범인에게 돈 내지 않는 것에 대한 전문가들의 의견은 긍정적
SFMTA측의 무대응에 범인은 2차 협박 실시... 사태 장기화 될까?

[보안뉴스 문가용 기자] 샌프란시스코시 교통국(San Francisco Transit Agency, SFMTA)의 요금 지불 시스템 및 여러 주요 부분에 랜섬웨어 공격이 들어왔지만, 범인이 요구한 7만 3천 달러를 내고 원상복구 시키는 대신 무료로 열차를 운영하면서 대처하는 것에 대해 보안 전문가들의 칭송이 자자하다. 하지만 이번 공격에 활용된 랜섬웨어 자체는 이미 전부터 알려진 것이라 SFMTA가 충분히 방비할 수 있었지만 그렇게 하지 못했다는 비판은 피해갈 수 없다.


추수감사절 연휴 중이던 금요일 랜섬웨어 공격에 당한 SFMTA는 주말 동안 정상적으로 티케팅을 할 수가 없게 돼 무료로 승객들을 태웠다. 티켓 판매 기기에는 ‘고장’ 팻말이 전부 부착되었고, 랜섬웨어에 당했다는 안내 메시지도 사용자들에게 송출되었다. 또한 기관사들에게는 그날그날의 운행 정보가 종이에 손글씨로 적혀서 전달되었다.

아직 SFMTA 측에서는 침투가 어떻게 이뤄졌는지, 어떤 시스템이 영향을 받았는지, 언제 정상운영을 재개할 수 있는지 발표하지 않고 있다. 여태까지 밝혀진 건 7만 3천 달러라는 범인의 요구 금액뿐인데, 이도 SFMTA가 직접 발표한 것은 아니다. 다만 현지 시각으로 월요일, SFMTA 블로그를 통해 “공격의 영향을 어느 정도 완화시키는 데에는 성공했으며 모든 시스템을 정상복구 중에 있다”고 언급했다. 또한 “이번 랜섬웨어 공격으로 인해 열차의 안전 운행 시스템이 영향을 받지는 않았다”고도 설명했다.

현지 매체인 더 이그재미너(The Examiner)는 미디어 파트너인 후드라인(Hoodeline)을 통해 이메일로 랜섬웨어 공격자에게 연락을 취하는 데에 성공했다고 보도하며, 범인이 사용한 랜섬웨어가 HDD크립터(HDDCryptor)라고 알려왔다. HDD크립터는 올해 초에 발견된 랜섬웨어로, 이미 탐지 기술이 시중에 나와 있는 상태다. 심지어 꽤나 많은 업체에서 HDD크립터를 위한 백서를 발간하기도 했다. 즉 SFMTA의 보안 준비도가 그리 좋지 않았다는 뜻.

하지만 마임캐스트(Mimecast)의 사이버 보안 전략 책임자인 매튜 가디너(Matthew Gardiner)는 “지금까지 공개된 정보와 평소 SFMTA 시스템에 대해 알고 있던 것들을 근거로 하여 판단해보았을 때, SFMTA의 운영진들이 안일했다거나 보안 준비도가 낙후되어 있었다거나 하는 결론을 내리기는 어렵다”고 한다. “단지 엄청나게 뛰어나지 않았을 뿐, 평균적인 조치들은 다 취한 상태였습니다. 오히려 앞으로가 더 문제입니다. 어떤 조직이나 이런 류의 공격을 받으면 단 시일 내에 해결하기가 힘들고, 그래서 시간이 흐를수록 돈을 내는 쪽으로 기울게 되어 있습니다. SFMTA가 얼마나 더 버틸 수 있을까가 관건입니다.”

또 다른 보안업체인 다크트레이스(Darktrace)의 사이버 첩보 분석가인 저스틴 파이어(Justin Fier) 역시 “랜섬웨어에 당하고 돈을 내기로 한 데에는 다 나름의 사정이 있는 법”이라며 “랜섬웨어를 일찍 탐지할수록 피해가 적어지고, 그래서 돈을 낼 확률이 낮아진다”고 설명한다. “저희 고객들 중 초기에 랜섬웨어를 탐지해낸 업체들은 거의 전부 범인들을 상대할 필요도 없었습니다.”

한편 후드라인은 “티켓 판매 시스템뿐만 아니라 SQL 데이터베이스 서버, 직원 교육 시스템도 랜섬웨어 공격의 영향을 받았다”고 보도했다. “총 2112개 시스템이 랜섬웨어에 감염되었는데, 이는 SFMTA 전체의 1/4에 해당합니다.” 범인이 7만 3천 달러를 요구했다는 사실도 후드라인이 범인을 통해 전달받은 것을 보도하면서 알려졌다.

전문가들은 승객들을 무료로 태우면서 이미 SFMTA가 입은 손실이 범인이 요구하는 7만 3천 달러를 넘어섰을 것이라고 보고 있다. 보안 전문업체인 웹루트(Webroot)의 수석 위협 분석가인 타일러 모핏(Tyler Moffitt)은 “사이버 범죄자에게 굴복하지 않은 것 자체는 칭찬할 만 하다”고 말한다. “이미 많은 승객들이 해커의 메시지를 본 이상, SFMTA가 범인에게 돈을 내기로 했다면 그에 따른 불만들이 또 제기되었을 겁니다. 오히려 대다수 승객들의 마음을 대변한 움직임을 보이고 있는 것이죠.”

하지만 이러한 ‘무대응’에 범인도 가만히 있지 않았다. 해외 보안 전문업체인 쓰레트포스트(Threat Post)가 “범인으로 주장하는 자들이 ‘SFMTA가 7만 3천 달러를 보내지 않는다면 이번 공격에서 탈취해 낸 30GB의 데이터를 대외적으로 공개하겠다’는 뜻을 전달해왔다”고 보도한 것. 쓰레트포스트에게 보낸 범인의 이메일은 다음과 같다. “우리는 미국에 살지 않지만 회사가 이 문제를 해결하기를 희망한다. 하지만 해결하지 못할 경우 우리는 30G 데이터베이스와 문서를 공개할 것이다. 여기에는 계약서, 직원 정보, LLD 플랜, 고객 정보들이 있다. 옳은 선택을 해야 할 것이다.”

하지만 SFMTA의 대변인은 이 요구에 대해 “겁을 주려는 전략일뿐, 실제 고객 정보나 회사의 거래 정보는 유출되지 않았다”고 주장했다. 보안 전문가들도 대부분 이에 동의하는 입장이다. 매튜 가디너는 “돈이 목적인 사이버 범죄 행위이지, 정치적인 성향을 띈 공격으로 보이지는 않는다”며 “그런 의미에서 범인의 2차 메시지를 해석해본다면, 공포 조장 전략이라고밖에 보이지 않는다”고 주장했다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>