Home > 전체기사

익스체인지 서버 패치 안 하면 랜섬웨어 놀이터 된다

  |  입력 : 2021-04-05 13:09
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
익스체인지 서버 사태가 대단위 랜섬웨어 공격으로 이어지고 있다. APT 단체가 미리 제로데이 익스플로잇으로 뚫어놓은 길을 아마추어 해커들까지 올라타고 있기 때문이다. 보통 이렇게까지 상황이 진전되면 일이 대단히 복잡해진다.

[보안뉴스 문가용 기자] 마이크로소프트 익스체인지 서버를 두고 속도 경쟁이 벌어지고 있는 상황이다. 기업과 기관들이 먼저 패치를 적용하느냐, 공격자들이 먼저 패치 적용 전의 서버를 찾아내 멀웨어를 심느냐의 싸움이 치열하다. 취약한 서버에 먼저 도착한 공격자들은 현재 랜섬웨어를 주로 심고 있다고 한다.

[이미지 = Pixabay]


익스체인지 서버에 랜섬웨어가 심기고 있다는 소식이 제일 처음 나온 건 3월 12일의 일이다. 마이크로소프트가 공식 패치를 발표하고서 열흘이 지난 시점에서다. 그러고서는 익스체인지 서버의 제로데이를 노리는 랜섬웨어 공격자들의 활동이 급증하고 있다는 경고가 여기 저기서 나오기 시작했다. 급기야 3월 30일에는 랜섬웨어 공격 시도 회수가 5만 번을 넘어선 것으로 집계됐다.

랜섬웨어 공격자들이 가장 많이 노리는 곳은 정부와 국방 분야, 제조업, 은행과 금융 산업이라고 보안 업체 체크포인트(Check Point)가 발표했다. 피해가 가장 큰 국가는 미국으로, 모든 공격 시도의 49%가 미국 조직을 겨냥한 것으로 나타났다. 그 다음은 영국(5%), 네덜란드(4%), 독일 순이었다.

가장 먼저 눈에 띈 랜섬웨어는 디어크라이(DearCry) 혹은 도조크립트(DoejoCrypt)라는 것으로, 원본 파일들을 먼저 복사한 후 암호화를 진행하고, 암호화 완료 후 원본 파일들을 삭제하는 방식으로 공격한다. 이는 과거 워너크라이(WannaCry)가 보여주었던 공격 순서이기도 하다. 디어크라이는 주로 차이나 초퍼(China Chopper)라는 웹셸을 통해 피해자 시스템으로 전달되는 것으로 분석됐다.

디어크라이가 파일을 암호화 한 후 부착하는 헤더 역시 워너크라이 공격에서 발견됐던 헤더와 비슷하다고 보안 업체 소포스(Sophos)가 발표했다. 엔지니어링 국장인 마크 로만(Mark Loman)은 자사 블로그를 통해 “우연일 가능성은 낮다”고 밝혔다. 여기에 더해 디어크라이의 바이너리에는 백신에 대한 방어 체제가 하나도 없었고, 모든 랜섬웨어 텍스트 문자열이 있는 그대로 노출되어 있었다고도 한다.

두 번째 랜섬웨어, 블랙킹덤
3월 18일 목요일, 소포스는 또 다른 랜섬웨어 조직의 움직임을 포착했다. “IT 팀들이 휴식을 취하거나 당번들만 남아 있어 보안이 허술한 틈을 주로 노리고 있습니다. 그래서 주말에 주로 활동이 포착됩니다.” 즉 취약한 익스체인지 서버를 보유하고 있으면서 패치도 하지 않고, 주말에 모니터링 요원을 운영하지 않는 조직이라면 이 두 번째 랜섬웨어 공격에 당할 가능성이 높다는 것이다. 이 공격자들에게는 블랙킹덤(Black Kingdom)이라는 이름이 붙었다.

소포스에 의하면 블랙킹덤은 대단히 ‘아마추어스럽고 유치하다’고 한다. “이번 익스체인지 사태에 대하여 알게 된 아마추어 해커들이 급하게 만들어낸 것으로 보입니다. 블랙킹덤은 파이선으로 작성됐으며, 오리지널 소스코드가 랜섬웨어 바이너리 내부에 그대로 남아 있도록 컴파일링 되었습니다.”

블랙킹덤 공격자들의 ‘아마추어스러움’은 파일 암호화 방식에서도 드러난다. “보통 랜섬웨어들은 파일을 암호화 할 때 독특한 파일 확장자 이름을 붙입니다. 그래야 중복돼서 암호화 되는 일이 발생하지 않거든요. 하지만 블랙킹덤은 파일 확장자를 무작위로 정합니다. 사실 랜섬웨어 공격자들 사이에서 거의 발견하기 힘든 공격 패턴입니다. 또한 암호화가 중복돼서 진행되는지조차 확인하지 않습니다.”

블랙킹덤은 피해자들에게 약 1만 달러의 돈을 요구한다. 오늘날 랜섬웨어 공격자들에 비하면 낮은 금액이다. 로만은 “이렇게까지나 초보 티를 팍팍 내는 공격자들까지 달려들고 있다는 건, 익스체인지 서버 사태가 그만큼 위험하다는 뜻”이라고 경고한다. “하프늄(Hafnium)이라는 PT 단체가 길을 뚫어놓으니까 아마추어들이 그 길을 그대로 따라가고 있죠. 사이버 공격이 악화되는 전형적인 패턴입니다. 앞으로도 계속해서 새로운 공격자들의 새로운 시도가 이어질 것입니다.”

3줄 요약
1. 익스체인지 서버 사태, 랜섬웨어 공격자들의 놀이터 되는 중.
2. 패치 발표나고서 불과 열흘 뒤부터 공격들이 여기 저기서 발견됨.
3. 초보 수준의 아마추어들까지 참전한 상황.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
2021 전망보고서넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
과기정통부가 발표한 ‘K-사이버방역 추진전략’ 8대 과제 가운데 가장 시급하고 중요하게 해결해야 할 과제는?
사이버보안 대응체계 고도화
수요자 중심 디지털보안 역량 강화
차세대 융합보안 기반 확충
신종 보안위협 및 AI 기반 대응 강화
디지털보안 핵심기술 역량 확보
정보보호산업 성장 지원 강화
디지털보안 혁신인재 양성
디지털보안 법제도 정비