대형 IT 기업 코그니잔트, 메이즈 랜섬웨어에 당해 마비

30만 명 이상의 임직원 보유한 포춘 500대 기업...메이즈에 당해 마비
메이즈는 데이터 암호화 전에 일부 빼돌리고, 유출시키겠다는 이중 협박으로 유명

[보안뉴스 문가용 기자] IT 서비스 부문 대기업인 코그니잔트(Cognizant)가 메이즈(Maze) 랜섬웨어에 감염돼 일부 서비스를 중단할 수밖에 없었다고 발표했다. 코그니잔트는 포춘지 선정 500대 기업에 포함되는 곳으로 30만 명 이상의 직원을 보유하고 있다. 이번 공격으로 인해 정확히 어떤 피해를 얼마나, 어떤 식으로 입었는지는 아직 불투명하다.

[이미지 = iclickart]

일단 코그니잔트 측은 웹사이트를 통해 “내부 보안 팀과 외부 보안 전문가들이 힘을 합해 사건을 해결하기 위해 애쓰고 있다”고 밝히며 “유관기관과도 협조 체계를 구축해 수사를 진행하고 있는 상황”이라고 공개했다. 이를 제일 먼저 보도한 IT 매체 블리핑컴퓨터는 메이즈 운영자들과 인터뷰를 진행했는데, 이들은 이번 공격과의 연관성을 전면 부인했다. 사실 메이즈는 자신들의 공격을 인정한 적이 거의 없는 단체다.

코그니잔트 측은 조사를 통해 알게 된 침해지표를 고객들에게 제공하고 있기도 한데, 블리핑컴퓨터의 보도에 따르면 kepstl32.dll, memes.tmp, maze.dll이라는 파일들과 관련된 서버의 IP 주소들이 지표 속에 포함되어 있다고 한다. 이 파일과 IP 주소들은 전부 이전 메이즈 랜섬웨어 공격들의 침해지표에 등장한 것들이다.

이에 보안 전문가 비탈리 크레메즈(Vitali Kremez)는 메이즈 랜섬웨어의 일부 특징들을 활용한 규칙을 생성함으로써 식별을 가능하게 해주는 야라 규칙(Yara rule)을 만들어 트위터로 공개하기도 했다. 트위터의 링크를 좇아가면 다음 깃허브(https://github.com/k-vitali/Malware-Misc-RE/blob/master/2020-04-18-maze-ransomware-unpacked-payload.vk.yar) 계정이 나온다.

메이즈 랜섬웨어는 2019년에 처음 발견된 것으로, 그 동안 플로리다 주 등을 마비시키며 악명을 떨쳐왔다. 특히 ‘이중 협박’ 기법을 사용하기 때문에 더욱 악랄하다. 이중 협박이란, 기존의 ‘돈을 내지 않으면 파일을 영영 쓸 수 없다’라는 협박을 진행하면서 동시에 ‘돈을 내지 않으면 데이터를 유출시킨다’까지 추가한 것을 말한다. 데이터를 암호화 하기 전에 빼돌리기 하는 수법이 메이즈부터 유행하기 시작했다고 전문가들은 보고 있다.

이중 협박 전략을 쓸 경우 방어자들은 백업을 충실하게 마련하고 있는 상황에서도 범인들의 요구를 들어줄 수밖에 없다. 작년 11월 얼라이드 유니버설(Allied Universal)이라는 기업이 이런 공격에 당했다. 당시 공격자들은 300 비트코인을 요구했으나 얼라이드 유니버설 측이 이를 거부하자 민감한 정보를 유출시키겠다고 협박했다.

메이즈 운영자들은 공격 현황을 게시하는 웹사이트까지 만들었다. 여기서 비협조적인 고객(피해자)의 명단을 게시하고 주기적으로 해당 고객들의 데이터를 공개한다. 여태까지 수십 개의 기업들이 ‘강제 정보 공개’를 당했다. 법률 사무소, 의료 기관, 보험 회사 등이 고루 포함되어 있다. 아직까지 이 사이트에 코그니잔트의 것으로 보이는 데이터는 보이지 않고 있다고 한다.

3줄 요약
1. IT 서비스 업체인 코그니잔트, 메이즈 랜섬웨어에 당함.
2. 공격과 관련된 세부 사항은 공개되지 않았지마니 메이즈는 ‘이중 협박’으로 유명.
3. 이중 협박이란 ‘데이터 암호화’와 ‘데이터 공개’라는 두 가지를 동시에 들이미는 것.
[국제부 문가용 기자(globoan@boannews.com)]

내년 회사에 꼭 도입하고 싶은 보안 솔루션 또는 플랫폼은 무엇인가요?
	XDR
	EDR
	AI 보안
	제로트러스트
	공급망 보안 체계(SBOM)
	클라우드 보안 솔루션
	기타(댓글로)