• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미국의 CISA, 이번 주 화제의 중심인 엑시악스 랜섬웨어 복구 스크립트 발표 2023.02.09

인기가 높은 소프트웨어나 기술들은 항상 공격자들의 표적이었다. 인터넷 익스플로러가 그랬고 어도비 플래시가 그랬다. 최근 기업들 사이에서 VM웨어 ESXi가 인지도를 높인다 했더니 공격자들이 가만히 놔두지를 않는다.

[보안뉴스 문가용 기자] 미국의 사이버 보안 전담 기관인 CISA가 최근 전 세계적으로 경고가 나오고 있는 랜섬웨어인 엑시악스(ESXiArgs)에 대항한 복구 스크립트를 개발해 배포하기 시작했다. 이번 주 보안 업계를 가장 시끄럽게 만들었던 위협에 대하여 빠르게 대응한 것이 눈에 띈다. 복호화 도구는 깃허브를 통해 배포되는 중이다.

[이미지 = utoimage]


CISA의 복호화 도구가 배포되는 곳의 주소는 이것(https://github.com/cisagov/ESXiArgs-Recover)이다. 다운로드를 받은 후에는 이 스크립트를 사용하여 랜섬웨어 때문에 암호화 된 VM웨어 ESXi 서버들의 설정 파일들을 복구할 수 있다고 한다. 이미 복구에 성공한 사례들이 존재하며, 이런 기업들은 범인들에게 돈을 내지 않고도 사건을 해결할 수 있었다고 한다.

하지만 이 스크립트가 누구나 쉽게 사용할 수 있으며 모든 문제를 해결하는 만능 도구는 아닌 것으로 보인다. CISA가 “스크립트를 다운로드 받아 사용하기 전에 보안 팀들은 먼저 이 스크립트가 어떤 식으로 작동하는지 이해해야 한다”고 강조했기 때문이다. “엑시악스 랜섬웨어에 당한 조직들이라면 먼저 저희가 동봉한 리드미 파일을 꼼꼼하게 읽어서 스크립트가 제대로 작동할 만한 여건인 것인지부터 확인하셔야 합니다.”

엑시악스는 일종의 랜섬웨어로, 프랑스의 국가 침해 대응 센터(CERT)가 2월 3일 먼저 발견해 경고했다. VM웨어의 ESXi라는 하이퍼바이저들을 노리는 랜섬웨어라고 프랑스 측은 발표했었다. 이 랜섬웨어는 2년 된 취약점인 CVE-2021-21974를 통해 퍼지는 것으로 분석됐다. 이 취약점은 ESXi의 서비스 중 하나인 오픈SLP(OpenSLP)에 존재하며, VM웨어는 이미 2년 전에 패치를 배포했다.

현재까지 엑시악스가 감염시킨 서버는 전 세계적으로 3000개가 넘는 것으로 조사되고 있다. 공격자들은 자신들이 감염시킨 서버에 2 비트코인을 내라는 협박 메일을 남겼다. 돈을 내면 복호화 키를 주겠다는 것이었다. 지불 기한도 제시됐었는데, 단 3일에 불과했다. 3일 안에 2 비트코인을 입력하지 않으면 민감 정보를 공개하겠다는 게 공격자들의 협박 내용이었다.

여러 보안 전문가들이 엑시악스의 분석에 돌입했다. 그 결과 “가상기계의 파일들만을 암호화시킴으로써 시스템을 사용하기 힘들게 만드는 랜섬웨어”로 설계되었다는 사실이 밝혀졌다. 보안 업체 라피드7(Rapid7)은 “엑시악스가 가상기계 커널 내의 특정 프로세스를 종료시킴으로써 가상기계를 꺼버린다”고 설명하기도 했다. 하지만 모든 경우에 다 그런 식으로 공격이 발현되는 건 아니었다. 엉뚱한 파일이 암호화 되어 큰 피해로 이어지지 않는 사례들도 존재한다. 약간은 미완성이 면모가 있는 것이다.

라피드7은 2월 8일 발표한 보안 권고문을 통해 더 심각한 내용의 경고를 발령했다. 엑시악스를 운영하는 해킹 조직 외에 다른 랜섬웨어 그룹들도 CVE-2021-21974를 익스플로잇 하려 한다는 것이다. 원래부터 VM웨어의 ESXi 서버에 대한 공격자들의 관심도가 높았다는 것이 방증되는 사례라고 볼 수 있다. VM웨어 ESXi는 일반 기업들 사이에서 널리 사용되고 있어 공격자들이 관심을 가질 수밖에 없다.

CISA의 복구 스크립트를 만든 건 두 명의 보안 전문가라고 한다. 에네즈 손메즈(Enes Sonmez)와 아멧 아이칵(Ahmet Aykac)이다. “이 스크립트는 랜섬웨어로 암호화 된 설정 파일들을 삭제하지 않습니다. 피해자들이 가상기계에 다시 접근할 수 있도록 새로운 설정파일을 만드는 방식으로 작동합니다.” 두 전문가의 설명이다. “이런 접근법이 모든 상황에서 다 통용되는 건 아닐 겁니다. 한계가 있을 수 있습니다.” CISA도 “CISAms 어떤 스크립트를 배포하더라도 미리 안전성 검사를 충분히 해 보지만, 그렇다고 해서 100% 완전히 안전하다고 보장할 수는 없다”는 경고를 덧붙였다.

한편 VM웨어는 2년 전에 패치를 개발해 배포하면서 사용자들에게 최대한 빠른 시일 안에 패치를 적용하라고 촉구했었다. 만약 패치를 적용할 수 없는 상황이라면 ESXi의 SLP 서비스를 비활성화 함으로써 위험성을 낮출 수 있다고 권고했다.

3줄 요약
1. 기업들 사이에서 인기 높아지고 있는 VM웨어 ESXi.
2. 따라서 공격자들의 관심도 높아지고 공격 시도도 늘어나는 중.
3. 랜섬웨어 공격자들이 특히 많이 노리고 있는 가운데 복구 도구 등장.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>