상반기를 화려하게 장식한 랜섬웨어와 현실에 안착한 ‘진짜’ 사이버전
가상화폐에 돈이 모이자, 해커들도 모이기 시작했다
[보안뉴스 원병철 기자] 2017년 정유년이 시작된 게 엊그제 같은데 벌써 절반이 지났다. 세월의 흐름이 빠른 것도 있겠지만, 보안 분야에서 워낙 굵직한 사건사고들이 많이 터져 어떻게 시간이 흘러갔는지조차 몰랐기 때문 아니었을까. 2017년 상반기를 정리하기 위해 지난 6개월간의 기사들을 하나씩 다시 읽어보니 두 개의 키워드가 여러 사건사고들을 관통하고 있었다. 바로 ‘랜섬웨어(Ransomware)’와 ‘사이버전(Cyber War)’이다. 그리고 최근에 보안이슈의 중심에 서고 있는 게 바로 비트코인 등 가상화폐 거래소의 계정 해킹 위협이다.
.jpg)
[이미지=Dreamstime]
전 세계를 종횡무진 휩쓴 랜섬웨어
올해 랜섬웨어의 급격한 부상은 사실 2016년부터 예견됐다. 이미 각 보안 기업들의 ‘2016년 결산’ 혹은 ‘2017년 예측’을 담은 각종 보고서만 해도 ‘랜섬웨어’란 단어를 지겹게 언급하고 있다. 이스트소프트는 ‘2016년 랜섬웨어 동향’을 발표하면서, 알약이 2016년 한 해 동안 차단한 랜섬웨어만 해도 397만 4,658건이었다고 집계했다. 또한, 2016년 알약에 새롭게 등록된 신·변종 랜섬웨어 샘플도 2만 8,515건에 달한다고 밝혔다.
2017년 주목할 만한 랜섬웨어가 등장한 것은 지난 2월이었다. 파일을 암호화하는 것이 아닌 해당 PC에 담긴 개인정보를 빼간 후 협박하는 새로운 랜섬웨어가 나타난 것이다. 또한, 워드의 매크로 기능을 악용한 세이지 랜섬웨어도 2월에 등장했다. 고객센터(?)까지 운영하던 세이지 랜섬웨어는 추적이 어렵도록 익명 브라우저 ‘토르(Tor)’를 사용하도록 유도한 것이 특징이다.
트럼프를 주제로 한 비너스락커의 변종 ‘트럼프락커’도 2월에 등장했다. 특정인물을 주제로 처음 만들어진 트럼프락커는 72시간 이내에 1비트코인(당시 약 171만원)을 보낼 것을 요구했다. 같은 날, 같은 비너스락커를 바탕으로 한 또 다른 변종 랜섬웨어도 등장했다. 이 변종 랜섬웨어는 한글로 작성된 이메일을 통해 유포돼 공격자의 정체를 의심케 했다. 특히, 비너스락커는 북한에서 제작한 것으로 추정되는데, 주로 한국을 대상으로 한 공격에 많이 사용됐다.
한편, 3월에는 춘천시 버스정보 안내기가 랜섬웨어에 걸린 것이 뒤늦게 알려졌는데, 상용 제작툴로 만든 필라델피아 랜섬웨어에 의한 공격이었다. 특히, 필라델피아 랜섬웨어는 지난 6월초에 고속버스터미널의 대형 전광판도 감염시킨 것이 본지 보도로 알려지면서, 대중교통 시스템을 노린 사이버공격의 위험성이 부각됨과 동시에 정부의 종합 점검 및 대책 마련 필요성이 대두됐다.
안드로이드 기기를 노린 스마트폰 랜섬웨어도 3월에 발견됐다. Android/LockScreen.Jisut로 잘 알려진 안드로이드 랜섬웨어 변종은 감염된 기기를 잠근 후 중국어 음성으로 40위안의 몸값을 요구했다. 당시 이 랜섬웨어를 발견한 이셋코리아는 출처가 분명한 앱만 설치하는 것은 물론, 앱 설치시 요구하는 권한을 주의 깊게 확인할 것을 강조했다.
.jpg)
▲ 2017년 상반기에 등장한 랜섬웨어[자료=보안뉴스]
비너스락커 변종의 공격은 4월에도 이어졌다. 인터파크에서 고객정보가 또다시 유출됐다며 사과하는 메일로 위장한 랜섬웨어가 등장한 것. 2016년 2,000만 명의 고객정보가 유출됐던 인터파크였던 터라, 놀란 마음에 자세하게 확인하지 않고 첨부파일을 클릭하도록 유도했다.
그리고 드디어, 전 세계를 랜섬웨어의 악몽에 휩싸이게 했던 ‘워너크라이(WanaCry)’가 등장했다. 5월 13일 등장한 워너크라이는 윈도우 취약점을 이용한 웜 형태의 랜섬웨어로 인터넷만 연결되면 무작위로 감염되는 탓에 유례 없이 많은 피해자를 생산했다. 다행히 한국은 주말이라 큰 피해를 입지 않았고, 대대적인 홍보로 많은 사람들이 보안 패치를 실행하면서 우려보다는 큰 피해 없이 지나갈 수 있었다.
.jpg)
▲ 워너크라이 랜섬웨어에 감염 화면 모습[이미지=하우리]
워너크라이에 이어 국민들에게 랜섬웨어의 파괴력을 각인 시킨 에레보스(Erebus) 랜섬웨어는 웹호스팅 업체인 인터넷나야나의 서버를 공격, 153대의 서버와 최대 5,500여 개의 홈페이지를 변조시켜 사용자들을 충격에 몰아넣었다. 게다가 고객들의 정보를 어떻게든 복구하려던 인터넷나야나가 결국 약 13억 원의 비트코인을 지급하면서 전 세계적으로도 최대 규모의 몸값 지불사건으로 기록됐다.
이제는 현실이 되어버린 사이버전(Cyber War)
두 번째 키워드인 ‘사이버전(Cyber War)’는 말 그대로 사이버 세상에서의 전쟁을 의미한다. 롯데가 사드(THAAD: 고고도 미사일 방어체계) 부지 제공 계약을 마무리하면서, 2월 28일 중국의 해커들이 중국 롯데 홈페이지를 공격해 홈페이지가 마비되는 사건이 벌어졌다. 이어 롯데인터넷면세점 홈페이지와 한국의 홈페이지들이 무차별적으로 공격당한 것을 서막으로 중국 해커들의 본격적인 공격이 시작됐다.
.jpg)
▲ 한국을 상대로 선전포고를 한 중국 유명 해커조직들[이미지=홈페이지 캡처]
특히, 중국 해커들은 3월 8일 웨이보(중국 SNS)에 한국과 롯데에 선전포고를 하고, 중국해커 총동원을 다. 이 때문에 일각에서는 민간 해커조직들이 디페이스 공격을 통해 국내 웹사이트에 사드 반대 메시지를 남기고, 물 밑에서는 중국 정부와의 연관성이 의심되는 대형 해커조직이 악성코드 유포를 통해 우리나라 국방, 방산 관련 정보 유출을 시도하고 있는 것이 아니냐는 의구심도 커졌다.
심지어 이 당시에 중국 외에도 동남아와 아랍권 해커들까지 국내 웹사이트를 공격하는 일이 빈번히 발생했다. 아시아나항공 홈페이지를 해킹한 인도네시아 해커들은 올해에만 6건 이상 한국 웹사이트를 공격했으며, 아랍어와 영어를 사용하는 다른 해커는 워드프레스 취약점을 이용해 국내 웹사이트를 해킹하는 동영상을 페이스북에 올리기도 했다.
또한, 중국의 공격이 이어지는 가운데 북한에서 제작한 것으로 알려진 비너스락커 변종 랜섬웨어가 경찰청을 사칭해 유포되는 일도 벌어졌다. 한글문서로 된 대량의 첨부파일을 열어보면 감염되도록 제작했으며, 감염된 PC의 내문서 등 주요 자료들은 클라우드 서버로 탈취되는 것으로 드러났다.
가장 최근에 발생한 페트야(Petya) 랜섬웨어가 사실은 우크라이나를 노린 러시아의 사이버전이라는 주장도 보안전문가 사이에서 흘러나오고 있다. 페트야가 우크라이나에서 많이 사용하는 회계 프로그램인 ‘미독’의 자동 업데이트 취약점을 이용해 시작됐다고 우크라이나 경찰과 국가 CERT조직에서 밝혔기 때문이다.
그리고 가장 최근에는 비트코인, 이더리움 등 가상화폐에 대한 투자 열풍이 이어지고 있는 가운데 국내 가상화폐 거래소를 사칭한 계정 해킹 사건과 보이스피싱 공격이 잇따라 발생하고 있다는 점이다. 이는 돈이 몰리는 곳에 해커 역시 몰릴 수밖에 없다는 불변의 진리를 다시금 상기시켜 주는 사건이라고 할 수 있다.
전 세계를 강타한 사건사고...대책은 마련했을까?
지금까지 2017년 상반기를 관통하는 키워드 ‘랜섬웨어’와 ‘사이버전’을 중심으로 그동안 벌어졌던 사건사고를 살펴봤다. 랜섬웨어의 급속한 부상은 사이버 공격이 이제는 완전히 ‘돈’을 노린 범죄로 돌아섰다는 것을 증명한다. 과거 자신의 기술을 과시하기 위해 국가나 주요 기관들의 홈페이지를 공격하던 낭만(?)이 이제는 ‘돈’만을 노린 범죄로 돌아섰다는 거다.
사이버전 역시 사이버 공격이 개인 혹은 기업이나 기관을 대상으로 한 공격에서 이제는 전쟁이라 부를 수 있을 정도로 ‘국가’가 주체가 되어 다른 ‘국가’를 타깃으로 벌어지고 있다는 것을 의미한다. 게다가 사이버전은 상대에게 타격을 입히는 동시에 돈도 벌 수 있는 일석이조가 가능하기 때문에 북한 등 몇몇 국가에서는 사활을 걸고 사이버전 역량을 키우는 데 주력하고 있다.
매월 크고 작은 사건들이 연이어 발생하면서 어느덧 2017년 상반기가 지났다. 결산 기사를 작성하면서 매번 느끼는 것은 사건에 대한 얘기는 있지만, 향후 대책은 거의 없다고 할 정도로 미흡하다는 점이다. 상반기에만 10건 이상의 랜섬웨어가 잇따라 출현했지만, 매번 당할 수밖에 없는 현실도 마찬가지다. 우리나라를 타깃으로 한 해커들의 공격을 줄이기 위해서는 이들이 우리나라를 잘못 공격했다간 큰 코 다칠 수 있다는 인식을 심어줘야 하는 건 아닐까? 이를 위해선 해커 추적 시스템을 좀더 강화할 수 있는 전방위 대책 마련이 필요하지 않을까? 언제까지 가해자인 해커는 이익만 취한 채 빠지고, 피해자들인 기업과 고객들이 서로 더 잘못했다고 싸워야 하느냐는 얘기다.
[원병철 기자(boanone@boannews.com)]
가상화폐에 돈이 모이자, 해커들도 모이기 시작했다
[보안뉴스 원병철 기자] 2017년 정유년이 시작된 게 엊그제 같은데 벌써 절반이 지났다. 세월의 흐름이 빠른 것도 있겠지만, 보안 분야에서 워낙 굵직한 사건사고들이 많이 터져 어떻게 시간이 흘러갔는지조차 몰랐기 때문 아니었을까. 2017년 상반기를 정리하기 위해 지난 6개월간의 기사들을 하나씩 다시 읽어보니 두 개의 키워드가 여러 사건사고들을 관통하고 있었다. 바로 ‘랜섬웨어(Ransomware)’와 ‘사이버전(Cyber War)’이다. 그리고 최근에 보안이슈의 중심에 서고 있는 게 바로 비트코인 등 가상화폐 거래소의 계정 해킹 위협이다.
[이미지=Dreamstime]
전 세계를 종횡무진 휩쓴 랜섬웨어
올해 랜섬웨어의 급격한 부상은 사실 2016년부터 예견됐다. 이미 각 보안 기업들의 ‘2016년 결산’ 혹은 ‘2017년 예측’을 담은 각종 보고서만 해도 ‘랜섬웨어’란 단어를 지겹게 언급하고 있다. 이스트소프트는 ‘2016년 랜섬웨어 동향’을 발표하면서, 알약이 2016년 한 해 동안 차단한 랜섬웨어만 해도 397만 4,658건이었다고 집계했다. 또한, 2016년 알약에 새롭게 등록된 신·변종 랜섬웨어 샘플도 2만 8,515건에 달한다고 밝혔다.
2017년 주목할 만한 랜섬웨어가 등장한 것은 지난 2월이었다. 파일을 암호화하는 것이 아닌 해당 PC에 담긴 개인정보를 빼간 후 협박하는 새로운 랜섬웨어가 나타난 것이다. 또한, 워드의 매크로 기능을 악용한 세이지 랜섬웨어도 2월에 등장했다. 고객센터(?)까지 운영하던 세이지 랜섬웨어는 추적이 어렵도록 익명 브라우저 ‘토르(Tor)’를 사용하도록 유도한 것이 특징이다.
트럼프를 주제로 한 비너스락커의 변종 ‘트럼프락커’도 2월에 등장했다. 특정인물을 주제로 처음 만들어진 트럼프락커는 72시간 이내에 1비트코인(당시 약 171만원)을 보낼 것을 요구했다. 같은 날, 같은 비너스락커를 바탕으로 한 또 다른 변종 랜섬웨어도 등장했다. 이 변종 랜섬웨어는 한글로 작성된 이메일을 통해 유포돼 공격자의 정체를 의심케 했다. 특히, 비너스락커는 북한에서 제작한 것으로 추정되는데, 주로 한국을 대상으로 한 공격에 많이 사용됐다.
한편, 3월에는 춘천시 버스정보 안내기가 랜섬웨어에 걸린 것이 뒤늦게 알려졌는데, 상용 제작툴로 만든 필라델피아 랜섬웨어에 의한 공격이었다. 특히, 필라델피아 랜섬웨어는 지난 6월초에 고속버스터미널의 대형 전광판도 감염시킨 것이 본지 보도로 알려지면서, 대중교통 시스템을 노린 사이버공격의 위험성이 부각됨과 동시에 정부의 종합 점검 및 대책 마련 필요성이 대두됐다.
안드로이드 기기를 노린 스마트폰 랜섬웨어도 3월에 발견됐다. Android/LockScreen.Jisut로 잘 알려진 안드로이드 랜섬웨어 변종은 감염된 기기를 잠근 후 중국어 음성으로 40위안의 몸값을 요구했다. 당시 이 랜섬웨어를 발견한 이셋코리아는 출처가 분명한 앱만 설치하는 것은 물론, 앱 설치시 요구하는 권한을 주의 깊게 확인할 것을 강조했다.
▲ 2017년 상반기에 등장한 랜섬웨어[자료=보안뉴스]
비너스락커 변종의 공격은 4월에도 이어졌다. 인터파크에서 고객정보가 또다시 유출됐다며 사과하는 메일로 위장한 랜섬웨어가 등장한 것. 2016년 2,000만 명의 고객정보가 유출됐던 인터파크였던 터라, 놀란 마음에 자세하게 확인하지 않고 첨부파일을 클릭하도록 유도했다.
그리고 드디어, 전 세계를 랜섬웨어의 악몽에 휩싸이게 했던 ‘워너크라이(WanaCry)’가 등장했다. 5월 13일 등장한 워너크라이는 윈도우 취약점을 이용한 웜 형태의 랜섬웨어로 인터넷만 연결되면 무작위로 감염되는 탓에 유례 없이 많은 피해자를 생산했다. 다행히 한국은 주말이라 큰 피해를 입지 않았고, 대대적인 홍보로 많은 사람들이 보안 패치를 실행하면서 우려보다는 큰 피해 없이 지나갈 수 있었다.
▲ 워너크라이 랜섬웨어에 감염 화면 모습[이미지=하우리]
워너크라이에 이어 국민들에게 랜섬웨어의 파괴력을 각인 시킨 에레보스(Erebus) 랜섬웨어는 웹호스팅 업체인 인터넷나야나의 서버를 공격, 153대의 서버와 최대 5,500여 개의 홈페이지를 변조시켜 사용자들을 충격에 몰아넣었다. 게다가 고객들의 정보를 어떻게든 복구하려던 인터넷나야나가 결국 약 13억 원의 비트코인을 지급하면서 전 세계적으로도 최대 규모의 몸값 지불사건으로 기록됐다.
이제는 현실이 되어버린 사이버전(Cyber War)
두 번째 키워드인 ‘사이버전(Cyber War)’는 말 그대로 사이버 세상에서의 전쟁을 의미한다. 롯데가 사드(THAAD: 고고도 미사일 방어체계) 부지 제공 계약을 마무리하면서, 2월 28일 중국의 해커들이 중국 롯데 홈페이지를 공격해 홈페이지가 마비되는 사건이 벌어졌다. 이어 롯데인터넷면세점 홈페이지와 한국의 홈페이지들이 무차별적으로 공격당한 것을 서막으로 중국 해커들의 본격적인 공격이 시작됐다.
▲ 한국을 상대로 선전포고를 한 중국 유명 해커조직들[이미지=홈페이지 캡처]
특히, 중국 해커들은 3월 8일 웨이보(중국 SNS)에 한국과 롯데에 선전포고를 하고, 중국해커 총동원을 다. 이 때문에 일각에서는 민간 해커조직들이 디페이스 공격을 통해 국내 웹사이트에 사드 반대 메시지를 남기고, 물 밑에서는 중국 정부와의 연관성이 의심되는 대형 해커조직이 악성코드 유포를 통해 우리나라 국방, 방산 관련 정보 유출을 시도하고 있는 것이 아니냐는 의구심도 커졌다.
심지어 이 당시에 중국 외에도 동남아와 아랍권 해커들까지 국내 웹사이트를 공격하는 일이 빈번히 발생했다. 아시아나항공 홈페이지를 해킹한 인도네시아 해커들은 올해에만 6건 이상 한국 웹사이트를 공격했으며, 아랍어와 영어를 사용하는 다른 해커는 워드프레스 취약점을 이용해 국내 웹사이트를 해킹하는 동영상을 페이스북에 올리기도 했다.
또한, 중국의 공격이 이어지는 가운데 북한에서 제작한 것으로 알려진 비너스락커 변종 랜섬웨어가 경찰청을 사칭해 유포되는 일도 벌어졌다. 한글문서로 된 대량의 첨부파일을 열어보면 감염되도록 제작했으며, 감염된 PC의 내문서 등 주요 자료들은 클라우드 서버로 탈취되는 것으로 드러났다.
가장 최근에 발생한 페트야(Petya) 랜섬웨어가 사실은 우크라이나를 노린 러시아의 사이버전이라는 주장도 보안전문가 사이에서 흘러나오고 있다. 페트야가 우크라이나에서 많이 사용하는 회계 프로그램인 ‘미독’의 자동 업데이트 취약점을 이용해 시작됐다고 우크라이나 경찰과 국가 CERT조직에서 밝혔기 때문이다.
그리고 가장 최근에는 비트코인, 이더리움 등 가상화폐에 대한 투자 열풍이 이어지고 있는 가운데 국내 가상화폐 거래소를 사칭한 계정 해킹 사건과 보이스피싱 공격이 잇따라 발생하고 있다는 점이다. 이는 돈이 몰리는 곳에 해커 역시 몰릴 수밖에 없다는 불변의 진리를 다시금 상기시켜 주는 사건이라고 할 수 있다.
전 세계를 강타한 사건사고...대책은 마련했을까?
지금까지 2017년 상반기를 관통하는 키워드 ‘랜섬웨어’와 ‘사이버전’을 중심으로 그동안 벌어졌던 사건사고를 살펴봤다. 랜섬웨어의 급속한 부상은 사이버 공격이 이제는 완전히 ‘돈’을 노린 범죄로 돌아섰다는 것을 증명한다. 과거 자신의 기술을 과시하기 위해 국가나 주요 기관들의 홈페이지를 공격하던 낭만(?)이 이제는 ‘돈’만을 노린 범죄로 돌아섰다는 거다.
사이버전 역시 사이버 공격이 개인 혹은 기업이나 기관을 대상으로 한 공격에서 이제는 전쟁이라 부를 수 있을 정도로 ‘국가’가 주체가 되어 다른 ‘국가’를 타깃으로 벌어지고 있다는 것을 의미한다. 게다가 사이버전은 상대에게 타격을 입히는 동시에 돈도 벌 수 있는 일석이조가 가능하기 때문에 북한 등 몇몇 국가에서는 사활을 걸고 사이버전 역량을 키우는 데 주력하고 있다.
매월 크고 작은 사건들이 연이어 발생하면서 어느덧 2017년 상반기가 지났다. 결산 기사를 작성하면서 매번 느끼는 것은 사건에 대한 얘기는 있지만, 향후 대책은 거의 없다고 할 정도로 미흡하다는 점이다. 상반기에만 10건 이상의 랜섬웨어가 잇따라 출현했지만, 매번 당할 수밖에 없는 현실도 마찬가지다. 우리나라를 타깃으로 한 해커들의 공격을 줄이기 위해서는 이들이 우리나라를 잘못 공격했다간 큰 코 다칠 수 있다는 인식을 심어줘야 하는 건 아닐까? 이를 위해선 해커 추적 시스템을 좀더 강화할 수 있는 전방위 대책 마련이 필요하지 않을까? 언제까지 가해자인 해커는 이익만 취한 채 빠지고, 피해자들인 기업과 고객들이 서로 더 잘못했다고 싸워야 하느냐는 얘기다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
