이름도 ‘크라이’...개인의 소중한 추억 담긴 사진과 영상 파일 주로 암호화 해
하지만 눈물 날 정도로 엉성해...코드에서 취약점 나와 이미 복호화 도구 완성돼

[보안뉴스 문가용 기자] 캐나다에서 새로운 종류의 랜섬웨어가 발견됐다. 안드로이드 사용자들을 노리며, 특히 사진과 영상 파일에 집착하는 독특한 모습을 보인다고 한다. 이 랜섬웨어의 이름은 크라이크립터(CryCryptor)로, 캐나다 보건 당국이 개발한 공식 코로나 추적 앱인 것처럼 위장되어 있었다고 한다. 이에 대하여 보안 업체 이셋(ESET)이 조사해 발표했다.


[이미지 = utoimage]

크라이크립터는 기존 랜섬웨어들과 마찬가지로 공격자가 지정한 파일들을 암호화한다. 특이한 건 모바일 장비용 랜섬웨어들이 장비 자체를 잠가 못쓰게 만드는 데 반해 크라이크립터는 리드미(readme) 파일 하나를 남겨서 피해자가 볼 수 있도록 한다는 것이다. 공격자에게 연락을 취할 수 있는 이메일 주소가 이 파일에 저장되어 있다.

또 하나 재미있는 건 사진과 동영상 파일들도 암호화 한다는 것이다. 이셋의 보고서에 따르면 공격자들은 .jpg, .png, .avi라는 확장자를 가진 파일들을 찾아내서 암호화 한다고 한다. “일반적으로 랜섬웨어들은 개인정보 등이 저장되어 있을 법한 문서 파일들을 노립니다. 하지만 크라이크립터는 보다 개인적인 추억이 담긴 사진과 영상을 노립니다. 뭔가 감정을 자극해 사용자들을 협박하려는 것으로 보입니다.” 실제 이들이 피해자들에게 내보내는 협박 문구도 “개인적으로 보관하고 있던 자료들을 암호화 했다”로 시작한다.

하지만 크라이크립터의 운영자들은 허술한 면모를 보이기도 했다. 깃허브 리포지터리에 자신들의 프로젝트를 엉성하게 감춘 것이다. 이셋의 연구원들은 앱의 패키지 이름과 문자열을 검색했을 뿐인데 깃허브에서 뭔가가 나오더라, 라고 말한다. “공격자들은 이 프로젝트를 깃허브에 호스팅 해놓고 크라이드로이드(CryDroid)라는 이름으로 위장하고 있었습니다. 정상적인 개발 프로젝트처럼 보이게 한 것이죠.”

리포지터리를 찾아낸 이셋 전문가들은 코드를 분석했고, 결함을 찾아냈다. 그리고 이 결함을 통해 복호화 도구를 만들어내는 데까지 성공했다. 이 결함은 마이터(MITRE)가 이전에 찾아내 ‘안드로이드 요소의 부적절한 엑스포트(Improper Export of Android Components)’라고 이름을 붙였던 취약점, CWE-926이었다고 한다. 안드로이드 애플리케이션이 다른 애플리케이션으로 일부 요소를 엑스포트 하는 과정에서 발동되는 것으로, 개발자가 의도하지 않은 정보가 노출된다.

크라이크립터는 다른 멀웨어들과 마찬가지로 현재 진행되고 있는 코로나 사태를 미끼로 삼고 있다. 특히 정부 기관들이 앞 다투어 추적 앱을 개발해 출시하고 있는 상황을 악용하려 한다. 이번에는 캐나다 정부가 온타리오 주 내에서만 7월에 발표하기로 했던 코비드 알러트(COVID Alert)라는 앱인 것처럼 위장되어 있었다. 이 발표가 있은 후 얼마 지나지 않아 크라이크립터가 등장했다고 이셋은 덧붙였다. 이런 수법은 지난 5월에도 발견된 바 있다. 유니콘(Unicorn)이라는 랜섬웨어가 이탈리아 정부가 공식 발표한 코로나 추적 앱인 이뮤니(Immuni)의 겉모양을 한 채 퍼지고 있었다.

이셋이 개발한 복호화 도구는 여기(https://github.com/eset/cry-decryptor)서 열람이 가능하다. 또한 이 도구를 만드는 데 결정적인 역할을 한 취약점 CWE-926에 대한 상세 정보는 여기(https://cwe.mitre.org/data/definitions/926.html)서 열람이 가능하다.

3줄 요약
1. 안드로이드 장비에 저장된 사진과 영상 파일 주로 암호화 하는 랜섬웨어.
2. 코드가 깃허브에 호스팅 되어 있어 상세한 코드 분석 가능했음.
3. 이셋이 코드 분석 통해 취약점 발견하고, 이 취약점을 이용한 복호화 도구 만듦.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>