[보안뉴스 문가용 기자] 지난 주 발생한 콜로니얼 파이프라인(Colonial Pipeline) 랜섬웨어 사건에 대한 내용들이 계속해서 새롭게 추가되고 있다. 콜로니얼 측은 랜섬웨어 공격자들에게 돈을 주지 않기로 결정했으며, 백업 자료를 활용해 시스템을 복구할 것이라고 발표했다. 백업을 활용할 수 없는 상황에서는 시스템을 처음부터 구축할 것이라고 덧붙이기도 했다. 서비스 역시 곧 재개될 예정이라고 한다.
[이미지 = utoimage]
그런 가운데 FBI와 국토안보부의 CISA가 이번 사건의 주범으로 꼽히는 다크사이드(DarkSide)에 대한 추가 내용을 공개했다. 이에 따르면 다크사이드는 산업 시설이나 사회 기반 시설에 대한 공격을 자주 실행하는 그룹이라고 한다. 올해 초만 해도 이미 브라질의 전기 공급 조직인 엘렉트로브라스(Eletrobras)와 코펠(Copel)을 마비시킨 전적이 있다. 그 때도 다크사이드는 “우리는 돈만 벌고 싶었지 사회적 물의를 일으키려 하지 않았다”는 글을 자신들의 웹사이트에 올리기도 했다. 이번 콜로니얼 사고 후에도 비슷한 내용의 글이 올라왔었다.
다크사이드는 ‘서비스형 랜섬웨어(RaaS)’를 사업 모델로 가져가고 있는 범죄 단체이며, 2020년 8월에 처음 등장했다고 한다. 그 동안 약 15개 국가에서 피해를 일으켰다. 금융, 법, 제조, 전문 서비스, 도소매, IT 등과 같은 산업들이 주요 표적이 되어 왔다. 일반 랜섬웨어 조직들과 달리 병원과 학교, 대학, 비영리, 공공 단체들은 피해 왔다. 이 부분만 보면 ‘사회적 물의를 일으키지 않고 돈을 번다’는 그들의 주장이 어느 정도 반영되는 것 같기도 하다.
다크사이드는 RaaS 모델을 유지하고 있기 때문에 피해자로부터 들어온 돈, 즉 자신들의 이득을 여러 파트너들과 나누는 것으로 보인다. 다크사이드가 담당하는 건 파트너들이 이용하는 공격 플랫폼의 유지와 개발인 것으로 보인다. 랜섬웨어 파일의 커스터마이징 역시 다크사이드의 몫으로 보인다고 한다. 그 외에도 어떤 정보를 맛보기로 올릴 것인지 결정하고, 피해자와 협상을 진행하는 것도 다크사이드가 주도하는 것으로 알려져 있다.
이번 사건의 초반 조사를 담당했던 것으로 알려진 보안 업체 소포스(Sophos)에 따르면 “초기에 대응했을 때 느꼈던 건, 다크사이드가 아니라 다른 단체가 저지른 짓”이라고 한다. “돈을 받아야 한다는 필사적인 느낌이 전혀 없었습니다. 공격을 성공시켰다는 것 자체만으로 만족한 듯 보일 정도였습니다. 아마 공격을 담당했던 다크사이드의 파트너가 아니었을까 합니다.” 하지만 다크사이드와 파트너의 관계에 대해서는 아직 정확히 밝혀진 바가 없다. 즉 이들이 상하관계로 움직이는 건지, 수평관계로 활동하는 건지 명확하지 않다는 것이다.
이는 현재 제기되고 있는 가장 큰 의문점 중 하나다. 즉, ‘콜로니얼 파이프라인을 공격한 것이 온전히 다크사이드의 의도이며 행위였나, 아니면 파트너들이 다크사이드의 통제권 밖에서 벌인 일인데 관심이 다크사이드에만 집중되어 있는 것일까?’가 풀리지 않고 있다는 것이다. 다크사이드를 추적 중에 있는 또 다른 보안 업체 맨디언트(Mandiant)에 따르면 “현재까지 다크사이드와 함께 협업했거나 하는 중인 러시아 공격 단체 5개가 발견됐다”고 한다. 이들은 다크사이드만이 아니라 바북, 레빌 등 다른 RaaS 서비스도 활용한 것으로 알려져 있다.
다크사이드는 기업들을 공격하는 사이버 범죄 단체 중 꽤나 고급 기술을 가진 조직으로 분석되고 있다. 또한 류크(Ryuk), 레빌(REvil), 도플페이머(DoppelPaymer) 등 지난 몇 년 동안 악명을 떨쳐온 유명 랜섬웨어와 닮은 점도 많이 가지고 있다. 맨디언트는 “이런 고급형 랜섬웨어 운영자들의 접근 방식이 어느 정도 고착화 되고 있다”고 표현하기도 한다. “최초 침투 후 며칠에서 몇 주 동안 필요한 정보를 수집하면서 횡적으로 움직여 발판을 최대한 넓게 확보한 후 갑자기 랜섬웨어를 발동시키는 것이죠. 그러면서 자연스럽게 이중 협박을 시작합니다. 이런 방식이 점점 보편화 되고 있습니다.”
그러나 다크사이드에는 다크사이드만의 특징이 있다고도 한다. 윈도 시스템만이 아니라 리눅스 기반 장비들도 노린다는 게 바로 그것이다. “다크사이드는 윈도 버전과 리눅스 버전 모두를 보유하고 있습니다. 리눅스 버전의 경우 VMDK 파일들을 주도적으로 노립니다. VMDK는 가상 하드디스크 드라이브로, VM웨어나 버추얼박스와 같은 가상기계들과 관련이 있는 파일들입니다.”
FBI와 CISA는 다크사이드처럼 산업 시설을 주로 노리는 랜섬웨어 공격이 이후에도 계속 시도되거나 발생할 것으로 보고 랜섬웨어를 방비하는 보안 실천사항을 강조하기도 했다. 그러면서 각 기업 및 조직들의 IT와 OT 네트워크의 분리가 대단히 중요하다고 밝혔다. “많은 기업들이 망분리를 충분히 잘 해놓았다고 생각하는데, 분리된 망도 시간이 지나면서 여러 가지 설정 변경이 겹치게 되고, 유야무야 하나로 합쳐집니다. 그런 부분에 유의하며 분리된 망들을 관리하는 것이 중요합니다.”
또한 FBI와 CISA는 가장 민감할 수 있는 데이터를 항상 모니터링 하는 것도 중요하다고 짚었다. 요즘 랜섬웨어 사건은 데이터 탈취를 동반하고 있기 때문이다. “보안 팀들은 중요 정보들이 어디에 저장되어 있고, 어떤 식으로 누구에 의해 주로 활용되는지, 어떤 방식으로 교류되는지를 다 알고 있어야 합니다. 그것이 데이터 탈취를 막는 첫 걸음이 됩니다.”
3줄 요약
1. 콜로니얼 파이프라인을 마비시킨 랜섬웨어 공격자 다크사이드에 대한 추가 정보 나옴.
2. RaaS 운영자로, 여러 파트너사들과 협업하여 수익을 창출하고 서로 나눔.
3. 윈도 시스템만이 아니라 리눅스 시스템을 감염시킬 만한 기술도 가지고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>