전 세계 인터넷 사용자를 공포에 몰아넣은 워너크라이(워너크립터) 랜섬웨어 공격자들이 노린 것은 과연 무엇일까?
워너크라이는 지난 주말부터 영국 국가의료보건서비스(NHS)소속 병원 등 48개 기관, 러시아 내무부, 브라질 세무기관, 스페인의 이동통신사 텔레포니카, 미국 페덱스, 일본 닛산, 프랑스 르노 공장, 독일 국영철도회사 도이체반, 중국 석유천연가스집단(CNPC), 인도네시아·일본의 병원 등 150개국에서 수많은 피해를 입혔다.
그러나 체크포인트가 조사한 바에 따르면 워너크라이 랜섬웨어의 복호화 프로세스에 문제가 있다. 체크포인트는 개발자가 파일을 복호화 할 능력이 있는지 의심스럽다고 지적했다.
이 멀웨어에는 두 가지 개별 복호화/암호화 루틴이 있다. 하나는 피해자의 파일 전체에 적용하는 것으로, 각 파일을 고유 키로 암호화한다. 파일을 복호화하려면 개발자가 제공하는 비공개 RSA 키(.dky 파일로 제공)가 필요하다.
두 번째 암호화/복호화 루틴은 ‘무료 데모’로 10개 파일을 복호화한다. 다른 랜섬웨어 공격과 마찬가지로 데이터 몇 개를 풀어준 후, 돈을 지불하면 복호화가 가능한 것처럼 인식하게 해 돈을 내도록 유도하는 것이다. 이 10개 파일은 암호화 당시 무작위로 선택되고 각 파일이 고유 키로 암호화된다. 10개 파일의 비공개 RSA 키는 피해자의 컴퓨터에 저장된다.
메인 복호화 함수는 비공개 RSA 키가 들어 있는 .dky 파일을 호출하는데, 그러면 컴퓨터의 모든 파일이 복호화 돼야 한다. 암호화 모듈이 드롭한 f.wnry 파일을 호출하는데, 여기에는 데모 파일 목록이 포함돼 있다. 비공개 RSA 키는 모듈에 하드 코드 돼 있다. 두 함수는 모두 import_RSA_key 모듈을 호출한다. 메인 암호 해독기는 .dky 파일의 경로를 인수로 사용하고, 데모는 null을 인수로 사용한다.
비트코인 지불 방법도 쉽지 않다는 것도 실제 공격 목표를 의심할 필요가 있다. 체크포인트는 지불수단과 지불하는 사람 사이에 연결고리가 없다고 밝혔다. 다른 랜섬웨어의 경우 감염됐을 때 ‘지불하기’ 등의 버튼을 통해 피해자가 쉽게 비트코인을 보낼 수 있는 방법을 안내하고, 돈을 지불하면 즉시 데이터를 살려줘 ‘공격의 신뢰’를 높이고자 한다. 워너크라이는 공격자와 연락이 되지 않으며, 돈을 지불한다 해도 데이터를 돌려받지 못한다.
초보적인 방법으로 대규모 공격 가능
워너크라이는 정교하게 만들어진 공격이 아닐 수 있다. 그러나 단숨에 전 세계를 감염시킬 수 있는 효과가 있다는 사실을 증명해 보였다는 사실 때문에 더 긴장감을 가져야 한다.
지난해 발생한 미라이 봇넷은 관리자 권한이 통제되지 않은 CCTV를 이용해 대규모 디도스 공격을 일으켰다. 고도의 공격툴이 아니어도 원하는 쉽게 공격을 진행할 수 있다는 것이었다.
워너크라이 역시 보안 패치를 하지 않는 사람들의 습관을 이용해 취약점 공격을 진행했다. 악성파일을 열어보거나 악성 사이트로 유도하지 않고 단순히 취약점 패치가 되지 않은 시스템이 스스로 멀웨어를 전파하도록 했다.
문종현 이스트시큐리티 시큐리티대응센터장은 “공격의 목적과 목표를 잘 살펴봐야 한다. 워너크라이는 돈을 벌기 위한 목적도 있지만, 다른 목적도 있을 수 있다는 사실을 점검해봐야 한다. 워너크라이는 네트워크 취약점을 이용해, 전 세계에 빠른 속도로 영향을 미쳤다. 전 세계를 대상으로 랜섬웨어와 네트워크 웜이 결합한 형태로 공격이 진행된 것은 전 세계 최초이다”라고 말했다.
공격자가 노린 것은 무엇인가
워너크라이 공격자라고 주장하는 해커그룹 섀도우 브로커스의 주장을 보면 실제 공격 목표가 별도로 있을 수도 있다. 섀도우 브로커스는 자신들이 SWIFT를 공격했고, 러시아, 중국, 이란, 북한 등의 핵 미사일 프로그램에 관한 네트워크 정보를 해킹했다고 주장했다. 그러면서 6월 월 구독 기반 유료 서비스를 제공해 자신들이 입수한 정보를 판매하겠다고 밝히고, 더 많은 돈을 내면 데이터를 완전히 넘겨주겠다는 내용을 SNS을 통해 알리기도 했다.
지난 2014년 한국수력원자력을 해킹한 ‘원전반대그룹’은 해킹 사실을 알리면서 원전을 멈추지 않으면 파괴하겠다는 메시지를 보내면서 ‘원전반대’의 목소리를 내는 사회단체를 대변하는 핵티비스트처럼 행동했다. 그러나 결국은 자신들이 빼낸 정보를 고가에 판매하기 위해 여론전을 펼친 것으로 드러났다.
워너크라이 공격자 역시 이와 같은 형태의 공격일 가능성이 있다. 랜섬웨어는 공격자가 공개하는 비트코인 지갑을 추적하면 공격자의 위치가 드러날 수 있다. 그러나 기밀정보를 특정 국가나 조직과 은밀하게 거래하면 공격자를 드러내지 않고 수익을 얻을 수 있다.
공격자들이 돈이 아니라 정치·사회적인 목적으로 공격을 진행하는 것일 수도 있다. 공격자들은 조만간 새로운 윈도우 취약점을 이용해 공격할 것이라고 경고했으며, 다른 공격툴도 많이 보유하고 있다고 밝힌 바 있다.
이번 공격은 미국 NSA가 만든 해킹툴이 해킹으로 지하시장에 유포되면서 만들어진 것으로,많은 공격집단이 많은 수의 변종을 만들어 다양하게 공격할 가능성도 있다. 그 중에는 초보 공격자에 의한 공격도 있을 수 있으며, 전문가가 조직적으로 결합해 정교하게 설계된 공격 전술·전략에 따른 것일수도 있다. 전문가가 초보자처럼 위장할 수 있고 다른 공격 집단의 행위로 위장해 수사를 혼란하게 만들 수도 있다.
문종현 이스트시큐리티 시큐리티대응센터장은 “공격에 사용된 수단과 공격 기법을 분석만 해서는 대응하기 어렵다. 공격자들의 전략과 전술을 파악하고 정확하게 대응하는 것이 필요하다. 특히 잘 설계된 공격은 정교한 심리전을 펼치며 사회혼란을 일으키기 때문에 이에 침착하게 대응할 역량이 필요하다”며 “공격자가 만들어놓은 블랙홀에 빠져들지 않기 위해 사이버 보안과 사이버 안보에 대한 인식 전환이 필요하다”고 말했다.
