 속속 등장한다는 건 보안의 관점에서 좀비가 하나 둘 가정에 심겨지는 것과 마찬가지입니다. 코드가 꼽힌 좀비들이 구석구석 숨어들고 있는 것이죠. 당연히 걱정을 해야 하는 부분입니다. 게다가 아직은 IoT 기기들이 ‘저렴함’에 초점을 맞추고 있죠. 보안은 뒷전입니다.” 트립와이어 측의 설명이다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

문가용기자 기사보기

• “
•  SNS에서도 보안뉴스를 받아보세요!! 
• ”

• 조회순
• 추천순
• 스크랩순

• 1

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 2

  MS의 로우코드 플랫폼 파워페이지스, 사용자...

• 3

  업무 관련 메일로 위장해 유포 중인 악성코드...

• 4

  최고의 ‘보안 강연자’를 선발하다... IS...

• 5

  개인정보 유출 사고 대응방안 논의... 공공...

• 1

  [개인정보 보호법 해석 사례-④] 인사·노무...

• 2

  악명 높은 봇넷 엔지오웹, 각종 범죄 인프라...

• 3

  [정보세계정치학회 칼럼] 데이터·공급망 안보...

• 4

  북한 IT노동자, 가짜 이력서로 서방국 취업...

• 5

  연말시즌, 해커도 성수기... 해커들이 만든...

• 1

  580억원 상당의 가상자산 탈취사건, 북한 ...

• 2

  개인정보 유출 사고 대응방안 논의... 공공...

• 3

  인류를 위한 인공지능 거버넌스, 어떤 제안 ...

• 4

  깃허브에서 활동하는 개발자들을 노리는 고급 ...

• 5

  [단독] 한국지능정보사회진흥원, 관리자계정 ...