Home > 전체기사
코로나 사태 진정될 때까지 랜섬웨어 공격 중단하겠다고?
  |  입력 : 2020-03-25 12:40
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
3월 중순, 한 보안 업체가 램선웨어 공격자들에게 “적어도 병원은 놔두라”
그 후 해킹 포럼에서 “코로나 지나갈 때까지 공격 멈추자”는 의견이 나오기 시작


[보안뉴스 문가용 기자] 유례없는 팬데믹 사태가 전혀 연관성 없어 보이는 사람들까지 뭉치게 만들었다. 지난 3월 중순, 메이즈 랜섬웨어 공격자로 유명한 메이즈(Maze) 그룹이 “의료 기관에 대한 공격을 중단하겠다”고 발표한 것이다. 이 공격 중단 선언은 코로나 바이러스 사태가 진정될 때까지 유효할 것이라고 한다. 이에 여러 랜섬웨어 관련 그룹들이 다크웹 해킹 포럼에서 비슷한 발언과 약속을 했다.

[이미지 = iclickart]


하지만 이 약속이 잘 지켜질지는 더 두고 봐야 한다. 일단 메이즈는 공격 중단 발표를 하던 시간에 영국의 의료 연구 시설인 해머스미스 메디슨 리서치(Hammersmith Medicines Research)에 돈을 달라는 내용의 협박을 가하고 있었다고 한다. 3월 20일에는 체코공화국의 한 대학병원이 랜섬웨어로 보이는 멀웨어의 공격을 받아 병원 전체가 마비되기도 했었다. 코로나 바이러스나 COVID-19를 키워드로 한 피싱 공격은 전혀 줄어들 기미가 보이지 않는다.

이런 상황이니 범죄자들의 선언이나 약속을 쉽사리 믿기가 힘든 게 사실이다. 보안 업체 크라우드스트라이크(CrowdStrike)의 부회장인 아담 메이어스(Adam Meyers)는 “코로나 바이러스나 팬데믹 사태는 흔히 경험할 수 없는 것이며, 전 세계적으로 공포심을 불러일으키고 있다”며 “그 공포심이란 건 사이버 공격자들이 가장 좋아하는 재료 중 하나”라고 지적한다. “이런 기회를 그들이 기꺼이 마다하겠다? 글쎄요. 쉽게 믿을 수 없습니다.”

보안 업체 에미소프트(Emisoft)는 지난 3월 18일, 랜섬웨어 공격을 해결하려는 과정 중에 공격 단체에게 “최소한 지금과 같은 때에는 의료 기관에 대한 공격을 중단해야 하지 않겠느냐”라고 호소했다. “최소한 몇 달 정도는 의료 기관과 병원에 대한 공격을 멈추고, 실수로 공격이 들어갔다고 하더라도 최대한 빨리 해결해 달라”는 것이 그 요청 내용이었다. 메이즈 그룹도 공격을 당분간 중단하겠다는 발표를 하면서 “보안 업계의 특별한 요청이 있었다”고 언급하기도 했다.

그런데 이 때문인지 해커들이 서식하는 지하 시장에서 논의가 시작됐다. 일부 사이버 범죄자들이 에미소프트의 말에 동의한 것이다. 그러면서 여느 때처럼 코로나 바이러스를 미끼로 삼아 할 수 있는 일이 무엇이 있을까 누군가 물어보면, 답글과 함께 비판의 글도 같이 달리는 진풍경이 벌어지기도 했다. 이를 보안 업체 디지털 셰도우즈(Digital Shadows)가 목격했다고 한다.

디지털 셰도우즈의 알렉스 구이라쿠(Alex Guirakhoo)는 “긴급한 상황이나 재난이 발생했을 때 이를 테마로 한 사이버 공격은 앞으로도 계속 있을 것이 분명하다고 계속해서 말해 왔는데, 이번 코로나 사태 때문에 사이버 범죄자들 사이에서 좀처럼 볼 수 없던 이야기가 나오고 있다는 게 매우 흥미롭다”고 자사 블로그에 썼다. “심지어 ‘이미 심각한 사태이니 언 발에 물 붓지 말자’는 식의 제안도 어렵지 않게 발견할 수 있었습니다.”

그러나 너무 기대하는 건 금물이다. 이런 ‘선의의 기류’가 다크웹을 뒤덮고 있다거나, 공격 중단에 대한 이야기가 진지하게 오가는 건 아니기 때문이다. 아직도 다크웹은 다크웹이고, 범죄자들은 범죄자들이다. 또한 공격 중단을 주장하는 이들이 정말 선의로 그런 말을 하는 것인지도 분명치 않다. 일부는 경쟁자를 떨궈내려, 혹은 의료 기관의 방어력을 약화시키려는 의도를 가지고 있을 수도 있다.

보안 업체 시놉시스(Synopsys)의 수석 보안 전략가인 팀 맥키(Tim Mackey)는 “지금과 같은 때는 사이버 범죄 사업 확장의 적기”라며 “사람들이 평소보다 쉽게 속고, 보안 인력이 모자라고, 따라서 방어력이 크게 낮춰진 지금, 왜 굳이 범죄자들이 기회를 놓치겠는가?”라고 되묻는다. “공격자들은 공격 수칙이나 교전 수칙을 스스로 정하는 자들입니다. 절대 통념에 비추어 생각하면 안 됩니다.”

첩보 전문 업체 트루스타 테크놀로지(TruSTAR Technology)의 CEO인 패트릭 커플린(Patrick Coughlin)은 “사이버 범죄자들과 국가의 지원을 받는 사이버전 부대의 구분이 점점 힘들어지는 때라는 걸 기억해야 한다”며 “범죄자들이 선의를 베풀 의향이 있다는 엉뚱한 콘셉트를 가지고 노이즈를 만들어내는 것일 수도 있다”고 주장했다. 실제 사이버 범죄자들의 공격 행위는 오히려 증가 중에 있다.

“하지만 더 중요한 건 팬데믹 사태로 인해 여러 조직들이 원격 근무자들을 이전과 비교도 할 수 없을 정도로 많이 두게 되었다는 겁니다. 정상 패턴이라는 게 완전히 달라졌죠. 코로나가 끝나고 나서 어떤 근무 환경이 도래할 지는 아무도 모릅니다만, 그전으로 완전히 똑같이 복귀하지는 못할 겁니다. 그렇다는 건 보안의 원리가 크게 바뀔 가능성이 농후하다는 소리입니다. 보안 업계는 코로나 이후의 세상을 미리 대비하고 있어야 합니다. 이미 공격자들 입에서 ‘잠시 중단하자’는 말이 나왔다는 것 자체가 새로운 세상을 나타내지 않습니까? 그것이 속임수이든 진심이든 말이죠.” 커플린의 설명이다.

3줄 요약
1. 일부 랜섬웨어 공격자들, “코로나 사태 동안에는 병원 공격하지 않겠다” 약속.
2. 하지만 이 약속이 잘 지켜질지는 확실치 않다며 보안 업계는 의심의 눈 뜨고 있음.
3. 더 중요한 건 ‘코로나 이후의 정보 보안’에 대비하는 것.

Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)