요약 : 보안 외신 해커뉴스에 의하면 킬린(Qilin)이라는 랜섬웨어의 새 변종이 나타났다고 한다. 보안 업체 할시온(Halcyon)이 찾아낸 것으로, 현재 킬린비(Qilin.B)라는 이름으로 추적되고 있다. 이전 버전에 비해 더 강력한 암호화 알고리즘을 탑재했고, 탐지 기술을 회피하는 능력도 강화됐다. 원래는 차차20(ChaCha20)을 기반으로 한 랜섬웨어였는데 지금은 AES-256-CTR까지 지원한다. 그 외에 빔, SQL, SAP와 관련된 프로세스를 강제로 종료시키기도 하며, 백업 관련 기능도 마비시킨다.


배경 : 킬린은 2022년에 처음 알려지기 시작한 랜섬웨어다. 당시에는 고 언어로 작성되었는데, 현재 나오는 버전들은 러스트로 만들어졌다. 즉, 처음부터 개발자들의 마음에서는 탐지 회피가 매우 중요한 사안이었다는 걸 알 수 있다. 지금도 계속해서 탐지가 어려워지면서 암호화는 더 집요해지는 방향으로 발전이 이뤄지고 있다.

말말말 : “랜섬웨어가 전체적으로 탐지 회피의 방향성을 가지고 진화하는 중입니다. 하도 랜섬웨어가 극성을 부리니 랜섬웨어를 탐지하는 보안 기술이 크게 발전했는데, 이제 그것을 넘어서려 하는 것으로 보입니다.” -할시온-
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>