시스코 탈로스 랩스, “최악의 사태 대비하기 위한 상상”
모듈화, 보안 우회 기능, 자가 번식 등 좋은 기능 다 갖춘 ‘왕의 몸값’

[보안뉴스 문가용] 800개의 서버와 3200개의 워크스테이션, 기업 내 존재하는 거의 모든 데이터를 1시간 내에 암호화할 수 있는 랜섬웨어가 등장한다면? 시스코(Cisco)의 탈로스 랩스(Talos Labs)는 최근 발간한 보고서를 통해 “악몽과 같은 상황”이라고 표현했다. 미래에 나타날 랜섬웨어의 무시무시한 기능을 예측한 내용으로 구성되어 있는 보고서는 시스코 스스로의 말마따나 정말 악몽으로 가득하다.


▲ 이 녀석에게도 악몽같이 다가온 미래

“미래의 랜섬웨어를 편의상 ‘왕의 몸값(King┖s Ransom)’이라고 불렀습니다. 스스로 증식하고 보안 시스템을 우회하는 것은 물론 모듈화로 구성되어 있어 자유롭게 네트워크를 돌아다니고 심지어 에어갭 네트워크에도 침투가 가능한, 대단한 녀석입니다. 물론 랜섬웨어의 가장 기본이 되는 기능인 암호화와 경고 메시지 출력 등은 기본이고요.” 이를 더 자세히 들여다 보자.

시스코가 가상으로 만든 이 랜섬웨어는 탐지를 우회하는 ‘Rate Limit’ 모듈을 가지고 있다. 이로써 시스템 리소스를 지나치게 잡아먹지 않아 사용자의 관심을 끌지 않을 수 있다. 또한 전통의 C&C 서버와 연결된 인프라도 필요로 하지 않는다. 대신 전역 고유 식별자(Global Unique ID)를 가지고 있어 HTTP나 DNS와 같은 평범한 프로토콜을 통해 C2 도메인에 신호를 보내는 게 가능하다. 도메인에서는 전역 고유 식별자를 수집해, 감염 비율을 관리하고 모니터링한다.

또한 여러 경로를 통해 자가 번식하는 모듈도 포함되어 있다. 그 중 하나로 파일 감염 모듈이 있어 랜섬웨어가 다른 실행파일에 스스로를 첨부하는 방식으로 증식하면서 동시에 다른 시스템으로의 감염도 이뤄낼 수 있다. 또 USB를 통한 증식도 가능한데, 이 랜섬웨어는 여러 드라이브 정보를 읽어내면서 새로운 저장소가 연결이 될 때마다 스스로를 복제한다. 이로써 에어갭 시스템도 감염시킬 수 있다. 인증 인프라 익스플로잇도 있어 공격자가 여러 시스템 및 도메인의 관리자 권한도 얻어낼 수 있다.

듣기만 해도 끔찍한 이 시나리오의 주인공, 왕의 몸값 랜섬웨어는 위에서 말한 대로 800개의 서버와 3200개의 워크스테이션, 대부분의 데이터 파일을 한 시간 내로 암호화시키며, 그 강력한 기능을 바탕으로 피해자에게 1백만 달러를 요구한다. 8일 이내에 입금이 되지 않으면 3백만 달러가 된다. 듣기만 해도 끔찍한, 시나리오라서 다행인 랜섬웨어다.

그렇다면 이런 공격을 받은 기업은 이 높은 금액을 낼 수 있을까? 시스코 탈로스 랩스는 “예측 불가능하다”고 한다. “어떤 데이터가 암호화 되었는지, 복구 가능성이 있는지, 있다면 시간은 얼마나 걸리는지, 비용은 얼마나 드는지, 가지고 있는 백업 자료로 어느 정도 해결이 되는지를 전부 고려해야 하니까요. 그리고 이런 고려사항들을 요구된 금액과 비교하겠죠.”

시스코가 이렇게 무시무시한 랜섬웨어를 상상하고, 보고서로까지 발행한 건 왜일까? “반쯤은 현실이라고 생각하고 보고서를 작성했다”는 시스코의 설명이 여기에 대한 답이다. “아직 뚜렷한 랜섬웨어 대비책은 없는데, 랜섬웨어 자체의 발전은 너무나 빠르고 놀라운 수준입니다. 이렇게 온갖 좋다는 기능을 다 갖춘 궁극의 랜섬웨어가 등장하는 건 시간문제라고 봅니다. 최악의 시나리오를 가지고 그에 대비하는 게 안전을 꾀하는 여러 가지 방법 중 하나라는 점에서, 곧 다가올 최악의 랜섬웨어를 ‘경고성으로’ 상상해봤습니다.”

더 깊은 악몽 속으로 들어가 보고 싶다면 여기 링크를 통해 접속하면 된다. 물론 더 악몽 같은 ‘영문’으로 되어 있으니 그 점 역시 참고하길 바란다.
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>