페트야부터 익스페트야까지 랜섬웨어 이름도 여러 갈래로 나눠지는 상황
우크라이나 핵심 인프라 파괴 목표로 한 국가 지원 공격으로 의심 가중돼

[보안뉴스 오다인 기자] 지난 주 발생한 대규모 랜섬웨어 공격은 보안 전문가들로 하여금 공격의 이유와 배후에 대해 고심케 하는 중이다. 이번 공격은 대부분 우크라이나 조직을 겨냥했고 약 60개국의 기업에 영향을 미친 것으로 나타났다.


이번 멀웨어는 여러 이름으로 불린다. 페트야(Petya) 멀웨어와 비슷하다는 데서 이번 멀웨어를 페트야라고 부르는 연구자가 있는 한편, 어떤 연구자는 낫페트야(NotPetya)라고 부른다. 다른 연구자는 페트야의 변종인 골든아이(GoldenEye)로 부르기도 한다. 카스퍼스키 랩은 페트야랩(PetrWrap)으로 불리는 페트야 변종과 유사점을 찾아 익스페트야(ExPetr)라고 부른다.

이번 멀웨어를 무엇으로 부르건, 전문가들은 정확히 무슨 일이 벌어졌는지 파악하기 위해 새로운 소식과 연구 결과를 종합하는 중이다.

보안 전문업체 멀웨어바이츠(Malwarebytes)의 멀웨어 인텔리전스 수장 아담 쿠자와(Adam Kujawa)는 “무엇이 동기인지 밝혀내는 건 지금으로써 매우 어려운 일”이라고 지적한다. “수많은 보안 기업이 무슨 일이 일어나고 있으며 왜 이런 일이 일어나고 있는지 알아내기 위해 고분군투하고 있다”고 그는 설명한다. 그러나 몇 가지 사실을 통해 공격의 동기를 추정해볼 수는 있다.

우크라이나가 공격의 목표였다
앞서 언급한 모든 별명들은 단 하나의 멀웨어를 가리킨다. 이 멀웨어는 우크라이나에서 주로 사용되는 회계 소프트웨어 ‘미독(MeDoc)’을 통해 광범위한 피해를 입혔다. 사건 분석에 따르면, 미독의 업데이트 서버가 침해된 이후 미독을 사용하는 기기 전체가 자동 업데이트되면서 멀웨어에 공격당한 것으로 나타났다. 이 시점부터 다른 기기로의 전염도 빠르게 진행됐다.

미독이 우크라이나에서 의무화된 소프트웨어라는 점은 공격자의 동기를 논할 때 흥미롭고도 중요한 지점이다. 어떤 연구는 우크라이나의 컴퓨터 기반 시설이 주요 공격 대상이었을 것이라고 주장하기도 한다.

보안 전문업체 아노말리(Anomali)의 보안 전략 이사 트래비스 파랄(Travis Farral)은 이번 멀웨어가 특정 조직 내에서만 전파되고 이를 벗어나서는 전파되지 않았다는 점이 흥미롭다고 말한다. 이번 멀웨어는 우크라이나 조직들에 심각한 손상을 줄 수 있었다. 우크라이나 밖의 회사 중에서 이번 멀웨어로 영향을 받은 곳은 거의 다 우크라이나와 사업을 하고 있었든지 우크라이나와 사업을 하는 제3의 회사와 사업을 하고 있었든지 둘 중에 하나였다.

“공격자가 우크라이나 기관들만 제한적으로 겨냥한 것은 이를 넘어서는 메커니즘을 갖고 있지 않아서였다고 주장하는 사람도 있습니다.” 파랄은 “미독을 사용하는 사람은 누구든지 같은 위험에 처해있었다”고 설명한다.

돈벌이가 목적은 아니었다
“금전적인 이득을 의도한 것은 아니었다고 봅니다.” 쿠자와는 말한다. “파일을 복호화할 방법이 없었다는 게 수많은 분석에서 밝혀졌습니다.”

이번 멀웨어는 MBR(Master Boot Record)을 오버라이트한 뒤 개별 파일을 파일 확장자 목록에 따라 암호화한다. 공격자들은 시스템을 복호화하려면 300달러에 해당하는 비트코인을 지불하라고 요구했는데, 현재까지 약 3,000달러가 총 지불됐음에도 파일을 성공적으로 복호화했다는 사례는 나타난 바 없다.

이번 멀웨어가 기술적으로는 랜섬웨어에 기초했더라도, “랜섬웨어로 변장했을 뿐”이라고 쿠자와는 설명한다. 그는 공격자가 의도적으로 복호화를 불가능하게 만들어 멀웨어가 침해하는 곳마다 운영을 방해하고 사용자를 해할 목적으로 쓰였다고 말한다.

공격자가 멀웨어를 목표 사업체 전역에 퍼지도록 제작하는 데는 엄청난 노력을 들였으면서 막상 몸값을 받는 데는 별다르게 신경 쓰지 않았다는 점이 흥미롭다고 파랄은 지적한다. 워너크라이조차 여러 개의 비트코인 지갑이 있었다고 그는 언급한다.

“이런 랜섬웨어는 그 제작자에게 돈을 벌어다주는 것에 초점이 맞춰졌어야 합니다.” 보안 소프트웨어 전문업체 비트디펜더의 수석 보안 분석가 보그단 보테자투(Bogdan Botezatu)는 이번 사건은 달랐다고 말한다.

“돈을 벌기 위해 사용한 기술이 아닙니다.” 보테자투는 이번 멀웨어가 “데이터를 망가뜨려 사업에 지장을 주려고 고안된 기술”이라고 설명한다.

핵심 사회기반시설이 공격 대상이었다
카스퍼스키 분석에 따르면, 이번 멀웨어가 겨냥한 기업의 50% 이상은 산업 관련 기업이다. 이 같은 공격이 특히 더 위험한 이유는, 잠재적으로 핵심 사회기반시설의 자동화 및 제어 시스템까지 위험하게 만들 수 있기 때문이다.

보테자투는 가장 먼저 공격 받은 업체가 공항, 가스·전기·상하수도 등 공익 기업, 대중교통, 은행과 같은 핵심 사회기반시설 및 망 사업체였다고 지적한다. “일반적인 소비자를 넘어 훨씬 더 많은 사업체가 (이번 공격으로) 영향 받았다는 사실이 드러나는 중입니다.”

핵티비스트 또는 국가 지원에 의한 공격이었을지 모른다
“국가 지원을 받은 멀웨어와 동일한 흔적이 나타나진 않았습니다. 적어도 주요 국가들의 사이버 범죄에서 보이는 그런 흔적은 보이지 않습니다.” 쿠자와는 국가 지원 위협이 대개 훨씬 은밀하게 이뤄진다는 점을 들어 설명한다.

이런 사실은 핵티비스트나 악의를 가진 조직이 현대 인터넷의 불안정성에 대해 경각심을 일으키기 위해 공격을 저질렀다는 가설을 그럴 듯하게 만든다. 이 정도로 시끌벅적하게 공격을 일으켰다는 건, 누군가가 주목을 받기 위해 대단히 애쓴 결과라는 주장이다.

그러나 파랄은 크게 복잡하지 않게 만들어 되레 국가 지원 공격이 아닌 것처럼 보이게 했을 수도 있다고 지적한다. “이 사건은 우크라이나를 매우 광범위하게 공격했습니다. 만약 국가 지원 공격이라는 사실을 숨기고 싶었다면 제2의 워너크라이 랜섬웨어 형태로 만들 수 있었을 것입니다. 똑같은 메커니즘을 이용해 전파되도록 설계할 수 있으니까요. 이런 방식으로 국가 지원 공격이 아닌 것처럼 그럴 듯하게 부정할 수도 있고, 돈을 벌려고 하는 해커인 것처럼 보이게도 만들 수 있었을 것입니다.”

보안 시스템 공급업체 인트사이츠(IntSights)의 인텔리전스 부서장인 이도 울칸(Ido Wulkan)은 이번 사건의 공격자가 이전에도 공격 경험이 있는 자일 것이라고 말한다.

“확실한 건 이번 사건의 공격자가 적어도 두 달 가량은 때를 보고 있다가 이번에 개입하기로 선택했다는 것입니다.” 울칸은 이번 사건과 두 달 전 디도스 공격을 위해 사물인터넷 기기를 봇넷으로 감염시켰던 캠페인 사이에 유사성이 있다고 지적한다.

울칸은 이번 위협이 보다 정교한 것이라고 지적했지만, 국가 지원 위협은 대개 훨씬 더 정교하다. 그러나 이번 공격의 목적이 사보타주였다면, 어차피 발견되지 않은 멀웨어를 사용할 필요는 없었을 것이다. 어떤 국가 지원 공격자들은 꼬리를 밟히지 않으려고 전에 사용했던 툴을 다시 사용하거나 흔한 툴을 사용하기도 한다.
[국제부 오다인 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>