삭제형 멀웨어 킬디스크, 랜섬웨어를 업고 나타나다

산업 시설 주로 노리던 멀웨어, 랜섬웨어 유형으로 변형
이미 동유럽 화학 단지 및 우크라이나 쪽서 공격 발견돼

[보안뉴스 문가용 기자] 악명 높은 멀웨어가 랜섬웨어와 결합했다. 보안 전문업체인 사이버엑스(CyberX)의 분석팀이 발견해 알려온 소식으로, 킬디스크(KillDisk)라는 디스크 삭제 멀웨어가 랜섬웨어로 둔갑했다는 내용이다. 킬디스크는 올해 초 우크라이나에서 발생한 대규모 정전사태의 주범이 된 멀웨어다.

랜섬웨어와 결합한 킬디스크는 데이터를 지우는 대신 디스크를 통째로 암호화하고, 이것을 가지고 사용자를 협박한다고 한다. 킬디스크가 노리는 건 하드디스크만이 아니다. 네트워크에 연결된 모든 폴더들도 킬디스크의 표적이다. 킬디스크는 사용자에게 약 222 비트코인을 요구한다고 알려져 있다. 이는 약 20만 6천 달러에 해당한다.

사이버엑스의 부회장인 필 너레이(Phil Neray)는 “산업 시설에 가해지는 랜섬웨어 공격은, 다른 일반 기업체에서 발생하는 공격과 그 피해 규모가 다르다”고 설명한다. 피해를 끼친다는 점에서는 킬디스크의 이전 버전이나 지금 버전이나 크게 다르지 않지만, 랜섬웨어의 경우 범죄자가 수익도 거둘 수 있다는 장점을 가지고 있다. “예를 들어 공장주들은 가동을 멈추는 대신 랜섬웨어에 순순히 돈을 낼 가능성이 크죠.”

필 너레이는 “새 변종을 개발한 단체는 텔레보츠(TeleBots)라는 사이버 갱단으로 샌드웜(Sandworm)이라는 유명 해킹 그룹에서 파생된 것으로 보인다”고 배후 세력에 대해 설명했다. 샌드웜 갱은 2014년 블랙에너지(BlackEnergy)라는 멀웨어를 사용해 미국의 다양한 산업 제어 시스템과 SCADA 시스템을 공격한 것으로 유명하다. 이 블랙에너지라는 멀웨어는 킬디스크와 함께 지난 우크라이나 정전 사태 때 발견된 멀웨어이기도 하다.

“우크라이나의 채광 회사와 철도 회사가 최근 블랙에너지와 킬디스크의 공격을 받은 것으로 보입니다. 물론 여기서 말하는 킬디스크는 랜섬웨어화된 버전을 말합니다. 올해 초 우크라이나 정전 사태 때 발견된 멀웨어와 기능적인 면에서 거의 같습니다. 데이터를 지운다는 것만 빼고요. 계속해서 사회 기반 시설 및 산업 인프라를 노리고 공격이 이어질 것으로 예상됩니다.”

현재 사이버엑스 외에도 이 멀웨어를 발견한 보안 전문가들이 몇몇 더 있다. 특히 동유럽 쪽의 화학 공장 단지 등에서 이상 현상들이 발견되고 있으며, 사이버 범죄자들의 협박이 이어지고 있다고 한다. 아직 정확한 사건 분석 및 멀웨어 발견이 이뤄지진 않았지만, 킬디스크의 변형일 가능성이 매우 높다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)