한국엔 마이랜섬, 일본엔 Oni 랜섬웨어...동일범인가?

일본 타깃으로 스피어피싱 공격...동일범 소행 가능성
금전탈취용 ‘Oni’ 및 ‘MBR-ONI’ 랜섬웨어 감염 유도

[보안뉴스 김경애 기자] 최근 특정 국가를 타깃으로 한 맞춤형 공격에 랜섬웨어가 지속적으로 악용되고 있다. 우리나라의 경우 한국 사용자를 타깃으로 한 마이랜섬 랜섬웨어가 있다면, 일본은 일본인들을 타깃으로 한 ‘Oni’ 랜섬웨어가 등장해 이슈가 되고 있다.

▲ Oni 랜섬웨어 감염을 유도하는 스피어피싱 메일 화면[이미지=이스트시큐리티]

이스트시큐리티에 따르면 Oni 랜섬웨어는 지난 7월 사일런스(Cylance)가 보고한 랜섬웨어로, 일본어로 쓰여진 협박문 등이 특징으로 일본 기업을 표적으로 하고 있다고 밝혔다.

이러한 가운데 사이버리즌(Cybereason)은 지난 10월 31일 Oni의 공격활동 정보를 발표했다. ‘MBR-ONI’ 랜섬웨어도 새롭게 발견되는 등 기업을 타깃으로 금전 탈취를 노린 교묘한 수법으로 드러났다. Oni 랜섬웨어 공격은 2016년 12월부터 시작돼 2017년 9월경까지 계속된 것으로 추정되고 있다.

공격에는 ‘영수증’ 등의 제목과 함께 매크로가 포함된 악성 오피스(Office) 첨부파일이 포함된 이메일이 사용된다. 메일에는 ‘~입니다. 안녕하십니까? 영수증을 첨부하겠습니다. 확인 부탁 드립니다’라는 메시지가 포함돼 있다. 만약 사용자가 첨부파일을 실행해 매크로를 활성화하면, 사용자 컴퓨터에 ‘Ammyy Admin RAT’이 설치된다.

공격자는 이 RAT를 이용해 네트워크에 연결되어 있는 파일 서버 및 어플리케이션 서버로의 접근을 시도하며, 저장되어 있는 데이터와 시스템 등의 정보들을 계속 탐색한다. 이 과정에서 워너크라이(WannaCry) 등 랜섬웨어가 사용한 SMB 취약점 이터널블루(EternalBlue)를 악용할 가능성도 있다. 공격자는 침입 및 탐색 흔적들을 모두 삭제하고, Oni와 MBR-Oni 랜섬웨어를 사용해 데이터를 암호화하거나 컴퓨터를 사용 불능으로 만들어 비트코인을 요구한다.

Oni는 주로 PC 등 엔드포인트에 대한 공격에 사용되며, 감염되면 PC의 데이터들은 암호화된다. 파일을 암호화 한 후 확장자를 ‘.oni’로 변경하기 때문에 랜섬웨어 이름이 oni로 명명됐다. 한편, MBR-ONI는 파일 서버와 도메인 컨트롤러, Active Directory 서버 공격에 사용되며, MBR을 파괴하는 것으로 분석됐다.

현재 Oni와 MBR-ONI는 동일 공격자에 의해 제작된 것으로 추정되고 있다. 또한, 공격 목적은 금전적 이득으로 보이지만, 수개월에 이르는 공격시간과 교묘한 수법, 표적이 된 기업들의 사업 내용 등을 봤을 때 금전적인 이득 이외에 또 다른 목적 가능성도 제기되고 있다.

공격 받은 기업의 경우, 수백 대의 단말이 Oni에 감염되기 직전 상태에 노출되긴 했지만 심각한 피해에는 이르지 않은 것으로 알려졌다.

이와 관련 이스트시큐리티 측은 “이번 oni의 공격을 일본만의 현상으로 보지 않고 있다. ‘낫페트야(NotPetya)’과 ‘배드래빗(Bad Rabbit)’ 등과 마찬가지로 기업을 표적으로 하는 랜섬웨어 공격에 주의해야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)