세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
랜섬웨어끼리 훔치고 난리 났다! 페트랩 등장!
  |  입력 : 2017-03-15 08:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
기존 랜섬웨어의 기능 훔쳐내 새로운 랜섬웨어처럼 시장에 나와
랜섬웨어 범죄자들 간 경쟁구도 심화되고 있는 듯...긍정적인 소식


[보안뉴스 문가용 기자] 보안 전문업체 카스퍼스키 랩(Kaspersky Lab)은 최근 또 다른 랜섬웨어 패밀리를 발견했다. 이 랜섬웨어의 기능은 특이하게도 악명 높은 랜섬웨어인 페트야(Petya)의 각종 기능들을 훔쳐내는 것이라고 한다. 그래서 카스퍼스키는 이 랜섬웨어를 페트랩(PetrWrap)이라고 한다.


페트랩은 페트야의 암호화 기능을 활용해 피해자의 데이터를 묶어둔다. 페트랩 개발자들은 특수 모듈을 만들어 원래 멀웨어인 페트야를 그때그때 조작할 수 있도록 했다. 그래서 페트야의 원 개발자들이 이에 대해 아무런 조치를 취할 수가 없도록 한 것이다.

보안 전문가들은 이런 랜섬웨어의 등장이 ‘랜섬웨어 범죄자들 사이의 경쟁이 심화되고 있다는 걸 반영한다’고 분석한다. 보안 업체 비숍 폭스(Bishop Fox)의 보안 분석가인 거번 클레인(Gerben Kliejn)은 “랜섬웨어의 원래 코드를 살짝 조작해 사용하는 것 자체가 새롭게 나타난 현상은 아니”라며 “그렇게 해주는 툴들이 암시장에서 거래되고 있다”고 설명한다. “하지만 페트랩처럼 다른 범죄조직이 만든 랜섬웨어의 일부 기능만을 쏙 빼거나 대체해서 완전히 새로운 랜섬웨어 패밀리처럼 만든 것은 이번이 처음입니다.”

페트야 자체는 2016년 5월에 처음 발견된 랜섬웨어로 컴퓨터에 저장된 데이터를 암호화하고 하드디스크 드라이브의 마스터 부트 레코드를 겹쳐쓰기 해서 감염된 컴퓨터의 부팅이 불가능하도록 만든다. 페트야는 서비스형 랜섬웨어 형태로 제공된 거의 최초의 랜섬웨어로, 랜섬웨어 공격이 가능한 범죄자들이, 그렇지 않은 범죄자들에게 돈을 받고 멀웨어를 대여해주는 사업모델이 페트야 때부터 적극 도입되기 시작했다. 이번 페트랩 개발자들은 페트야 내에 장착된 ‘수수료 결제’ 기능을 파훼한 것으로 보인다.

현재까지 랜섬웨어 개발자들은 암호화 알고리즘을 피해자 기기에서 올바로 돌리는 것에 집중해왔다. 피해자가 전문가들에게 의뢰해 복호화 하지 못하도록 하는 데에 주력한 것이다. 그래서 여러 가지 랜섬웨어가 등장해 말 그대로 ‘창궐’하기에 이르렀다. 그러면서 랜섬웨어 개발자들은 추가로 자신들이 개발한 멀웨어를 누구나 리버스 엔지니어링 하지 못하도록 ‘보호’하는 데에 노력을 기울이기 시작했다.

페트랩 개발자들은 다름 아니라 이 부분을 노린 것이다. 아직 멀웨어들의 보호 메커니즘이 더 단단해지기 전에 다른 경쟁 범죄자들이 애써 개발한 코드를 훔쳐 사용하기 시작한 것. 현재 이들은 기기를 감염시키고 코드를 실시간으로 변경하는 데에 사실상 페트야를 사용하면서 동시에 자신들이 페트야를 사용하고 있다는 사실 자체를 숨기고 있다고 한다.

페트야는 랜섬웨어 중에서도 꽤나 강력한 알고리즘을 보유하고 있기 때문에 다른 랜섬웨어 개발자들에게 사실 탐이 날 수밖에 없는 물건이다. 게다가 초기 버전에 있었던 실수와 오류가 계속해서 수정되었기 때문에 현재 버전은 더더욱 강력하다. 카스퍼스키의 랜섬웨어 전문가인 안톤 이베노프(Anton Ivenov)는 “랜섬웨어 범죄자들 간의 경쟁 심화 구도는 우리에게 좋은 소식”이라고 말한다.

“그들 사이의 경쟁을 통해 도태되는 랜섬웨어들이 생길 겁니다. 보안 업계가 모든 랜섬웨어를 일일이 발견하고 챙길 필요가 없다는 뜻이죠. 물론 살아남은 랜섬웨어는 매우 강력할 것으로 보이지만, 지금 문제가 되는 것은 랜섬웨어의 수량 자체이기도 합니다. 지금도 랜섬웨어 암호화 풀기가 쉽지 않은 건 마찬가지고요.”

한 가지 우려되는 건 페트랩이 표적형 공격에 활용된다는 것이다. 즉, 대부분의 경우 피해가 민간 기업들에게 몰린다. “현재 랜섬웨어가 아니더라도 사이버 범죄자들이 기업을 겨냥하는 경우가 많아지고 있습니다. 취약한 서버를 찾아내 자신들에게 도움이 될 만한 데이터로 접근하고, 거기서부터 랜섬웨어는 물론 정보 유출 공격 등을 감행하는 것이죠.”

최근 랜섬웨어 탐지에 많이 활용되고 있는 건 행동 분석 및 이상 행동 탐지 기법이다. 피해자 시스템에서 멀웨어 자체를 찾아낸다기보다 이상한 프로세스가 시스템에서 실행되는 건 아닌지 살피는 게 더 효과적이라는 게 증명되기 시작했다. 또한 기존의 대처법이라고 알려진 데이터 백업과 사용자 교육 등은 여전히 중요하다.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

#petya   #랜섬웨어   #경쟁   #심화   


보안 전문가 2명 중 1명은 주말에도 일합니다. 여름 휴가도 마찬가지일 것 같은데요. 보안 인력의 휴식권에 대해 어떻게 생각하시나요?
제대로 쉬려면 보안 인력을 늘리는 수밖에 없다
보안 업무의 특성상 휴식권을 보장하기 어렵다. 감수해야 한다
국가적 차원에서 보안 인력의 근로 조건을 개선해야 한다
제대로 못 쉬는 대신 금전적으로 보상하면 된다
보안 인력에 대한 인식과 처우가 낮다는 게 근본적인 문제다
기타(댓글로)