삼삼 랜섬웨어, 회사 전체 마비시키기 위해 다양한 취약점 활용
국내 일부 발전소도 삼삼 랜섬웨어 관련 정보 공유하며, 피해 예방 나서

[보안뉴스 김경애 기자] 최근 해외에서 ‘삼삼(SamSam)’ 랜섬웨어가 또 다시 출현한 것으로 알려졌다. 특히, 삼삼 랜섬웨어는 일반 회사는 물론 발전소 등 국가기반시설을 마비시킬 수 있는 형태로 진화하고 있다. 이에 따라 국내에서도 피해 예방을 위해 각별한 관심을 기울여야 할 것으로 보인다.


이스트시큐리티 알약 블로그에 따르면 삼삼 랜섬웨어의 최신 버전이 회사 전체를 감염시키는 형태로 진화했다며 감염 확대를 위해 삼삼 랜섬웨어 운영자는 수 천개의 랜섬웨어 복사본을 개별 조직에 한 번에 보내는가 하면, 다양한 취약점을 악용해 회사 네트워크에 접근 권한을 얻고 있다며 주의를 당부했다.

공격자들은 잠재적 타깃이 발견되면, PSEXEC과 같은 툴 들과 배치 스크립트를 통해 삼삼 랜섬웨어를 수동으로 선택된 시스템에 침투시키는 것으로 알려졌다. 특히, 접근권한 탈취를 목적으로 RDP 패스워드를 무작위로 대입하는 브루트 포스 공격 기법을 사용하며, 내부망에 접근하기 위한 발판을 마련한 후, 네트워크 매핑을 통해 추가 피해자를 찾고 크리덴셜을 훔치는 것으로 분석됐다.

이와 함께 삼삼 랜섬웨어 공격자들은 비즈니스 전략에도 변화를 주고 있는 것으로 드러났다. 기업에 침투해 랜섬웨어를 여기저기 유포시킨 후, 모든 기기를 치료할 경우 ‘대량 할인’해 준다며 이용자를 현혹하고 있는 것이다.

시스코의 탈로스(Talos)가 지난 1월 삼삼 랜섬웨어의 비즈니스에 대해 조사한 결과, 삼삼 랜섬웨어와 관련된 비트코인 지갑에 30.4비트코인이 들어있었다고 밝혔다. 지난 1월 중순부터 사용한 두 번째 주소는 지난 4월 기준으로 23건에 대한 비용을 받은 것으로 알려졌다. 범죄자들은 최근까지 68.1비트코인을 벌어들였는데, 현재 기준으로 약 632,199달러에 이르는 것으로 추산된다.

이러한 가운데 최근 국내 한 발전소에서도 삼삼 랜섬웨어 감염 피해에 조심할 것을 당부하는 문건이 배포된 것으로 알려졌다.

해당 문건에는 삼삼 랜섬웨어와 관련된 해외 이슈를 정리한 내용과 함께 랜섬웨어 감염 화면, 사이버안전센터 분석 및 대응 지침이 포함돼 있다. 특히, 사이버안전센터 대응 지침을 살펴보면 △유해 사이트 접속차단 여부 및 보안 시스템 보안설정 점검 강화 △사내 백신을 통한 실시간 검사 및 최신 업데이트 유지 △랜섬웨어 유포 관련 외부 보안동향 정보수집 및 모니터링 강화 △업무망/인터넷망 윈도우즈 최신 보안 업데이트 적용 등을 강조하고 있다.

이와 관련 해당 발전소 관계자는 “우크라이나 사태와 같은 대규모 랜섬웨어 감염에 우리도 주의해야 하기 때문에 삼삼 랜섬웨어가 해외에서 다시 출현한 만큼 관련 정보를 공유하기 위해 경영진에게 보고한 동향 문서”라며 “실제 공격시도 및 탐지, 피해사례는 없었다”고 밝혔다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>