표적 공격에 동시다발적으로 터트리는 사례 흔치 않아...자충수라는 의견도 있어
[보안뉴스 문가용 기자] 미국 텍사스 주가 랜섬웨어 공격에 당했고, 이 때문에 23개 주립 및 시립 기관들이 마비됐다. 텍사스 정보자원국(DIR)에 의하면 텍사스 주에 속한 마을과 도시들이 금요일 오전부터 공격을 받기 시작했고, 단일 배후 세력에 의한 것으로 보인다고 한다. 이에 텍사스 주는 주 차원에서 태스크 포스 팀을 구성해 대책에 나섰으며, 여기에 다양한 조직들이 참여했다고 한다. DIR의 발표는 16일과 17일에 연속으로 나왔었다.
[이미지 = iclickart[
다행히 랜섬웨어 공격으로 인해 주 정부의 시스템에는 영향이 없었다고 한다. “그러나 공격의 출처에 대한 수사는 아직까지 진행 중에 있습니다. 새로운 소식이 나오는 대로 수사 상황에 따라 공유할 예정입니다. 지금 최우선 순위로 진행되고 있는 건 마비된 시스템과 행정 기능들의 복구입니다. 여러 조직들이 이 부분에 협조하고 있습니다.”
이번 공격의 특징은 굉장히 대담하다는 것이다. “최근 들어 랜섬웨어 공격이 표적화 되고 있는 건 공공연한 사실이긴 하지만, 그럼에도 미국의 주 정부를 처음부터 노리고 실시한 랜섬웨어 공격은 흔치 않습니다. 이번 공격은 그 흔치 않은 사례 중 하나로 보입니다.”
또한 공격은 한 곳에서 서서히 퍼져간 것이 아니라, 동시다발적으로 이뤄지기도 했다. 여기저기서 랜섬웨어 공격이 동시에 터졌다는 것이다. 아직까지는 공격자들이 이를 어떻게 수행했는지 확실히 알려져 있지 않다. “같은 취약점이 공격을 당한 네트워크들에 전부 있었을 수도 있고, 공통의 서드파티 업체가 공격을 당했을 수도 있습니다.” 멀웨어바이츠의 연구 책임자인 아담 쿠자와(Adam Kujawa)의 설명이다.
“랜섬웨어 공격이 한 번에 여러 곳에서 발생했고, 이 모든 걸 단일 조직이나 인물이 배후에서 실행했다는 건 꽤나 놀라운 일입니다. 아직 정확히 어떤 방법을 사용했는지 알 수 없습니다. 가장 가능성 높은 시나리오는, 미리 네트워크를 침해해두었다가 한 날 한 시에 동시에 터트렸다는 겁니다.”
쿠자와의 시나리오대로 흘러갔다고 해도 이렇게 광범위한 대상을 표적으로 삼아 동시다발적 공격을 실시하는 게 쉬운 일은 아니다. 보통은 어디선가 계산 착오가 발생하기 때문이다. 그렇기에 전례를 찾기도 힘들고, 그 방법 역시 쉽게 찾지 못하고 있는 것이다.
보안 업체 트립와이어(Tripwire)의 제품 관리 및 전략 부문 부회장인 팀 얼린(Tim Erlin)은 “공격자가 텍사스 주 내 여러 도시들을 동시에 공격해 주 차원의 사건으로 끌고 간 건 오히려 자충수”라고 표현한다. “돈을 받아내기가 더 힘들어졌기 때문”이다.
“정말 단일 세력이 동시다발적으로 진행한 일이라면, 왜 굳이 그 어려운 일을 돈 받기 어려운 쪽으로 실시했을까요? 얼마 전 미국 내 시장들이 연합해서 랜섬웨어 범인들에게 돈을 내지 않겠다는 발표까지 한 마당인데요. 이렇게 시끄럽고 주목을 받게 되면 정치인들은 아무리 어려운 상황이라도 돈을 내지 않을 수밖에 없습니다. 정말 단일 세력의 동시다발적 공격인지부터 처음부터 확인할 필요가 있습니다.”
쿠자와는 “주 차원의 사건으로 확장됐다고 해서 시장들이 돈을 내지 않을 거라는 뜻이 되는 건 아니”라고 반박했다. “그러나 텍사스 주 전체가 돈을 내지 않는 쪽으로 가닥을 잡았으면 합니다. 그래야 범죄자들도 이런 식으로 판을 벌이지 않게 될 것이고, 미래의 피해자들도 랜섬웨어와 싸우는 게 가능하다는 걸 학습하게 되니까요. 랜섬웨어와의 싸움, 분명 가능한 겁니다.”
3줄 요약
1. 텍사스 주, 주말 가까이에 동시다발적인 랜섬웨어 공격 받음.
2. 23개 주립 및 시립 기관들이 마비됨. 돈을 낼지 말지, 아직은 발표된 바 없음.
3. 아직까지는 단일 세력에 의한 동시다발적 공격으로 보임. 랜섬웨어 공격으로는 최초 사례.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>