[보안뉴스 문가용 기자] 새로운 랜섬웨어 패밀리가 등장했다. 이름은 블랙바이트(BlackByte)라고 하는데, 초보자가 만든 멀웨어라는 티가 팍팍 난다고 보안 전문가들은 분석하고 있다. 탐지 기술을 우회하지도 못하고, 모든 피해자들에게 동일한 암호화 알고리즘을 사용하고 있지 않다는 치명적인 실수도 여기에 포함된다.
[이미지 = utoimage]
블랙바이트에는 러시아에서 만들어진 여러 랜섬웨어와 비슷한 특성들이 있다. 시스템이 러시아어로 운용되고 있으면 공격을 하지 않는다는 것이 가장 주요한 특징이다. 이는 레빌(REvil)이나 류크(Ryuk)에서도 발견되고 있다고 보안 업체 트러스트웨이브(Trustwave)는 설명한다. “게다가 공공 서버에서 다운로드 되는 대칭형 암호화 키를 활용합니다. 이 때문에 저희는 복호화 키를 만들어 피해자들을 도울 수 있었습니다.”
랜섬웨어가 이렇게까지 허술하다는 건 기존 랜섬웨어 패밀리와 관련이 없다는 뜻이라고 트러스트웨이브는 결론을 내리고 있다. “개발자들이 충분한 경험을 가지고 있지 않은 듯 보입니다. 게다가 아예 백지부터 만들어 낸 것으로 보입니다. 대단히 어설프고 서투른 느낌이 여기 저기서 나옵니다.” 수석 보안 연구원인 칼 시글러(Karl Sigler)의 설명이다.
이렇게 어설픈 랜섬웨어가 등장한다는 건 현재 사이버 범죄자들 사이에서 랜섬웨어가 큰 인기를 얻고 있다는 것을 방증하기도 한다. 보안 업체 소닉월(SonicWall)의 사이버 위협 보고서에 따르면 2021년 전반기 동안 랜섬웨어 공격은 150% 증가해 총 3억 500만 번 가까이 발생했다고 한다. 전체 사이버 보안 사고의 유형 중 랜섬웨어는 세 번째로 빈번하게 나타나는 것으로 기록되고 있다.
랜섬웨어 공격자들이 주로 노리는 건 정부 기관 혹은 공공 기관들이다. 기업 네트워크보다 10배가 넘는 공격을 받는다고 알려져 있다. 전체 랜섬웨어 패밀리들 중 가장 빈번히 발견되는 건 류크, 케르베르(Cerber), 삼삼(SamSam)인 것으로 조사됐는데, 이 세 가지가 전체 랜섬웨어의 2/3을 차지하고 있을 정도였다. 소닉월은 “지금부터 연말까지 기적이 일어나 단 한 번도 랜섬웨어 사건이 안 터진다고 하더라도 이미 올해는 최악의 랜섬웨어의 해”라고 보고서를 통해 말하기도 했다.
“이렇게 랜섬웨어가 극성이니 아마추어 해커들도 랜섬웨어 한 번 만들어보자고 마음먹을 수밖에 없습니다.” 시글러의 설명이다. “그들은 선배 해커들을 무섭게 배우거든요. 지금은 우스운 걸 만들어도 조금 지나면 무시무시한 걸 만들 수도 있습니다.” 하지만 지금 상태는 보안 전문가들이 보기에 확실히 우스운 상태다. “이들이 사용하는 난독화 기술은 실제 코드에 각종 쓰레기 코드 혹은 안 쓰는 코드를 우겨 넣은 형태입니다. 변수 이름을 여러 가지로 바꾸기도 했고요. 역설계를 어렵게 만드는 초보적이고 기초적인 방법 중 하나죠.”
또한 블랙바이트는 침해한 시스템에 오픈소스 프로젝트인 랙신(Raccine)이 실행되고 있는지를 확인하기도 한다. 랙신은 랜섬웨어로부터 시스템을 보호해 주는 기능을 가지고 있다. 만약 랙신이 설치되어 있다면 랙신을 삭제하는 것부터 시작한다. 그 다음에는 시스템 내 백업들을 없애기 위해 여러 가지 명령을 실행한다.
그 다음에는 액티브 디렉토리로부터 1천 개의 호스트 이름들을 요청하고 원격 부팅 패키지를 전송한다. 무작위로 감염 가능한 기계를 찾아 퍼지기 위함이다. 한 마디로 웜의 특성까지 가지려 한 랜섬웨어라는 것이다. 시글러는 “효과가 꽤 좋을 수 있는 시도였고 실제 이 방식으로 당한 시스템들이 있는 게 사실”이라고 말한다. 기업 망 환경에서 특히 효과적일 수 있다고 시글러는 공격했다.
러시아어 시스템을 공략하지 않는 부분에 대해서 시글러는 “러시아 사이버 범죄자가 배후에 있을 가능성이 매우 높지만, 그렇게 생각하라고 일부러 그런 기능을 추가했을 수도 있다”고 말한다. 하지만 코드의 허술함을 봤을 때 그런 꼼꼼함을 발휘했을 가능성은 그리 커 보이지 않는다. “이미 널리 알려진 공격 단체가 만든 것 같지는 않아요. 그렇기에 블랙바이트의 배후 세력이 누구인지 더 모르겠고요. 지금으로서는 섣불리 단정짓기가 힘들 뿐더러 위험합니다.”
3줄 요약
1. 새로운 랜섬웨어 블랙바이트 새롭게 등장.
2. 새롭게 등장하긴 했는데, 여러 면에서 어설프고 허술함.
3. 러시아어로 된 시스템은 공략하지 않는데, 이걸 보고 러시아 해커라고 단정지을 수는 없음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>