낫페트야 및 블랙에너지와의 유사성 발견돼...배후에 러시아 있나
이전부터 밑바탕이 될 사전 작업 진행 돼...커다란 캠페인의 일환일 수도

[보안뉴스 문가용 기자] 지난 화요일 러시아 등지에서 처음 발견된 배드래빗(Bad Rabbit) 랜섬웨어의 확산이 소강상태로 접어든 것으로 보인다. 보안 전문가들은 채취된 샘플 코드들을 상세히 해부하기 시작했고, 여러 가지 사실들을 파악해나가고 있지만, 아직도 이 공격이 어떻게 처음 시작됐고 공격자들의 정확한 의도가 무엇인지는 오리무중에 있다.


일부 전문가들은 배드래빗에서 낫페트야와의 유사성이 있다는 사실을 발견했다. 그러나 낫페트야 공격자들이 동일하게 배드래빗 공격을 실시했다고 결론을 내리기는 힘들다고 한다. ESET의 멀웨어 전문가인 마끄에띠엔 르베이(Marc-Ettiene Leveille)가 바로 이런 부류로 “분명히 많은 부분이 낫페트야와 겹쳐 보인다”고 설명하지만 “확신하기에는 이르다”고 말한다.

한편 러시아의 보안 업체인 그룹IB(Group IB)는 블로그를 통해 코드가 겹치는 부분이 블랙에너지(BlackEnergy) 공격을 연상시킨다고 주장한다. “블랙에너지 공격자들과 배드래빗 공격자들 사이에 연관성이 있는 것으로 보입니다.” 블랙에너지는 우크라이나의 대규모 정전 사태를 일으킨 트로이목마로, 러시아가 가장 유력한 용의자다. 낫페트야 역시 러시아가 가장 크게 의심을 받고 있는 상태다.

또 다른 보안 업체 리스크IQ(RiskIQ) 역시 ‘국가가 후원하는 해킹 조직’이 배드래빗 배후에 있을 거라는 의견이다. “저희는 네 개의 주입 서버를 파악해냈습니다. 그 중 하나는 활동 시작 날짜가 2016년 9월까지로 거슬러 올라갑니다. 즉 1년이 넘는 기간 동안 다양한 웹사이트 방문자들 중 표적들을 골라낼 수 있었던 것으로 보입니다. 그런 행위는 사이버전 부대들 주로 하는 것들입니다. 이해가 가지 않는 건 왜 지금에 와서야 그렇게 몰래 스파잉 할 수 있는 위치를 자발적으로 버리고, 사이버 공격 중 가장 시끄럽다는 랜섬웨어 공격을 이렇게까지 시끄러운 방법으로 감행했느냐는 것입니다. 낫페트야의 경우 우크라이나에 최대한의 혼란을 가져다주는 것이 그 목표였는데, 배드래빗도 같은 선상에 있는 것 아닐까 추측해봅니다.”

시스코 탈로스 팀의 위협 분석가인 닉 비아시니(Nick Biasini)는 “배드래빗과 낫페트야의 유사성이 많이 언급되는데, 일단 그 두 공격은 많은 부분에서 차이를 보이기도 한다”고 말한다. “확산 방법도 다르고, 공격 목적도 다릅니다. 일단 낫페트야는 랜섬웨어를 가장하기만 했지 실상은 삭제형 멀웨어였죠. 오로지 파괴를 위한 목적으로 만들어진 것입니다.” 닉의 설명대로 배드래빗은 비밀번호를 훔치는 오래된 수법을 통해 퍼져나갔고, 취약점을 익스플로잇하지는 않았다.

르베이는 “배드래빗에는 하드코딩 된 크리덴셜 목록이 포함되어 있다는 점에서 매우 독특하다”고 말한다. “배드래빗은 이 목록을 사용해서 퍼지고 있습니다. SMB 프로토콜을 주요 감염 경로로 활용하고 있고, 오픈소스인 미미캣츠(Mimikatz) 툴을 사용해 비밀번호를 추출합니다. 즉 내부 네트워크 망에서 빠르게 확산되는 걸 목표로 하고 있다는 걸 알 수 있습니다.”

배드래빗은 피해자들에게 0.05 비트코인을 요구하고 있다. 이는 약 285달러에 해당하는 돈이다. 워터링홀 공격이나 피싱 이메일 공격을 통해 피해자들이 랜섬웨어를 설치하도록 공격 전략을 꾸렸다. 이들이 침해한 웹사이트들로는 뉴스 웹사이트 여러 곳, 불가리아의 여행사 웹사이트 한 곳, 터키의 영화 관련 웹사이트 한 곳 등이 있다. 배드래빗은 악성 어도비 플래시 인스톨러를 통해 이곳 방문자들의 컴퓨터로 들어갔다. 마이크로소프트의 기술 지원 관련 이메일을 사칭한 이메일 공격도 잘 통했다.

현재까지 배드래빗에 당한 조직은 수백 개에 달한다. 총 15개국에서 정부 기관, 매체, 운송 회사 등이 고루 당했다. 보안 업체 어베스트(Avast)에 의하면 감염된 곳의 71%가 러시아, 우크라이나가 14%, 불가리아가 8%다. 하지만 미국 CERT는 어제 “배드래빗과 관련된 보고서를 여럿 받았다”고 말해 미국에도 배드래빗이 퍼졌을 수도 있음을 시사했다. 하지만 ESET에 의하면 아직 미국에서 배드래빗이 발견된 사례는 없다.

공격의 전형적인 순서에 대해 르베이는 이렇게 설명한다. “공격은 이렇게 진행됩니다. 1) 누군가 배드래빗에 감염된 웹사이트에 방문하고 감염된다. 2) 배드래빗 안에는 디폴트 비밀번호들이 여럿 저장되어 있다. 3) 또한 미미캣츠도 있어서 감염된 기기의 크리덴셜을 훔쳐낸다. 4) 이 2)번과 3)번의 정보들로 네트워크 내에서 횡적으로 움직인다. 이 방법을 쓴 게 바로 낫페트야입니다. 다만 배드래빗은 SMB 프로토콜을 통해 퍼진다는 차이점이 있죠.”

아직 밝혀지지 않은 건 이 공격에 동원된 웹사이트에 최초 침입할 때 어떤 취약점을 익스플로잇 했느냐는 것이다. 게다가 이미 돈을 낸 피해자들이 약속대로 파일을 돌려받았는지(즉, 복호화) 여부도 아직 밝혀진 바가 없다. “이번 사태는 사회 주요 시설이 피해를 많이 입었다는 면에서 독특하기도 합니다. 지하철, 공항, 정부 기관 등, 짧은 시간 안에 이렇게 ‘삼엄해야만 하는’ 곳에 침투 성공했다는 것은 이번 공격이 마구잡이로 진행된 것이 아니라 정교하게 기획된 것이라는 뜻입니다. 혹은 애초에 랜섬웨어 공격이 일어나기 전에 침해부터 당한 것일 수도 있고요.”

리스크IQ는 배드래빗을 전혀 새로운 종류의 랜섬웨어가 출현한 것으로 봐야한다는 입장이다. “배드래빗 자체야 엊그제 일어난 사태지만, 공격자들이나 배포 채널을 보면 2016년 초반부터 활동해온 것으로 보입니다. 랜섬웨어가 나타나기 이전부터 공격이 있어왔던 것이죠. 커다란 캠페인의 일환으로 배드래빗이 활용된 것일뿐, 그 자체가 공격의 모든 것이라고 결론을 내려서는 안 됩니다. 이 후에도 무슨 일이 일어날지 예측이 불가합니다.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>