LA 타임즈, 월스트리트저널, 뉴욕타임즈, 샌디에이고 트리뷴 등 서비스 지연
류크 랜섬웨어가 지목되고 있음...라자루스의 헤르메스와 유사한 랜섬웨어

[보안뉴스 문가용 기자] 최근 미국의 일부 메이저 일간지의 배포를 늦추게 한 멀웨어의 정체가 류크(Ryuk)라는 랜섬웨어일 수 있다는 가능성이 제기됐다. 류크는 일반적으로 ‘표적형’ 공격에 활용되던 랜섬웨어다.


연휴 기간이었던 지난 주말 동안 LA 타임즈, 월스트리트저널, 뉴욕타임즈, 샌디에이고 유니온 트리뷴 등의 신문지들이 제때 배포되지 않는 일이 발생했다. 이는 트리뷴 퍼블리싱(Tribune Publishing)이라는 회사의 인쇄와 배포 시스템 일부가 멀웨어의 공격으로 마비되었기 때문이었다. 영향을 받은 모든 신문사의 인쇄를 트리뷴 측에서 담당하고 있었다.

LA 타임즈에 의하면 공격은 미국 영토 바깥에서부터 시작된 것으로 보인다고 한다. 이는 공격 직후에 보도되었다. 곧 이어 ‘류크’라는 이름을 가진, 비교적 최근 발견된 랜섬웨어가 이 공격에 연루된 것 같다는 이야기가 나오기 시작했다. 이러한 내용의 진원지는 익명의 기업 내부자로, 침해된 시스템에서 .ryk라는 확장자를 가진 파일이 발견되었다고 진술했다.

미국의 국토안보부 역시 이 사건에 대한 수사에 착수했다. 미국 당국도 사건 이전부터 류크를 추적해왔으며, 8월에 이미 류크와 관련된 권고문을 배포한 바 있다. “고도의 표적화된 공격에 사용되며, 자원이 풍부한 공격자들이 배후에 있는 것으로 보인다”는 내용이 포함되어 있었다.

류크는 일본의 인기 높은 만화 시리즈인 데스노트의 등장인물에서 따온 이름으로, 보안 업체 체크포인트(Check Point)와 소포스(Sophos)가 지난 몇 개월 동안 추적해왔다. 또한 두 회사 모두 “류크가 고도의 표적화 공격에 활용되는 랜섬웨어”라는 같은 의견을 내놓았다. 보통의 랜섬웨어들은 살포형 공격에 주로 사용된다.

‘류크’라는 후보가 등장하긴 했지만, 아직까지 범인들이 정확히 얼마를 원했는지는 밝혀지지 않고 있다. 이전에 발견된 류크 랜섬웨어 공격에서는 15 비트코인(약 5만 7천 달러)에서 50 비트코인(약 19만 달러)이 요구됐다. 체크포인트는 지난 8월 사이버 범죄자들이 2주 만에 60만 달러를 벌어들였다고 발표하기도 했다.

류크 공격자들은 먼저 공격 대상을 정하고, 원격 데스크톱 프로토콜(RDP)의 약한 비밀번호를 통하여 접근한다. 그 다음에는 관리자 권한을 취득하려고 여러 가지 시도를 한다. 관리자 권한을 가져가려는 가장 큰 이유는 보안 소프트웨어를 꺼놓고, 다른 시스템들도 장악하기 위해서다. 그렇게 한 후 파일들을 암호화하기 시작한다.

소포스에 따르면 류크는 일반 소비제품, 생산 공장, 의료 건강 산업을 주로 공격해왔다고 한다.

한편, 류크에서는 헤르메스(Hermes)와의 유사성도 발견된 바 있다. 헤르메스는 북한 정부가 지원하는 해킹 그룹인 라자루스(Lazarus)가 사용하는 랜섬웨어로 알려져 있다. 라자루스는 헤르메스를 사용하여 세계 곳곳의 조직들을 공격하고 있으며, 이미 수천만 달러의 수익을 거둔 것으로 나타났다.

트리뷴에서의 멀웨어 공격이 발생한 후 보안 전문가들은 “류크의 감염 사슬에는 이모텟(Emotet), 트릭봇(Trickbot), 엠파이어(Empire)와 같은 멀웨어도 연루되는 경우가 많다”는 설명을 경고처럼 덧붙였다.

3줄 요약
1. 주말 동안 메이저 일간지들의 배포 늦추게 한 멀웨어 공격 발생함.
2. 그 공격에 류크라는 악명 높은 랜섬웨어가 연루되어 있을 가능성 제기됨.
3. 류크는 표적형 공격에 사용되는 랜섬웨어로, 북한 라자루스와도 연관성이 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>