금융권에 나타난 디스크 삭제형 멀웨어...더 큰 공격 배후에 있을지도
2015년 우크라이나 공격에서 처음 나타난 킬디스크, 한 때 랜섬웨어 기능 얻어

[보안뉴스 문가용 기자] 디스크를 삭제하는 멀웨어인 킬디스크(KillDisk)의 새로운 변종이 발견됐다. 이를 발견한 건 보안 업체 트렌드 마이크로(Trend Micro)로, 남미 지역의 금융 기관에서 이 파괴적인 멀웨어가 활동하고 있다고 경고해왔다.


트렌드 마이크로의 분석이 완전히 끝난 건 아니다. 금융권을 겨냥해 ‘디스크 삭제형’ 멀웨어를 사용하는 것이 쉽게 이해되는 현상이 아니라 트렌드 마이크로는 좀 더 큰 공격 캠페인이 배후에 있는 것은 아닐까 하고 추적하는 중이라고 한다. 또한 처음에 어떤 식으로 킬디스크가 금융권에 도달하는지도 파헤치고 있다.

킬디스크는 이름 그대로 디스크에 담긴 모든 데이터를 삭제하는 기능을 가지고 있는 멀웨어로, 시스템을 마비시키는 데에 1차적인 목적을 두고 있다. 2015년 우크라이나의 에너지 산업을 겨냥한 블랙에너지(BlackEnergy) 공격 캠페인에서 사용된 바 있다. 블랙에너지는 러시아와 관련이 있는 사이버 공격자들이 저지른 것으로 알려져 있다.

블랙에너지 공격이 발생하고 1년 후, 보안 전문가들은 킬디스크가 랜섬웨어로 변신했다는 보고서를 발표했다. 하지만 처음 단계에서 보안 전문가들이 획득한 랜섬웨어형 킬디스크 샘플은 허술하기 짝이 없어서 피해자가 아무런 피해 없이 파일을 복구할 수 있었다.

전문가들은 랜섬웨어형 킬디스크기 리눅스 시스템을 노린다는 것을 추가로 발견해, 한 차례 보고서를 더 발표했다. 하지만 이 때 발견된 버전은 암호화 키가 아예 존재하지 않아 한 번 암호화된 파일은 영원히 복구될 길이 없었다.

킬디스크와 낫페트야(NotPetya) 멀웨어 간의 기묘한 유사성이 회자되기도 했다. 낫페트야는 지난 해 전 세계적인 랜섬웨어 공포를 불러일으킨 주범이지만, 사실 랜섬웨어가 아니라 디스크 삭제형 멀웨어였다. 낫페트야는 65개국에서 발견됐으며, 수많은 업체들이 이로 인해 수백만 달러에 이르는 손해를 봤다고 한다.

이번에 발견된 킬디스크 버전은 ‘외도’를 멈추고 본연의 모습으로 돌아온 모양새다. 트렌드 마이크로는 이 버전을 TROJ_KILLDISK.IUB라고 이름을 붙였으며, “원래의 디스크 삭제 기능을 복구했다”고 설명했다. “윈도우 시스템을 노리고 있으며 파일을 삭제하기 위해 시스템 내 모든 드라이브를 뒤집니다. 다만 시스템 파일과 폴더는 그대로 놔둡니다.”

뿐만 아니라 TROJ_KILLDISK.IUB는 마스터 부트 레코드(MBR) 영역도 읽어 들이고 확장 부트 레코드(EBR) 영역을 덮어쓰기 함으로써 디스크 삭제 역할을 완벽하게 해낸다. “파일과 디스크 섹터을 덮어쓰기 함으로써 디스크는 말끔하게 청소가 됩니다. 이렇게 덮어쓰기를 하면 디스크를 복구하는 게 더 힘들어집니다.”

파일과 파티션의 덮어쓰기를 마친 후 TROJ_KILLDISK.IUB는 일부 프로세스들을 종료시킨다. 그럼으로써 시스템 리부트를 유도하는 것이다. 이 프로세스들은 csrss.exe, wininit.exe, winlogon.exe, lsass.exe, BOSD. 로그아웃, 재시작으로 구성되어 있다. 트렌드 마이크로는 분석을 더 진행함에 따라 새롭게 드러나는 사실들을 계속해서 공개할 방침이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>