> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
워너크라이, 기밀 데이터 판매 위한 공격 가능성 제기
일반 랜섬웨어와 달리 돈 받는데 적극적이지 않아…쉬운 감염·확장력 과시하기 위한 것일 수 있어
     관련기사
  PC에서 PC로 감염되는 신종 랜섬웨어 비상
  워너크라이 랜섬웨어, 국내 대기업·대형병원도 피해 입혀
  한전, 랜섬웨어 공격대비 안정적 전력공급에 만전
  ‘워너크라이 대란’ 피했지만, 추가 공격 가능성 여전
  파이어아이 “워너크라이, 북한 배후설 근거 부족하다”
  산업부, 산하 공공기관 사이버 대응현황 점검
  카본블랙, 세미나 통해 엔드포인트 보안 방안 소개
  “6월, 워너크라이 변종 쏟아지나”
  “워너크라이, 비트코인 보내도 데이터 복구 못해”
2017년 05월 18일 10:11:23 김선애 기자 iyamm@datanet.co.kr

전 세계 인터넷 사용자를 공포에 몰아넣은 워너크라이(워너크립터) 랜섬웨어 공격자들이 노린 것은 과연 무엇일까?

워너크라이는 지난 주말부터 영국 국가의료보건서비스(NHS)소속 병원 등 48개 기관, 러시아 내무부, 브라질 세무기관, 스페인의 이동통신사 텔레포니카, 미국 페덱스, 일본 닛산, 프랑스 르노 공장, 독일 국영철도회사 도이체반, 중국 석유천연가스집단(CNPC), 인도네시아·일본의 병원 등 150개국에서 수많은 피해를 입혔다.

그러나 체크포인트가 조사한 바에 따르면 워너크라이 랜섬웨어의 복호화 프로세스에 문제가 있다. 체크포인트는 개발자가 파일을 복호화 할 능력이 있는지 의심스럽다고 지적했다.

이 멀웨어에는 두 가지 개별 복호화/암호화 루틴이 있다. 하나는 피해자의 파일 전체에 적용하는 것으로, 각 파일을 고유 키로 암호화한다. 파일을 복호화하려면 개발자가 제공하는 비공개 RSA 키(.dky 파일로 제공)가 필요하다.

두 번째 암호화/복호화 루틴은 ‘무료 데모’로 10개 파일을 복호화한다. 다른 랜섬웨어 공격과 마찬가지로 데이터 몇 개를 풀어준 후, 돈을 지불하면 복호화가 가능한 것처럼 인식하게 해 돈을 내도록 유도하는 것이다. 이 10개 파일은 암호화 당시 무작위로 선택되고 각 파일이 고유 키로 암호화된다. 10개 파일의 비공개 RSA 키는 피해자의 컴퓨터에 저장된다.

메인 복호화 함수는 비공개 RSA 키가 들어 있는 .dky 파일을 호출하는데, 그러면 컴퓨터의 모든 파일이 복호화 돼야 한다. 암호화 모듈이 드롭한 f.wnry 파일을 호출하는데, 여기에는 데모 파일 목록이 포함돼 있다. 비공개 RSA 키는 모듈에 하드 코드 돼 있다. 두 함수는 모두 import_RSA_key 모듈을 호출한다. 메인 암호 해독기는 .dky 파일의 경로를 인수로 사용하고, 데모는 null을 인수로 사용한다.

비트코인 지불 방법도 쉽지 않다는 것도 실제 공격 목표를 의심할 필요가 있다. 체크포인트는 지불수단과 지불하는 사람 사이에 연결고리가 없다고 밝혔다. 다른 랜섬웨어의 경우 감염됐을 때 ‘지불하기’ 등의 버튼을 통해 피해자가 쉽게 비트코인을 보낼 수 있는 방법을 안내하고, 돈을 지불하면 즉시 데이터를 살려줘 ‘공격의 신뢰’를 높이고자 한다. 워너크라이는 공격자와 연락이 되지 않으며, 돈을 지불한다 해도 데이터를 돌려받지 못한다.

   

▲워너크라이 메인 복호화 함수(자료: 체크포인트)

초보적인 방법으로 대규모 공격 가능

워너크라이는 정교하게 만들어진 공격이 아닐 수 있다. 그러나 단숨에 전 세계를 감염시킬 수 있는 효과가 있다는 사실을 증명해 보였다는 사실 때문에 더 긴장감을 가져야 한다.

지난해 발생한 미라이 봇넷은 관리자 권한이 통제되지 않은 CCTV를 이용해 대규모 디도스 공격을 일으켰다. 고도의 공격툴이 아니어도 원하는 쉽게 공격을 진행할 수 있다는 것이었다.

워너크라이 역시 보안 패치를 하지 않는 사람들의 습관을 이용해 취약점 공격을 진행했다. 악성파일을 열어보거나 악성 사이트로 유도하지 않고 단순히 취약점 패치가 되지 않은 시스템이 스스로 멀웨어를 전파하도록 했다.

문종현 이스트시큐리티 시큐리티대응센터장은 “공격의 목적과 목표를 잘 살펴봐야 한다. 워너크라이는 돈을 벌기 위한 목적도 있지만, 다른 목적도 있을 수 있다는 사실을 점검해봐야 한다. 워너크라이는 네트워크 취약점을 이용해, 전 세계에 빠른 속도로 영향을 미쳤다. 전 세계를 대상으로 랜섬웨어와 네트워크 웜이 결합한 형태로 공격이 진행된 것은 전 세계 최초이다”라고 말했다.

공격자가 노린 것은 무엇인가

워너크라이 공격자라고 주장하는 해커그룹 섀도우 브로커스의 주장을 보면 실제 공격 목표가 별도로 있을 수도 있다. 섀도우 브로커스는 자신들이 SWIFT를 공격했고, 러시아, 중국, 이란, 북한 등의 핵 미사일 프로그램에 관한 네트워크 정보를 해킹했다고 주장했다. 그러면서 6월 월 구독 기반 유료 서비스를 제공해 자신들이 입수한 정보를 판매하겠다고 밝히고, 더 많은 돈을 내면 데이터를 완전히 넘겨주겠다는 내용을 SNS을 통해 알리기도 했다.

지난 2014년 한국수력원자력을 해킹한 ‘원전반대그룹’은 해킹 사실을 알리면서 원전을 멈추지 않으면 파괴하겠다는 메시지를 보내면서 ‘원전반대’의 목소리를 내는 사회단체를 대변하는 핵티비스트처럼 행동했다. 그러나 결국은 자신들이 빼낸 정보를 고가에 판매하기 위해 여론전을 펼친 것으로 드러났다.

워너크라이 공격자 역시 이와 같은 형태의 공격일 가능성이 있다. 랜섬웨어는 공격자가 공개하는 비트코인 지갑을 추적하면 공격자의 위치가 드러날 수 있다. 그러나 기밀정보를 특정 국가나 조직과 은밀하게 거래하면 공격자를 드러내지 않고 수익을 얻을 수 있다.

공격자들이 돈이 아니라 정치·사회적인 목적으로 공격을 진행하는 것일 수도 있다. 공격자들은 조만간 새로운 윈도우 취약점을 이용해 공격할 것이라고 경고했으며, 다른 공격툴도 많이 보유하고 있다고 밝힌 바 있다.

이번 공격은 미국 NSA가 만든 해킹툴이 해킹으로 지하시장에 유포되면서 만들어진 것으로,많은 공격집단이 많은 수의 변종을 만들어 다양하게 공격할 가능성도 있다. 그 중에는 초보 공격자에 의한 공격도 있을 수 있으며, 전문가가 조직적으로 결합해 정교하게 설계된 공격 전술·전략에 따른 것일수도 있다. 전문가가 초보자처럼 위장할 수 있고 다른 공격 집단의 행위로 위장해 수사를 혼란하게 만들 수도 있다.

문종현 이스트시큐리티 시큐리티대응센터장은 “공격에 사용된 수단과 공격 기법을 분석만 해서는 대응하기 어렵다. 공격자들의 전략과 전술을 파악하고 정확하게 대응하는 것이 필요하다. 특히 잘 설계된 공격은 정교한 심리전을 펼치며 사회혼란을 일으키기 때문에 이에 침착하게 대응할 역량이 필요하다”며 “공격자가 만들어놓은 블랙홀에 빠져들지 않기 위해 사이버 보안과 사이버 안보에 대한 인식 전환이 필요하다”고 말했다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  워너크립터, 워너크라이, 랜섬웨어, 문종현, 사이버테러, 사이버 심리전, 사이버 전쟁
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr