본문으로 바로가기

안녕하세요, SATAz입니다.

이번 포스팅에서는, 2017년 상반기에 발생한 보안 관련 BIG ISSUE를 정리하고자 합니다. 올해 상반기의 보안 이슈는, 단연 랜섬웨어가 아닐까 싶습니다. 


- 소개 목록 -

1. 사드(THAAD)배치에 따른 중국의 사이버 공격 - 2017년 3월

2. 유행성 감염병, 랜섬웨어 워너크라이(워너크립토)의 습격 - 2017년 5월

3. 호스팅 업체의 랜섬웨어 감염 [인터넷나야나 사태] - 2017년 6월

4. 페트야/낫페트야의 등장 [제2의 워너크라이] - 2017년 6월

5. 비트코인 등 가상화폐 거래소 공격 - 진행중...




1. 사드(THAAD)배치에 따른 중국의 사이버 공격 - 2017년 3월

 1-1 THAAD와 중국 사이버 공격의 상관관계

(사진 출처 : The National Interest / http://nationalinterest.org)


 THAAD(Terminal High Altitude Area Defense, 고고도 미사일 방어체계)는 박근혜 정부에서 미국으로부터 들여와 배치를 시작하였고, 현 문재인 정부에서도 THAAD를 어떻게 해야할 지 많은 고민을 하고 있는 무기입니다. 하지만 문제는 THAAD의 사정권이 중국까지 포함이 된다는 것이 알려지면서, 중국 정부 및 중국 민간인으로부터 많은 반발을 샀습니다.  따라서 중국 내에서 혐한세력이 많아지기 시작했으며, 그와 동시에 중국 해커들도 우리나라에 대한 사이버 공격을 시도할 것이라고 공표를 하게되죠.



 1-2 중국 사이버테러의 피해는 생각 외로 적었다?



2일 오전 10시 기준으로 중국 롯데 홈페이지를 접속하면 ‘고객님의 원활한 방문과 더욱더 좋은 서비스를 제공하기 위하여 롯데 홈페이지를 점검중입니다. 불편을 드려 죄송하며, 양해 부탁드립니다’라는 중국어 문구만 올라와 있고, 서비스 이용은 전혀 이루어지지 않고 있다. 

이는 롯데가 지난달 28일 사드(THAAD: 고고도 미사일 방어체계) 부지 제공 계약을 마무리한 것으로 알려지면서 중국의 반발이 해커들의 보복으로 구체화된 것으로 보인다. 롯데그룹 관계자에 따르면 악성코드를 활용한 외부 해커들의 사이버공격으로 추정된다. 

(출처 : 보안뉴스-중국 롯데, 해킹 공격으로 홈피 마비 지속...사드 보복 추정 / http://www.boannews.com/media/view.asp?idx=53655


 중국은 우리나라 기관 홈페이지 및 기업들의 홈페이지 공격을 시도했지만, 우리나라의 대응이 좋아서 피해가 그렇게 크지는 않았습니다.

중국에서 서비스하는 롯데 홈페이지에 DDoS(Distributed Denial of Service, 분산 서비스 거부)공격을 가하면서 가용성의 피해를 입었지만, 그 외 별다른 피해 상황은 보고되지 않았습니다.


사실.... 중국 해커들이 사이버테러를 감행한다는 이야이가 있은 후에, 각 기업의 보안담당자와 엔지니어들은 초긴장 상태에서 공격대비조치를 하고 있었습니다.




2. 유행성 감염병, 랜섬웨어 워너크라이(워너크립토)의 습격 - 2017년 5월

 2-1 워너크라이 사태의 개요


 워너크라이는 2017년 5월 12일부터 세계적인 대규모 사이버 공격으로 널리 배포된 랜섬웨어입니다. 

이 날 전 세계 99개국 컴퓨터 12만대 이상을 감염시켰는데, 의외로 대한민국에서는 조치가 빨라서 그런지 피해가 적었던 사건입니다. 



 2-2 워너크라이의 특징

 워너크라이 랜섬웨어도 다른 랜섬웨어와 같이 Windows구동에 필요한 파일들을 제외하고, 모든 파일들을 암호화시킵니다. 그리고 사용자에게 돈을 입금할 것을 요구하죠. 금액은 보통 1개의 Server 또는 PC당, 300$(한화 가치 약 30만원) 수준의 비트코인을 요구했습니다.


 워너크라이 랜섬웨어의 독특한 특징이라고 하면, SMB(Server Message Blok) 취약점을 통해 같은 네트워크에 연결되어있는 다른 컴퓨터들로 전염이 된다는 점입니다.


  보통 랜섬웨어의 경우에는, 1)가짜 e-mail을 보내서 랜섬웨어 프로그램을 다운로드 및 실행하게 만든다던가, 2)특정 악성코드 유포 사이트에 접속을 하면 자동으로 랜섬웨어를 다운로드 및 실행을 하도록 만든다던가 합니다. 하지만 워너크라이 컴퓨터가 부팅되고 네트워크가 연결된 것 자체만으로도 전염이 가능하여 엄청나게 위험하죠.



 2-3 워너크라이의 피해도 생각 외로 적었다?
 어느 한 보안전문가에 의해서 워너크라이의 킬스위치가 발견이되고, 그 킬 스위치를 작동시켜서 랜섬웨어의 피해가 적었다는 내용이 알려졌습니다. 더 자세한 내용은 이 전 포스팅에서 다루었습니다. 아래의 링크를 클릭하여 확인하실 수 있습니다.





3. 호스팅 업체의 랜섬웨어 감염 [인터넷나야나 사태] - 2017년 6월

 3-1 인터넷나야나 사태의 개요


 '인터넷나야나'라는 호스팅 업체에서 2017년 6월 10일 (토) 새벽 1시 30분, 특정 서버가 랜섬웨어에 감염된 것이 최초로 확인되었습니다.

당시 인터넷나야나는, 약 1만개의 서버&사이트를 관리하고 있었고 그 중에서 153대의 리눅스 서버가 'Erebus(에레버스)'라는 랜섬웨어에 감염된 것을 확인합니다. 그리고 인터넷나야나측은 해커와 협상을 시작했는데, 해커는 13억을 요구하였습니다.


당시 인터넷나야나에서는 고객들의 데이터들을 물리적으로 다른 서버에 백업해놓았으나, 백업파일도 랜섬웨어에 의해 암호화가 되어서 어떻게도 못하는 상황이었습니다. 백업시스템에 삼바(SAMBA)서비스를 이용하여, 백업 파일들에게도 영향이 있었을 것으로 예상됩니다.

그래서 인터넷나야나측은 해커들과 협상하기로 결정합니다.



 3-2 워너크라이 vs 인터넷나야나(에레버스) 피해 규모


 결론부터 말씀드려서 피해액은, 워너크라이 (1억 6천만원) vs 인터넷나야나 사태 (13억원) 입니다. 워너크라이의 경우는 특정 타겟이 없는 랜섬웨어였고, 에레버스 랜섬웨어는 인터넷나야나 기업을 타겟으로 배포된 랜섬웨어입니다. 그래서 피애액을 비교하기에는 다소 무리가 있겠지만, 인터넷나야나 사태의 피애액은 실로 어마어마해서 짚고 넘어가지 않을 수가 없습니다.


 위와 같은 결과가 나타난 이유를 생각해보면, "사전조치가 되었는가? vs 안되었는가?"와, "인터넷나야나 사업 자체가 파산에 이르지는 않을까"하는 우려가 같이 작용한 것이 아닐까 싶습니다.  실제로 인터넷나야나측은 회사가 파산하는 것을 각오하고 일부 지분을 매각하여, 해커와 협상한 13억이라는 돈을 마하였습니다.



 3-3 인터넷나야나 사태에 대한 보안전문가들의 평가

 인터넷나야나는 13억을 들여서 해커조직과 협상을 한 최악의 사례로 평가되고 있습니다. 국내에서 해커와 13억이란 거금으로 협상이 되었다는 이야기는, 추후에 그 해커들이 또다시 국내 기업을 노리고 랜섬웨어 퍼뜨려서 협상하려고 시도할 것이라는 가능성이 있기 때문에 좋은 평가가 될 수가 없을 것이라고 생각합니다.


 하지만 내심, 그 회사의 사장님과 엔지니어들의 입장은 이해가 갑니다. 해커와 협상을 하지 않고 데이터들을 암호화된 상태로 유지된다면 그 일도 엄청 복잡해졌을 것이라고 생각이 들기도 합니다...




4. 페트야/낫페트야의 등장 [제2의 워너크라이] - 2017년 6월

 4-1 사건의 개요


 페트야(Petya) 랜섬웨어는 2016년 4월에 최초로 발견되었으며, 2017년 6월 27일 밤부터 러시아, 우크라이나, 프랑스, 스페인, 네덜란드, 덴마크, 인도 등에서 감염 사실이 확인되었습니다. 주로 공항, 석유회사, 방사능 탐지 시스템, 철강 회사, 선박 회사 등이 감염되어서, 사회 인프라 부문의 타격이 크다고 발표되었습니다.


그리고 2017년 6월 27일 저녁 (시차 있음) 즈음에 우리나라에서도, 야근하던 직원들이 랜섬웨어에 감염된 것 같다는 SNS 글이 올라오기 시작했습니다. 아직까지는 워너크라이와 같이 SMB 취약점을 통해서 감염이 된다는 것으로 밝혀졌으며, 워너크라이와의 차이점은 사내 로컬네트워크를 통해서만 감염이 된다는 것입니다.



 4-2 Petya/NotPetya 랜섬웨어의 특징

 다른 랜섬웨어들은 파일들을 암호화하고, 돈을 입금하면 복호화 키를 보내주는 방식으로 이루어졌습니다. 하지만 페트야 랜섬웨어는 애초에, 복구할 의향조차 없이 설계된 랜섬웨어, 즉 삭제형 멀웨어라는 것이 코메이 테크놀로지스(Comae Technologies)에서 밝혔습니다.


쓰레도포스트에 의하면, 범인에게 돈을 지불한 피해자들은 약 50명(또는 단체)이며, 피해금액은 1020만원 정도로 확인되고 있습니다. 피해자들은 돈을 지불하고 복호화 키를 입력했지만, 데이터가 복원되지 않는 상황이 벌어지고 말았죠.

그래서 IT 및 보안매체 더 레지스터(The Register)는 이러한 사실들을 종합하여, "이 랜섬웨어는 돈을 벌기 위한 범행이 아닌, 혼란을 일으키기 위한 공격"으로 결론을 내렸습니 Petya/NotPetya 매커니즘에 관한 내용은 아래와 같습니다.



1) 페트야/낫페트야는 오픈소스인 미니캣츠(Minikatz)의 빌드 중 변형된 버전을 사용해 한창 돌아가고 있는 메모리에서 관리자 크리덴셜을 빼내간다. 

2) 이 크리덴셜을 활용해 다른 기기에 접근한다.

3) PsExec과 WMIC를 사용해 다른 기기들도 감염시키고 명령 실행이 가능하게 만든다. 

4) 서브넷을 스캔해 또 다른 기기들을 찾아내거나 DHCP 서비스를 사용해 알려진 호스트를 찾아낸다.


5) NSA의 해킹 툴로 알려진 이터널블루(EternalBlue) 또한 활용한다. 이 부분은 워너크라이 사태 때 알려진 것이다.

6) 이터널블루에 더해 또 다른 NSA 해킹 툴인 이터널로맨스(EternalRomance)도 사용됐다. 이 역시 SMB 취약점을 익스플로잇하는 기능을 가지고 있다.


7) 즉, 페트야/낫페트야 공격자는 관리자 권한 취득을 위해 미니캣츠를 활용한 공격을 가하거나 이터널블루/이터널로맨스를 동시에 활용한 건데, 성공 확률은 미니캣츠 측이 더 높았을 것으로 보인다. SMB 취약점은 이미 패치가 나왔기 때문이다.

8) 관리자 접근 권한을 탈취하기 위해 공격자들이 사용한 또 다른 방법은 악성 소프트웨어 업데이트를 주입하는 것이었다. 이 방법은 우크라이나의 세금 업무 관련 소프트웨어 툴을 공격할 때 활용되었다.


9) 감염에 성공하면 해당 기기는 재부팅되면서 협박 편지가 나타난다. 페트야처럼 MBR 영역을 통째로 암호화하기 때문에 윈도우로 넘어가지 않는다.

10) NTFS 파일 시스템 테이블과 파일들도 암호화 가능하다. AES-128이 활용된다.


<출처 : 보안뉴스-페트야/낫페트야 사태, 사실은 데이터 파괴 멀웨어? / http://www.boannews.com/media/view.asp?idx=55524&kind=1>


 그리고 현재 보안업계에서는 '최초의 감염 경로'를 찾아내기 위한 분석을 진행중에 있다고 합니다.




5. 비트코인 등 가상화폐 거래소 공격 - 진행중...

 우리나라에서는 "가상화폐"로 알려진 "cryptocurrency" 입니다. 요즘에 가상화폐에 대한 투자에 대해서 사람들이 많은 관심을 갖기 시작했습니다. 그에 따라서, 그 지갑의 돈을 훔치기 위한 해커들도 성행을 부리고 있죠.


 제가 가상화폐 거래를 하지 않아서 자세하게 설명을 드리지는 못드리겠지만, 가상화폐 지갑을 관리하는 업체에 DDOS 공격을 시행하거나, 개인정보를 유출하여 협박에 이용한다던가, 개인 PC에 들어있는 지갑 파일을 빼돌려서 자기 지갑으로 옮겨담는 등의 수법으로 사이버 공격을 시도한다고 합니다.


제가 해킹된 서버를 살펴보다가, 이러한 일을 본 적이 있습니다.

Mine.exe라는 프로그램이 구동하여, 해킹된 서버를 '채굴'용도로 사용하는 사례였습니다. 그리고 채굴해서 얻은 돈은 해커의 지갑으로 들어가게 되는 것이었죠.


제가 비트코인을 시작할 생각을 전혀 안하고 있다보니... 자세하게 설명드리지 못하는점 정말 죄송합니다 ;;



반응형