세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
Home > 전체기사
평창올림픽 공격한 첫 멀웨어는 다름 아닌 ‘파괴형 멀웨어’
  |  입력 : 2018-02-13 08:23
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
이미 사전에 네트워크 침해해 올림픽 관련 시스템 구조 알아낸 듯
정보 훔치거나 범죄에 가까운 행위 발견되지 않아...행사 망치고 싶은 공격자들


[보안뉴스 문가용 기자] 평창올림픽이 각종 해커들의 표적이 될 것이라는 전망이 맞아 떨어지고 있다. 여러 컴퓨터 시스템과 웹사이트, 서비스가 파괴형 멀웨어의 공격으로 마비되기에 이른 것이다.

[이미지=iclickart]


해외 보안 매체들과 시스코 탈로스 팀에 의하면 2월 9일 열린 개막식 당시 사이버 공격이 발생했다. 당시 공격 대상은 개막식 진행에 있어 중요치 않은 시스템과 인터넷 서비스, TV 시스템 등이었다. 공격에 사용된 건 파괴형 멀웨어였다고 한다. 즉, 데이터를 어디론가 옮기거나 훔치려는 시도는 보이지 않았다는 것이다. 이 멀웨어에는 올림픽 디스트로이어(Olympic Destoryer)라는 이름이 붙었다.

탈로스 팀은 블로그를 통해 “멀웨어 샘플을 분석한 결과 공격자들이 정상적인 소프트웨어를 사용해 최대한 은밀히 침투하고자 했다”고 밝혔다. 여기서 말하는 정상적인 소프트웨어란 PsExec라는 원격 관리 툴과 WMI(윈도우 관리 도구)다. 멀웨어는 어떤 방법으로 시스템에 침투한 뒤 PsExec과 WMI라는 정상 툴을 활용해 네트워크 안에서 이동할 수 있었다고 한다. “이러한 시도는 배드래빗(BadRabbit)과 니에트야(Nyetya) 랜섬웨어에서 봤던 것입니다.”

그렇다고 배드래빗과 니에트야 랜섬웨어 공격자들이 이번 평창올림픽을 노리고 공격했다고 결론을 내릴 수는 없다. 실제로 올림픽위원회와 IOC는 아직 디스트로이어 멀웨어에 대한 시스코 탈로스 팀의 분석에 대해 공식 발표를 하지 않고 있다. 공격자가 누군지 확실히 밝혀지지 않았기 때문이다. 공격자들이 자신들의 논리적 위치를 감추는 것은 전혀 어렵지 않은 일이다.

하지만 공격 동기는 올림픽 조직위나 이번에 올림픽을 개최하는 한국 정부를 세계적인 망신거리로 삼으려는 것이라고 탈로스 팀은 보고 있다. 웹사이트를 마비시켜 티켓을 구매할 수 없게 한다던가, 와이파이 시스템을 작동 불가로 만들어 개회식에 대한 현장 소식이 전달되는 데에 어려움을 주는 것은 다 이러한 공격 동기로 설명이 된다. “멀웨어 샘플 안에는 하드코드 된 크리덴셜이 있었습니다. 이 크리덴셜은 시스템에 침투하는 데에 필요한 것이었고요. 아마도 개회식에 대한 디스트로이어 공격이 있기 한참 전부터 컴퓨터 네트워크가 이미 침해된 것으로 보입니다.”

이 부분에서 생각나는 것이 있다. 또 다른 보안 업체 크라우드스트라이크(CrowdStrike)가 지난 11월과 12월 국제 스포츠 관련 기관들 사이에서 크리덴셜을 훔치는 대규모 사이버 공격이 벌어지고 있다는 경고를 보안 커뮤니티에 알린 바 있는 것. 당시 크라우드스트라이크는 해당 공격이 팬시 베어(Fancy Bear)의 소행이라고 추측했다. 하지만 확신하지는 않았다. 팬시 베어는 러시아의 해킹 그룹이라고 알려져 있다. 크라우드스트라이크의 부회장인 아담 메이어스(Adam Meyers)는 해외 매체를 통해 “이번 올림픽 개막식 공격이 러시아의 소행이라는 증거는 없다”고 말하기도 했다.

탈로스와 크라우드스트라이크가 올림픽 디스트로이어의 샘플을 분석한 결과, 정보 탈취 기능을 가진 요소 두 개가 제일 먼저 피해 시스템 내에 주입된다는 것을 알아냈다. 기밀이나 개인정보를 빼돌리는 것이 아니라 네트워크 내에서 횡적으로 움직이기 위해 크리덴셜을 훔치기 위함이다. 바이너리 내에 하드코딩 된 크리덴셜도 이러한 목적으로 활용됐다.

또한 공격자가 누구인지는 모르지만 이번 평창올림픽 내 시스템과 인프라에 대한 지식이 풍부한 사람인 것 같다고 한다. 바이너리 내에 하드코딩된 계정 정보만 44건이었다(사용자 이름, 도메인 이름, 서버 이름, 비밀번호). 이는 시스템 인프라를 알고 있다는 뜻이라고 전문가들은 분석한다. 정보 탈취기는 인터넷 익스플로러, 파이어폭스, 크롬 모두와 호환된다. 레지스트리를 확인하고 sqlite 파일에 대한 쿼리를 전송해 저장된 트리덴셜을 얻어내는 것으로 분석됐다.

횡적으로 움직이는 올림픽 디스트로이어는 특정 시스템에 도달하면 곧바로 파괴 행위를 시작했다. 이때 cmd.exe를 사용해 모든 섀도 복사본을 전부 삭제하고 wbadmin.exe를 차단해 파일 복구 과정을 어렵게 만들었다. wbadmin.exe는 관리자가 파일과 폴도, 혹은 드라이브를 개별적으로 복구하는 데 활용되는 툴이다. 그렇게 한 후 디스트로이어는 다시 한 번 cmd.exe를 사용해 bcdedit도 손상시켰다. 윈도우의 복구 콘솔이 제대로 작동하지 못하도록 하기 위함이다.

섀도 복사본과 각종 복구 툴을 다 망가트린 디스트로이어는 다음으로 보안 윈도우 이벤트 로그를 지워나간다. 분석을 힘들게 만들기 위해서다. “이런 철저한 파괴 행위를 보건데, 공격자는 아예 기계와 시스템 자체를 완전히 고장 내고 싶어 합니다. 자기들이 얻어가는 게 없어도 평창올림픽을 망쳐놓겠다는 것이죠.”

올림픽 디스트로이어는 ChangeServiceConfigW API를 사용해 시작 유형을 4로 변경시키는데, 이는 특정 서비스가 시작되지 못하게 막는다는 뜻이다. 즉 복구를 불가능하게 하고, 분석을 어렵게 만든 후에는 서비스가 시작되지 못하게 하는 단계를 차근차근 밟아나가는 게 디스트로이어의 작업 방식이다. “그리고 마지막으로는 침해된 시스템을 꺼버립니다. 기기 하나가 완전히 먹통이 되는 겁니다.”

여태까지 올림픽을 겨냥한 사이버 공격에 관한 경고들은 대부분 참가자나 선수, 관람객들을 겨냥한 공격에 초점을 맞춘 것이었다. 즉 피싱 공격이나 소셜 엔지니어링 공격에서 시작되는 범죄 행위가 가장 많이 예상되는 사이버 공격 유형이었다. 파괴형 멀웨어는 사이버전이나 정치적인 공격 수단으로 많이 활용되지, 사이버 범죄에 이용되는 사례는 그리 많지 않다. 상대 시스템을 파괴하면 범죄자들이 얻어갈 것도 거의 없기 때문이다. 디스트로이어가 발견되었다는 건 올림픽이 사이버전 부대들을 일하게 할 만큼 정치적인 행사이거나, 한국 정부가 타국 정부의 공격에 노출되어 있다는 뜻이 된다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
#평창   #올림픽   #파괴형   #멀웨어   


  •  SNS에서도 보안뉴스를 받아보세요!! 
WD 파워비즈 2017-0305 시작비츠코리아 파워비즈시작 2017년7월3일
설문조사
공인인증서 제도가 폐지될 것으로 보입니다. 향후 공인인증서를 대체할 수 있는 최고의 인증기술은 무엇이라고 보시나요?
생체인증
전자서명
바코드·QR코드 인증
블록체인
노 플러그인 방식 인증서
기타(댓글로)