시만텍, 특정 기업 겨냥 '표적형 랜섬웨어' 출현 경고

[아시아경제 박소연 기자]글로벌 사이버 보안기업 시만텍은 7일 오픈 소스 소프트웨어 기업인 레드햇(Red Hat)의 특정 IT 제품을 사용하는 기업을 타깃으로 한 ‘삼삼(Samsam)’ 랜섬웨어를 발견, 주의를 당부했다.

이번 사례는 랜섬웨어가 기존에 불특정 다수를 겨냥한 무작위 공격 형태에서 진화해 능동적으로 타깃을 정해 공격을 감행하는 ‘표적형 랜섬웨어’로 진화하고 있음을 보여주는 사례라는 점에서 주목할 만하다.

랜섬웨어(ransomware)는 컴퓨터를 잠그거나 파일을 암호화한 후, 잠금 해제 및 암호 해독을 조건으로 금전을 요구하는 악성코드로, 일반적으로는 불특정 다수를 대상으로 유포돼 왔다.

이번에 발견된 변종 랜섬웨어인 삼삼(Samsam · ‘Samas’ 또는 ‘Samsa’)은 전형적인 랜섬웨어와는 다른 특징을 보이고 있다.

최근 국내에서도 감염 사례들이 발견된 록키(Locky)와 같은 전형적인 랜섬웨어는 드라이브 바이 다운로드(drive-by-download)나 악성 스팸 메일을 통해 유포되는 악성 다운로더를 사용한다.

그러나 이번에 발견된 삼삼 랜섬웨어는 이러한 대량 유포 방식이 아닌 새로운 표적형 랜섬웨어로, 패치가 안된 취약점을 갖고 있는 특정 서버를 집중적으로 노리는 것이 특징이다.

삼삼 랜섬웨어의 공격자들은 목표 대상인 레드햇의 제이보스(Red Hat JBoss) 엔터프라이즈 IT 제품을 운영하고 있는 서버 가운데 패치가 되지 않은 서버들을 찾아내기 위해 젝스보스(Jexboss)와 같은 도구들을 활용한 것으로 나타났다.

공격자들이 제이보스의 취약점들을 이용해 이 서버들 중 하나에 성공적으로 침투하게 되면 이들은 다른 무료 도구와 스크립트를 사용해 네트워크로 연결된 컴퓨터상에서 자격증명(credentials)과 정보를 수집한다. 이후 공격자들은 이 시스템 상의 파일들을 암호화는 랜섬웨어를 배포한 뒤 금전을 요구한다.

삼삼 랜섬웨어는 공격자들이 암호화키와 복호화키를 생성한다는 점에서도 기존 랜섬웨어와 차별화된다. 기존의 크립토 랜섬웨어의 경우 시스템에 랜섬웨어가 실행되면 해커가 운영하는 외부 서버(명령제어서버)에 접속해 암호화키와 복호화키를 생성한 후 그 중 암호화키를 랜섬웨어에 감염된 시스템으로 전송해 파일 암호화를 진행하게 된다. 반면 이번에 발견된 삼삼 랜섬웨어는 자체적으로 암호화키와 복호화키를 생성한 후 그 키를 외부로 전송하게 된다.

시만텍은 이번 삼삼 랜섬웨어의 출현을 통해 앞으로 더욱 많은 랜섬웨어 공격자들이 기업과 같은 특정 조직을 직접적으로 공격할 수 있다는 점에 주목하고 있다. 이는 공격자들에게 랜섬웨어가 성공적인 비즈니스 모델로 입증되면서 랜섬웨어 공격이 불특정 다수를 겨냥한 방식에서 표적 공격에 더욱 가깝게 발전하고 있음을 보여주는 것이다.

시만텍은 이번 삼삼 랜섬웨어와 관련, 레드햇 제이보스 기업용 제품을 사용하고 있는 기업들은 현재 패치가 되지 않은 버전을 사용하고 있는지 반드시 확인하고, 만약 미패치 버전이라면 즉시 최신 패치를 설치하라고 권고한다.

박소연 기자 muse@asiae.co.kr