고급 공격 가능한 백도어와 워너크라이 모방한 랜섬웨어
최초 감염돼 멀웨어 퍼트린 MEDoc 소프트웨어 개발사 압수 수색

[보안뉴스 문가용 기자] 낫페트야 사이버 공격에 대해 러시아를 규탄했던 우크라이나가 자국 소프트웨어 기업인 인텔렉트 서비스(Intellect Service)의 서버를 압수했다. 인텔렉트 서비스는 MEDoc이라는 회계 소프트웨어의 제작자로, MEDoc은 낫페트야의 최초 감염자라고 알려져 있다. 우크라이나 내무부 장관인 에센 아바코프(Aesen Avakov)는 “압수된 서버로부터 2차 사이버 공격이 들어왔으며, 이를 사전에 막는 데 성공했다”고 발표하기도 했다.


낫페트야는 6월 27일 최초로 발견되었으며 당시 페트야(Petya)라는 랜섬웨어와 유사하다는 이유로 페트야나 ExPetr, PetrWrap 등으로 불리기도 했고, 페트야와는 다르다는 관점에서 낫페트야나 골든아이 등으로 불리기도 했다. 처음에는 랜섬웨어 공격인 것처럼 보였으며, 피해자들에게 300달러를 요구하는 협박 편지를 모니터에 출력해 보이기도 했다. 일부 피해자들은 이 돈을 실제로 내기도 했다.

그러나 보안 전문가들의 분석 결과 랜섬웨어처럼 가장한 삭제형 멀웨어였다는 게 드러났다. 또한 피해 시스템 대부분 우크라이나에 위치해 있었다. 그래서 ‘우크라이나를 겨냥한 러시아의 사이버전 공격’이라는 결론으로 가닥이 잡혀갔다. 우크라이나 정부 역시 공개적으로 러시아를 지목해 비판했다.

그런데 왜 자국 기업인 인텔렉트 서비스의 서버를 압수한 것일까? 일단 수사를 더 진행해보니 공격자들의 수준이 매우 높다는 것과 한 달 전부터 치밀하게 계획된 공격이었다는 게 드러났다. 사이버 경찰국의 대변인인 율리아 크비트코(Yulia Kvitko)는 “공격의 첫 통로가 MEDoc의 이 사무실인 것으로 보이기 때문”이라고 설명한다. 인텔렉트 서비스의 CEO인 올레샤 빌루소바(Olesya Bilousova)는 “우리 사무실의 로컬 네트워크에 연결된 모든 컴퓨터와 제품은 우크라이나 전체에게 위협이 될 수 있다”고 설명을 보충했다.

1. 디스크코더
보안 업체 ESET은 낫페트야 공격 당시 DisckCoder.C라는 멀웨어를 발견해 분석했다. 그리고 “매우 영리하고 어지간해서는 탐지할 수 없는 소프트웨어”라고 설명했다. 또한 이 멀웨어가 제대로 공격에 활용되기 위해서는 공격자들이 MEDoc 소프트웨어의 소스코드에 접근해야만 했다는 설명도 덧붙였다. 멀웨어 자체도 꽤나 수준이 높은데, 그걸 심으려면 더 높은 수준의 해킹을 사전에 진행했었어야 한다는 것이다.

DiskCoder.C는 프록시와 이메일 환경설정 정보를 수집한다. 여기에는 사용자 이름과 비밀번호, 고유 사업자 등록번호도 포함된다. 이를 EDRPOU라고 한다. 공격자들은 EDRPOU를 활용해 공격을 하고자 하는 기업을 정확히 짚어낼 수 있게 되고, 백도어를 심어 해당 기업을 계속해서 관찰할 수 있었던 것으로 보인다. 그리고 이런 공격에 인텔렉트 서비스의 서버도 당한 것이 드러났다.

ESET은 DiskCoder.C가 MEDoc 소프트웨어 업데이트에 섞여 들어가면서 공격이 시작됐다고 보는데, “적어도 세 번의 업데이트가 오염됐다”고 말한다. 4월 14일, 5월 15일, 6월 22일에 배포되었던 업데이트가 바로 그것이다. 그때 업데이트 제대로 한 사용자라면 사실은 전부 감염을 허락한 것이나 다름없고, 그렇기에 우크라이나 전역에 낫페트야 공격이 퍼진 것이다. “이런 모든 게 단순히 운이 좋아서 일어난 일이 아니에요. 정말 치밀한 기획과 높은 전문성이 받쳐줘서 가능했던 것이죠.”

시스코 탈로스 팀도 MEDoc 사무실 수사에 참여하고 있는데 공격 경로에 대해서 ESET과 같은 사실을 발견했다. 또한 그런 식으로 훔쳐낸 크리덴셜을 가지고 루트 권한을 얻어내고, NGINX 웹 서버의 파일 설정을 조작했다는 사실도 밝혀냈다. “이러한 사실들은 결국 누군가 의도적으로 우크라이나 기업들을 겨냥해 공격을 감행한 것이고, 멀웨어가 가진 원래 기능은 ‘파괴’였다는 걸 뜻합니다.”

우크라이나 경찰 기관이 인텔렉트 서비스의 서버를 압수한 건 이들을 범인으로 봐서가 아니라, 여기서부터 본격적인 공격의 문이 열렸기 때문이라고 볼 수 있다. 공격의 진범이 누구인지는 아직도 조사 중에 있다.

2. 페이크크라이
낫페트야와 동시에 퍼진 멀웨어가 하나 더 있다는 것 또한 밝혀졌다. 가짜 워너크라이라는 데에서 페이크크라이(FakeCry)라는 이름이 붙었다. 카스퍼스키 랩이 발견했는데, “MEDoc 디렉토리 안에 ed.exe라는 파일 이름으로 저장되어 있다”고 한다. 또한 .NET으로 작성된 소스코드에는 WNCRY라는 문자열이 있어, 워너크라이와의 연결성이 있음을 알 수 있었다고 한다.

하지만 워너크라이가 이터널블루(EternalBlue)라는 윈도우 익스플로잇을 통해 퍼지던 것과 달리 페이크크라이는 wc.exe라는 이름으로 디스크 내에 저장된 드로퍼를 사용한다. 이 드로퍼는 랜섬웨어 요소를 드롭시키고, 암호화를 시작하고, 복호화도 시작하는 기능을 가지고 있다. 약 170개 유형의 파일을 암호화시키며, 암호화시키려는 파일이 사용 중에 있으면 해당 프로세스를 종료시킬 수도 있다.

페이크크라이가 사용자에게 보내는 협박 편지는 워너크라이의 그것과 흡사하다. 공격자들이 요구하는 것은 0.1 비트코인으로 현 시세에서는 약 260000원 정도다. 또한 딱 하나의 비트코인 지갑만 사용하고 있는 것으로 보이며, 여태까지 7명이 여기에 입금한 것으로 나타났다. 카스퍼스키는 “모두가 낫페트야에 집중하고 있을 때 뒤에서 조용히 랜섬웨어가 활동하고 있었던 것”이라고 상황을 정리했다.

한편 페이크크라이처럼 워너크라이를 모방한 랜섬웨어가 하나 더 등장했다. ANDROIDOS_SLOCKER.OPST로, 유명한 랜섬웨어 패밀리인 에스락커(SLocker)의 변종이다. 워너크라이의 GUI를 거의 완벽하게 복제했다고 한다. 그리고 이름에서 볼 수 있듯이 안드로이드 환경을 공격하는 멀웨어다. 이 랜섬웨어를 발견한 트렌드 마이크로(Trend Micro)는 “모바일 버전 워너크라이라고 볼 수 있지만, 그리 무서운 건 아니”라고 설명한다. 왜냐하면 이미 복호화 툴이 공개되었기 때문이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>