세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
삭제형 멀웨어 킬디스크, 랜섬웨어를 업고 나타나다
  |  입력 : 2016-12-30 16:27
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
산업 시설 주로 노리던 멀웨어, 랜섬웨어 유형으로 변형
이미 동유럽 화학 단지 및 우크라이나 쪽서 공격 발견돼


[보안뉴스 문가용 기자] 악명 높은 멀웨어가 랜섬웨어와 결합했다. 보안 전문업체인 사이버엑스(CyberX)의 분석팀이 발견해 알려온 소식으로, 킬디스크(KillDisk)라는 디스크 삭제 멀웨어가 랜섬웨어로 둔갑했다는 내용이다. 킬디스크는 올해 초 우크라이나에서 발생한 대규모 정전사태의 주범이 된 멀웨어다.


랜섬웨어와 결합한 킬디스크는 데이터를 지우는 대신 디스크를 통째로 암호화하고, 이것을 가지고 사용자를 협박한다고 한다. 킬디스크가 노리는 건 하드디스크만이 아니다. 네트워크에 연결된 모든 폴더들도 킬디스크의 표적이다. 킬디스크는 사용자에게 약 222 비트코인을 요구한다고 알려져 있다. 이는 약 20만 6천 달러에 해당한다.

사이버엑스의 부회장인 필 너레이(Phil Neray)는 “산업 시설에 가해지는 랜섬웨어 공격은, 다른 일반 기업체에서 발생하는 공격과 그 피해 규모가 다르다”고 설명한다. 피해를 끼친다는 점에서는 킬디스크의 이전 버전이나 지금 버전이나 크게 다르지 않지만, 랜섬웨어의 경우 범죄자가 수익도 거둘 수 있다는 장점을 가지고 있다. “예를 들어 공장주들은 가동을 멈추는 대신 랜섬웨어에 순순히 돈을 낼 가능성이 크죠.”

필 너레이는 “새 변종을 개발한 단체는 텔레보츠(TeleBots)라는 사이버 갱단으로 샌드웜(Sandworm)이라는 유명 해킹 그룹에서 파생된 것으로 보인다”고 배후 세력에 대해 설명했다. 샌드웜 갱은 2014년 블랙에너지(BlackEnergy)라는 멀웨어를 사용해 미국의 다양한 산업 제어 시스템과 SCADA 시스템을 공격한 것으로 유명하다. 이 블랙에너지라는 멀웨어는 킬디스크와 함께 지난 우크라이나 정전 사태 때 발견된 멀웨어이기도 하다.

“우크라이나의 채광 회사와 철도 회사가 최근 블랙에너지와 킬디스크의 공격을 받은 것으로 보입니다. 물론 여기서 말하는 킬디스크는 랜섬웨어화된 버전을 말합니다. 올해 초 우크라이나 정전 사태 때 발견된 멀웨어와 기능적인 면에서 거의 같습니다. 데이터를 지운다는 것만 빼고요. 계속해서 사회 기반 시설 및 산업 인프라를 노리고 공격이 이어질 것으로 예상됩니다.”

현재 사이버엑스 외에도 이 멀웨어를 발견한 보안 전문가들이 몇몇 더 있다. 특히 동유럽 쪽의 화학 공장 단지 등에서 이상 현상들이 발견되고 있으며, 사이버 범죄자들의 협박이 이어지고 있다고 한다. 아직 정확한 사건 분석 및 멀웨어 발견이 이뤄지진 않았지만, 킬디스크의 변형일 가능성이 매우 높다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
북한의 사이버 공격이 갈수록 심해지고 있습니다. 해킹 공격이 미사일 공격보다 더 무섭다는 소리도 나올 정도입니다. 정부 차원에서 더 강화된 사이버 보안을 위한 전략을 새롭게 수립해야 한다고 생각하십니까?
아니다. 지금 있는 것만 제대로 해도 충분하다.
그렇다. 단, 미국의 행정명령처럼 장기적인 방향성을 가져야 한다.
그렇다. 단, 지금의 위기상황에 당장 적용할 수 있는 것이어야 한다.
아니다. 민간 차원에서 해결할 수 있어야 한다.
정부 차원의 전략이 얼마나 도움이 될지 잘 모르겠다.
크게 보면 외교 문제다. ‘보안’의 시각으로만 접근해서는 안 된다.
기타(댓글로)