남미로 간 킬디스크, 은행들 노린 잇딴 공격에서 발견돼
아직 공격자는 파악 불가...우연히 공격 성공했거나 치밀한 작전이거나

[보안뉴스 문가용 기자] 파괴형 멀웨어 킬디스크(KillDisk)의 새로운 변종을 보안 업체 트렌드 마이크로(Trend Micro) 발견했다. 위치는 라틴아메리카 지역이었다.


킬디스크는 2015년 우크라이나의 에너지 시설을 마비시키고 대규모 정전 사태를 일으킨 멀웨어로, 러시아 정부가 배후에 있는 공격 단체와 연루되어 있는 것으로 알려져 있다. 특히 블랙에너지(BlackEnergy)라는 그룹이 자주 거론된다.

킬디스크의 원래 기능은 하드드라이브를 통째로 삭제하는 것으로, 보통 이런 공격을 당하면 시스템이 작동을 멈추고, 복구가 불가능하게 변할 때도 많다. 그리고 2016년 킬디스크는 파일을 암호화하는 기능도 덧입게 되었다. 또한 리눅스 시스템을 표적으로 한 랜섬웨어 형식의 킬디스크 변종이 발견되기도 했다.

그리고 올해 1월 트렌드 마이크로는 라틴 아메리카 지역에서 새로운 변종을 발견했다. 잠시 랜섬웨어인 것처럼 외도했으나, 다시 본연의 파일 및 디스크 삭제 기능으로 되돌아온 형태였다.

라틴아메리카 지역에서 발생한 킬디스크의 공격 중 하나는 은행 간 통신 시스템인 SWIFT 네트워크를 노린 것이었다. 이 공격은 성공하지 못했다. 아마도 킬디스크를 앞세워 은행을 터는 것이 목적이었던 것으로 보인다.

그리고 5월, 트렌드 마이크로는 마스터 부트 레코드(MBR)을 삭제하는 멀웨어를 또 다시 라틴아메리카에서 발견했다. 역시 공격 대상은 은행권이었다. 이 공격은 성공했다. “공격을 받은 은행은 시스템 마비를 겪었고, 며칠 동안 은행 운영을 할 수 없었습니다. 그러나 이 공격 자체가 목적은 아닌 것으로 보입니다. 이렇게 주의를 끌고 나서 다시 한 번 SWIFT 네트워크를 공격하는 것이 더 깊은 목적이죠.”

당시 킬디스크라는 정보 없이, 공격당한 은행을 조사하던 트렌드 마이크로는, 해당 공격에 킬디스크가 연루되었다는 것을 곧 알 수 있었다. “공격을 당한 시스템에서 내보낸 오류 메시지가 힌트였습니다. 디스크 삭제형 멀웨어가 공격을 당하면 시스템들이 다 비슷한 오류 메시지를 사용자에게 전달하거든요.”

하지만 아직까지 트렌드 마이크로는 ‘범인’에 대해 확신을 하고 있지 못하는 상태다. “운 좋게 누군가 킬디스크로 은행 공격에 성공을 한 것일 수도 있고, 치밀한 작전을 짜고 실시한 공격일 수도 있습니다. 또한 1월의 공격자와 5월의 공격자가 연루되었을 수도, 아닐 수도 있고요. 지금까지 자료만으로는 유추가 어렵습니다.”

5월에 있었던 공격의 경우, 공격자가 널소프트 스크립터블 설치 시스템(Nullsoft Scriptable Install Syste, NSIS)을 사용해 멀웨어를 만들었다. 이름도 있는 그대로 MBR 킬러(MBR Killer)였다. “멀웨어를 분석한 결과, 물리 디스크의 첫 번째 섹터를 완전히 삭제하는 기능을 가진 것으로 나타났습니다.”

하지만 그 외에는 별 다른 기능을 찾아내지 못했다. C&C 인프라도 없었고, 어떤 주체와 통신을 하는 정황도 발견할 수 없었다. 킬디스크가 잠깐 보여줬던 랜섬웨어 기능도 없었고, 네트워크와 관련된 성능도 일절 존재하지 않았다. 순수 파괴만을 목적으로 한 멀웨어인 것처럼 보였던 것이다.

“물리 하드디스크를 전부 삭제할 수 있습니다. MBR을 삭제하기 위해 하드디스크 정보를 수집한 후, 첫 번째 섹터를 0x00으로 덮어쓰기 합니다. 비슷한 과정을 다른 섹터들에도 적용합니다. 그런 후 시스템 전원을 차단합니다.”

이런 모든 과정을 성공하면 기기의 작동이 불가능해진다. “그렇게 되면 방어벽이 상당히 약화됩니다. 요즘 보안 전략은 ‘다단계(multilayer)’인데, 그중 중요한 한 겹이 벗겨질 수 있는 겁니다. 여기서부터 새로운 공격을 가하는 것도 가능하죠.”
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>