비밀번호를 입력하지 않으면 감염 프로세스 시작하지도 않아
특정 인물이나 단체를 겨냥하여 만든 멀웨어인듯...표적은 아직 확인 불가

[보안뉴스 문가용 기자] 삼삼 랜섬웨어가 다시 한 번 발견됐다. 이전에 나타났던 버전보다 훨씬 더 ‘표적형’ 공격에 특화되어 있고, 공격자 혹은 랜섬웨어 운영자의 특정한 행동을 요구하며 장비를 감염시킨다고 한다.


새로운 버전의 삼삼 랜섬웨어를 발견한 건 보안 업체 멀웨어바이츠(Malwarebytes)로, “이전 버전과 달리 모듈을 사용하며, 사용자들과의 상호 작용 요건도 변경됐다”고 설명한다. 분석 또한 까다로웠는데, 그 이유는 비밀번호를 입력해야만 멀웨어의 소스코드로 접근이 가능했기 때문이다.

“실험 기기에 랜섬웨어를 실행시켜 보는 것도 불가능했어요. 오직 랜섬웨어를 만든 사람이 입력한 코드가 있어야만 실행이 시작되었거든요. 그 코드가 입력되지 않으면 랜섬웨어가 실제 상황에서도 공격하는 일이 없어집니다.”

이 점은 보통의 랜섬웨어와 비교했을 때 엄청난 차이다. “아니, 일반적인 멀웨어만 생각해봐도 정말 다르다는 걸 알 수 있습니다. 왜냐하면 일반적으로 랜섬웨어나 멀웨어는 불특정 다수를 겨냥해 산불처럼 퍼져나가거든요. 그래야 감염자 수도 늘리고, 목적 달성 확률도 올라갑니다. 그런데 이번 삼삼 랜섬웨어는 그렇지 않아요. 공격자가 하나하나 수동으로 허가해줘야만 공격을 시작합니다.”

만약 누군가 삼삼 랜섬웨어를 실수로 다운로드 받아 실행시켰다 한들 공격자가 코드를 입력하지 않으면 아무런 피해가 발생하지 않는다. “그렇다는 건 사실 삼삼 랜섬웨어 제작자가 특정한 누군가를 노리기 위해 이번 멀웨어를 만들었다고 봐야 합니다. 즉 돈을 많이 버는 게 목적이 아니라, 공격자가 직접 선택한 누군가에게 피해를 입히기 위한 공격일 가능성이 높은 것이죠.”

멀웨어바이츠는 분석을 통해 침해를 일으키는 다섯 가지 주요 요소들을 파악해낼 수 잇었다. 이 중 네 개는 실제 하드디스크에 작성되는 파일들이고, 나머지 하나는 공격자가 수동으로 입력하는 것이다.

이중 가장 중요한 첫 번째 요소는 배치 파일이다. 랜섬웨어 환경설정과 관련된 정보가 들어있다. 공격자가 수동으로 실행시키는 요소이기도 하다. 공격자의 ‘행동’을 요구하는 유일한 요소이기도 하다.

삼삼 랜섬웨어는 얼마 전 애틀랜타 시의 주요 공공 시스템을 마비시키기도 했으며, 아직도 ‘탐지가 어려운’ 멀웨어 중 하나로 손꼽힌다. 이번에 발견된 변종 역시 정확히 누구를 표적으로 삼아 공격하기 위해 만들어진 것인지 알 수 없다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>