로빈후드 랜섬웨어에 당한 볼티모어, 아직도 복구 작업 진행 중
랜섬웨어 퍼트린 건 NSA의 이터널블루라는 툴…제 도끼에 제 발 찍어
[보안뉴스 문가용 기자] 5월 7일 대대적인 랜섬웨어 공격에 당해 시 기능이 마비되다시피 한 볼티모어가 NSA의 이터널블루(EternalBlue)라는 해킹 툴에 당했다는 사실이 공개됐다. 이터널블루는 마이크로소프트의 윈도우 XP와 비스타에 존재하는 취약점을 익스플로잇 하는 도구로, 랜섬웨어가 이 도구를 타고 여기 저기 퍼진 것으로 나타났다.
이터널블루는 2017년 4월 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 공개한 것으로, 그 후 여러 사이버 공격자들이 악의적으로 활용했었다. 대표적인 사례가 워너크라이(WannaCry)와 낫페트야(NotPetya)다. MS는 이터널블루가 공개되자마자 취약점을 패치했다. 그러나 아직 많은 사용자들이 이 패치를 적용하지 않고 있다.
볼티모어 랜섬웨어 사건과 이터널블루와의 관계성을 제일 먼저 밝히고 보도한 건 뉴욕타임즈다. 해당 기사에서 타임즈는 “정부 기관은 기본적인 질문에조차 답을 하지 않고 있다”고 밝혔으며, 이 기사에 등장한 토마스 리드(Thomas Rid) 존스홉킨스대학 사이버 보안 전문가는 “정부 기관의 감독 체제는 실패하고 있으며, 국민들에게 답을 해야 할 의무가 있다”고 주장했다.
볼티모어 시는 지난 5월 7일 로빈후드(Robbinhood)라는 랜섬웨어에 감염됐다. 이 때 랜섬웨어 공격자들은 이터널블루를 사용해 멀웨어를 퍼트렸다. 볼티모어 시가 가지고 있던 서버 대부분이 마비됐고, 따라서 시의회의 각종 회의들이 취소됐다. 범인들은 협박 편지를 통해 한 시스템마다 3비트코인의 가격으로 복구시켜주겠다고 제안해왔다. 시스템 전체를 복구시키려면 13비트코인을 내라고 했다.
1주일 후 보안 업체 아머(Armor)는 볼티모어 네트워크에서 수집한 것으로 보이는 정보를 트위터에서 우연히 발견했다. 아머의 위협 첩보 전문가인 에릭 시포드(Eric Sifford)가 “5월 12일자 트윗 중 사용자 이름과 비밀번호 등 각종 민감한 정보와 관련된 내용을 포함하고 있는 것”을 발견했다며 “볼티모어 사건과 관련이 짙어 보였다”고 발표한 것이다. 해당 트위터 계정은 새로 만든 것이었으나, 아머는 계정 이름을 밝히지 않았다. 다만 로빈후드라는 단어가 있었다는 것만 공개했다.
“지금 시점에서 해당 트위터 계정이 진짜 범인들이 운영하고 있는 것인지, 누군가 악의적으로 장난을 치고 있는지 확신하기 어렵습니다. 다만 누군가 악의적으로 장난을 치는 것이라고 하더라도, 볼티모어 시 내부 문건에 대한 접근 권한이 있는 자의 소행인 것은 맞습니다.” 아머 측의 설명이다.
볼티모어의 시의회는 ‘사이버 보안 및 응급 대비 위원회(Committee on Cybersecurity and Emergency Preparedness)’를 만들고 시청 측에서 랜섬웨어 공격에 어떤 식으로 대응하는지 감독하기 시작했다. 그러나 아직 그 누구도 시 시스템의 완전 복구 시기를 예상조차 못하고 있다. 현재 유일하게 정상적으로 작동하고 있는 기능은 비상 사태 대응 서비스라고 한다.
여러 가지 비용 처리, 세금 관련 업무, 부동산 거래 등 시를 통해서 이뤄졌던 기능 대다수가 아직도 마비된 상태다. 이 때문에 볼티모어 시는 하청 업체나 계약자들에게 급여를 지급하지도 못하고 있다고 한다. 이러한 금전적인 문제들은 추가적인 소송으로 이어질 가능성이 있어, 볼티모어의 재앙은 아직도 그 끝이 보이지 않는다.
3줄 요약
1. 이번 달 초 랜섬웨어 겪은 볼티모어, 아직도 마비 상태 유지되고 있음.
2. 그런데 그 공격에 NSA가 만든 익스플로잇이 사용되었다는 사실이 밝혀짐.
3. 아직도 복구될 기미가 전혀 없고, 지불 관련 업무 지연되고 있어, 추가 소송 연이어 발생할 듯.
[국제부 문가용 기자(globoan@boannews.com)]
랜섬웨어 퍼트린 건 NSA의 이터널블루라는 툴…제 도끼에 제 발 찍어
[보안뉴스 문가용 기자] 5월 7일 대대적인 랜섬웨어 공격에 당해 시 기능이 마비되다시피 한 볼티모어가 NSA의 이터널블루(EternalBlue)라는 해킹 툴에 당했다는 사실이 공개됐다. 이터널블루는 마이크로소프트의 윈도우 XP와 비스타에 존재하는 취약점을 익스플로잇 하는 도구로, 랜섬웨어가 이 도구를 타고 여기 저기 퍼진 것으로 나타났다.
[이미지 = iclickart]
이터널블루는 2017년 4월 셰도우 브로커스(Shadow Brokers)라는 해킹 단체가 공개한 것으로, 그 후 여러 사이버 공격자들이 악의적으로 활용했었다. 대표적인 사례가 워너크라이(WannaCry)와 낫페트야(NotPetya)다. MS는 이터널블루가 공개되자마자 취약점을 패치했다. 그러나 아직 많은 사용자들이 이 패치를 적용하지 않고 있다.
볼티모어 랜섬웨어 사건과 이터널블루와의 관계성을 제일 먼저 밝히고 보도한 건 뉴욕타임즈다. 해당 기사에서 타임즈는 “정부 기관은 기본적인 질문에조차 답을 하지 않고 있다”고 밝혔으며, 이 기사에 등장한 토마스 리드(Thomas Rid) 존스홉킨스대학 사이버 보안 전문가는 “정부 기관의 감독 체제는 실패하고 있으며, 국민들에게 답을 해야 할 의무가 있다”고 주장했다.
볼티모어 시는 지난 5월 7일 로빈후드(Robbinhood)라는 랜섬웨어에 감염됐다. 이 때 랜섬웨어 공격자들은 이터널블루를 사용해 멀웨어를 퍼트렸다. 볼티모어 시가 가지고 있던 서버 대부분이 마비됐고, 따라서 시의회의 각종 회의들이 취소됐다. 범인들은 협박 편지를 통해 한 시스템마다 3비트코인의 가격으로 복구시켜주겠다고 제안해왔다. 시스템 전체를 복구시키려면 13비트코인을 내라고 했다.
1주일 후 보안 업체 아머(Armor)는 볼티모어 네트워크에서 수집한 것으로 보이는 정보를 트위터에서 우연히 발견했다. 아머의 위협 첩보 전문가인 에릭 시포드(Eric Sifford)가 “5월 12일자 트윗 중 사용자 이름과 비밀번호 등 각종 민감한 정보와 관련된 내용을 포함하고 있는 것”을 발견했다며 “볼티모어 사건과 관련이 짙어 보였다”고 발표한 것이다. 해당 트위터 계정은 새로 만든 것이었으나, 아머는 계정 이름을 밝히지 않았다. 다만 로빈후드라는 단어가 있었다는 것만 공개했다.
“지금 시점에서 해당 트위터 계정이 진짜 범인들이 운영하고 있는 것인지, 누군가 악의적으로 장난을 치고 있는지 확신하기 어렵습니다. 다만 누군가 악의적으로 장난을 치는 것이라고 하더라도, 볼티모어 시 내부 문건에 대한 접근 권한이 있는 자의 소행인 것은 맞습니다.” 아머 측의 설명이다.
볼티모어의 시의회는 ‘사이버 보안 및 응급 대비 위원회(Committee on Cybersecurity and Emergency Preparedness)’를 만들고 시청 측에서 랜섬웨어 공격에 어떤 식으로 대응하는지 감독하기 시작했다. 그러나 아직 그 누구도 시 시스템의 완전 복구 시기를 예상조차 못하고 있다. 현재 유일하게 정상적으로 작동하고 있는 기능은 비상 사태 대응 서비스라고 한다.
여러 가지 비용 처리, 세금 관련 업무, 부동산 거래 등 시를 통해서 이뤄졌던 기능 대다수가 아직도 마비된 상태다. 이 때문에 볼티모어 시는 하청 업체나 계약자들에게 급여를 지급하지도 못하고 있다고 한다. 이러한 금전적인 문제들은 추가적인 소송으로 이어질 가능성이 있어, 볼티모어의 재앙은 아직도 그 끝이 보이지 않는다.
3줄 요약
1. 이번 달 초 랜섬웨어 겪은 볼티모어, 아직도 마비 상태 유지되고 있음.
2. 그런데 그 공격에 NSA가 만든 익스플로잇이 사용되었다는 사실이 밝혀짐.
3. 아직도 복구될 기미가 전혀 없고, 지불 관련 업무 지연되고 있어, 추가 소송 연이어 발생할 듯.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
문가용기자 기사보기
[2025-04-07] 
