한글 사용하는 ‘귀신 랜섬웨어’가 대한민국을 노린다

페이지 정보

작성자 cfpa 댓글 0건 조회 1,296회 작성일 22-07-29 09:40

본문

출처 : 보안뉴스

https://www.boannews.com/media/view.asp?idx=108704&kind=


한국형 랜섬웨어 ‘귀신(Gwisin)’이 최근 국내 기업들을 대상으로 공격을 지속하고 있으며 피해기업도 속출하고 있어 주의가 요구된다. 특히, 귀신 랜섬웨어는 영어를 사용하고는 있지만, 귀신이라는 한글형 이름과 한글 키보드를 사용한 정황, 우리나라 기업을 잘 알고 있다는 점과 랜섬노트에 우리나라 경찰과 국정원, KISA 등 전문기관의 이름을 나열하며 신고하지 말라고 쓰는 점 등 북한 혹은 한글을 사용하는 집단으로 전문가들은 추정하고 있다.
 

87955857_1914.jpg

▲귀신 랜섬웨어 랜섬노트[자료=ESRC]


귀신 랜섬웨어는 올해 국내 대형 제약사들을 공격해 내부망을 장악해 알려졌는데, 처음 발견된 것은 2021년 9월경으로, 이때는 주로 금융권과 IT분야 기업들을 공격했다. 공격 당한 PC의 바탕화면을 ‘GWISIN 귀신’이란 이름으로 바꾸며, 랜섬노트에는 공격 당한 기업의 내부 정보가 구체적으로 기재되어 있어 ‘타깃형’ 공격임을 알 수 있다. 심지어 암호화된 파일의 확장자도 공격당한 기업의 이름을 사용했다. 특히 귀신 랜섬웨어가 공격한 것도 한국시간 기준 공휴일과 새벽시간대였다.

또한, 일부 피해기업의 경우 DRM(Digital Rights Management)을 사용했는데, 귀신 랜섬웨어는 해당 기업이 사용한 A사의 DRM을 복호화해 문서 등을 열람했다고 랜섬노트에 기재한 것으로 알려졌다.

아울러 랜섬노트의 말미에는 △NPA(경찰청) △SMPA(서울경찰청) △FSC(금융위원회) △KISA(한국인터넷진흥원) △NIS(국정원) △KNPA(경찰청) △SKInfosec(SK쉴더스) 등에 신고하지 말라는 글도 적혀 있어 이들이 한국의 사정에 대해 매우 잘 알고 있는 것으로 추정된다.

지난해 귀신 랜섬웨어를 발견하고 분석했던 문종현 이스트시큐리티 ESRC 센터장은 “지난해 발견된 귀신 랜섬웨어에서 토르에 접속하는 아이디와 패스워드를 남겼는데, 이게 한글을 영문으로 변환한 단어였다”면서, “이들이 북한인지 혹은 다른 국가의 랜섬웨어 집단인지 알 수 없지만, 최소한 한글 키보드를 사용하며 국정원과 경찰청 등 한국 정부기관과 기업에 대해 매우 잘 알고 있다는 것은 분명하다”고 설명했다.

귀신 랜섬웨어, 철저한 맞춤형 타깃 공격
안랩 ASEC는 귀신 랜섬웨어가 매그니베르(Magniber)와 동일하게 MSI 설치 파일 형태로 동작한다고 설명했다. 다만 불특정 다수를 대상으로 유포되는 매그니베르와 달리 귀신 랜섬웨어는 파일 단독 실행만으로는 행위가 발현되지 않고 특별한 실행 인자 값이 필요하며, 이 인자 값은 MSI 내부에 포함된 DLL 파일의 구동에 필요한 키 정보로 활용된다고 덧붙였다.

특히, 이러한 동작 방식의 특징으로 인해 다양한 샌드박스 환경의 보안 제품에서는 파일 실행만으로 랜섬웨어 행위가 발생하지 않아 탐지가 어려울 수 있다. 내부 DLL 파일은 윈도우 정상 프로세스에 인젝션해 동작하고 있으며, 대상 프로세스는 피해 고객사마다 다른 특징을 갖는다.
 

87955857_9421.jpg

▲귀신 랜섬웨어의 MSI 실행시 인자를 검증하는 루틴(위 왼쪽)과 암호화된 파일들(위 오른쪽), 그리고 귀신 랜섬웨어 프로세스 트리(아래)[자료=ASEC]


귀신 랜섬웨어는 다음과 같은 인자로 실행됐으며 검증 과정이 끝나면 인자를 이용해 내부에 존재하는 쉘코드를 복호화한다.

> msiexec /qn /i C:\ProgramData\******.msi SERIAL=463f********7ce7 LICENSE=7f21********5071 SMM=0 ORG=***

여기까지의 과정이 끝나면 정상 프로그램인 ‘certreq.exe’를 실행한 후, 복호화한 쉘코드를 인젝션한다. 인젝션된 쉘코드는 최종 귀신 랜섬웨어를 복호화해 메모리 상에서 실행하는 기능을 담당한다. 또한 ‘certreq.exe’ 외에도 다양한 윈도우 정상 프로세스가 랜섬웨어 행위주체로 이용되고 있다.

귀신 랜섬웨어는 파일을 암호화한 이후 확장자를 변경하는데 확장자는 대상 기업의 이름을 따온 것이 특징이다. 암호화 대상 폴더에는 랜섬노트를 생성하는데 랜섬노트 텍스트 파일의 이름도 “!!!_HOW_TO_UNLOCK_******_FILES_!!!.TXT” 처럼 확장자 문자열이 포함되어 있다. 랜섬노트에는 기업 내에서 탈취한 정보들의 목록과 함께 연락처가 존재한다.

안랩 ASEC 분석팀은 “피해 사례를 보면 랜섬웨어 감염 전에 사용 중인 백신 프로그램이 무력화된 것을 알 수 있다”면서, “V3 제품에서는 이러한 동작 방식의 Gwisin 랜섬웨어를 행위 기반 탐지를 통해 인젝션 단계에서 사전 차단하고 있음으로 ‘행위 기반 진단 사용’ 옵션을 활성화하는 것이 필요하다”고 조언했다. 이어 “귀신 랜섬웨어 감염은 사전에 내부 시스템에 대한 장악이 완료된 상태에서 다수 시스템에 대한 랜섬웨어 설치 및 실행이 진행되고 있음으로 어떻게 내부 시스템에 대한 장악과 전파가 진행 되었는지를 분석하는 작업이 반드시 필요하다”면서, “피해 발생 후에 이러한 작업을 통해 원인 분석이 진행되지 못하면, 또 다른 종료의 랜섬웨어로 교체되어 유사한 피해가 재 발생할 수 있다”고 강조했다.

또한, 익명의 악성코드 분석가는 “귀신 랜섬웨어는 한국 기업을 노리고 있다”며, “최근 활동이 잦아지고 있지만 구체적인 정보가 알려지지 않아 피해 업체는 보안 업체와 관계 당국 간 긴밀한 협조가 필요하다”고 말했다.

또 다른 악성코드 분석가는 “과거 북한발 공격에서 사용된 악성코드 실행 시 사용하던 기법과 유사하다”며, “이런 측면에서 북한의 공격 가능성은 열려 있지만 단정 짓기는 어렵다”고 설명했다. 아울러 “북한 해커들은 여러 종류의 랜섬웨어를 사용하고 있다”면서, “귀신 랜섬웨어를 북한이 유포한 것인지 여부에 대해선 현재로서는 정보가 부족한 실정이며, 더욱 많은 분석과 정보로 면밀하게 조사해야 한다”고 밝혔다.

익명을 요청한 또 다른 보안전문가는 “요새는 APT 공격처럼 기업 내부망으로 들어와서 AD나 중앙관리 솔루션을 공격해서 전사 인프라에 악성코드를 뿌린다”고 설명했다. “공격 형태로 봐서는 human operated 랜섬웨어인 것 같습니다. 최초 접근하는 방식도 취약점이나, 피싱메일, 랩서스처럼 다크웹에 유출된 계정 등으로 다양해 원인파악이 쉽지 않구요. 이 때문에 EDR이나 네트워크 포렌식 같은 솔루션을 통해서 공격자가 어디로 들어와서 어떻게 움직였는지를 추적할 수 있는 기반 구축이 필요합니다.”

문종현 ESRC 센터장은 “귀신 랜섬웨어는 한글 사용과 한글 키보드 사용 정황, 한국 기업과 한국 공공기관을 정확히 아는 점은 물론, 공격에 사용된 서버 등이 일반적인 공격과 달리 과거 북한 해커 그룹으로 알려진 곳들의 공격방식과 비슷한 방식을 사용했다”면서, “무엇보다 귀신 랜섬웨어는 한국 기업에 특화된 공격을 하고 있으며, 공격 기법 자체도 수준이 매우 높아 기업들은 물론 공공기관에서도 이에 대한 철저한 조사와 대비가 필요하다”고 조언했다.
[원병철 기자(boanone@boannews.com)]