클롭 랜섬웨어가 랜섬웨어 한 번 쓰지 않고 수많은 조직들에 랜섬웨어 공격을 가하는 데 성공했다. 열쇠는 무브잇이라는 파일 전송 소프트웨어였다. 이것이 랜섬웨어 산업에 큰 파장을 일으킬 수도 있다는 경고가 보안 업계로부터 나왔다.
[보안뉴스 문가용 기자] 6월 1일 무브잇(MOVEit)이라는 파일 전송 소프트웨어에서 발견된 제로데이 취약점 때문에 정보 침해 사건의 피해자가 된 조직은 6월 30일까지 확인된 바 최소 160개인 것으로 집계되고 있다. 러시아의 악명 높은 랜섬웨어 단체인 클롭(Cl0p)이 이미 공언한 대로 여러 기업에서 사용되는 소프트웨어인 무브잇의 취약점 하나로 한꺼번에 수많은 조직들을 침해된 것이다. 이 사건을 클롭과 경쟁하고 있는 수많은 해킹 단체들이 관심 있게 지켜보고 있을 거라고 전문가들은 경고한다.
[이미지 = gettyimagesbank]
랜섬웨어 없는 랜섬웨어 공격
보안 전문가들 사이에서 이번 무브잇 사태로 클롭 랜섬웨어가 랜섬웨어 공격에 새로운 바람을 불러일으켰다는 목소리들이 나오고 있다. 랜섬웨어 산업을 아예 통째로 뒤엎을 만한 것은 아닐지 모르지만 여러 조직들에 영감을 준 것은 분명해 보인다고 한다. 보안 업체 헌트레스(Huntress)의 위협 연구원 존 해몬드(John Hammond)의 경우 “이번에는 그 많은 조직들을 대상으로 랜섬웨어 공격을 했지만 랜섬웨어 페이로드가 전혀 사용되지 않았다는 것에 주목해야 한다”고 지적한다.
“클롭은 최근 연속해서 특이한 침해 사고를 일으켰습니다. 고애니웨어 MFT(GoAnywhere MFT)와 무브잇 트랜스퍼(MOVEit Transfer)라는 기업용 파일 전송 프로그램에서 발견된 제로데이 취약점을 익스플로잇 함으로써 손쉽게 수많은 조직들의 네트워크로 파고들어간 것입니다. 그런 후 필요한 파일들을 빼돌려 협박을 이어갔습니다. 랜섬웨어 페이로드가 사용된 적은 없습니다. 굳이 파일 암호화를 하지 않은 이유에 대해서는 아직 다 알 수가 없지만요.”
암호화를 통해 파일을 못 쓰게 만든 건 아니지만 협박을 통해 피해자를 압박함으로써 수익을 얻었다는 점에서 클롭은 분명히 랜섬웨어 공격을 한 것이 맞다고 해몬드는 설명한다. “그것도 랜섬웨어 멀웨어 자체에 대한 개량 시도와 투자는 하나도 없었는데도 효과적인 랜섬웨어 공격을 하게 된 것이죠. 기업들 사이에서 널리 사용되는 프로그램의 취약점 하나를 통해서요. 이러한 점에 눈을 새롭게 뜨고 모방 범죄를 시도하는 노력들이 이 뒤로 이어질 거라고 저는 예상하고 있습니다. 랜섬웨어 연구를 하지 않아도 된다는 것만으로 공격 효율이 크게 향상되니까요.”
서드파티 제로데이에 대한 연구
하지만 랜섬웨어 페이로드의 개량이 없었다고 해서 공격 효율이 획기적으로 높아진 건 아닐 것이라고 일부 전문가들은 보고 있다. 왜냐하면 무브잇에서 제로데이 취약점을 찾아내고, 익스플로잇 방법을 개발해야 했기 때문이다. 제로데이 취약점을 연구하고 익스플로잇에 성공하는 것이 어쩌면 더 어렵고 많은 비용을 요구할 수도 있다. 보안 업체 트렐릭스(Trellix)의 위협 첩보 책임자 존 포커(John Fokker)는 “제로데이 익스플로잇을 전문적으로 유통하는 서드파티로부터 상품을 구매했을 가능성이 높다고 본다”는 입장이다.
“이번 무브잇 사태는 대단히 흥미로운 요소를 많이 가지고 있습니다. 일단 이번에 발견된 무브잇의 제로데이 취약점은 그렇게 쉽게 찾아서 익스플로잇 할 수 있는 게 아닙니다. 난이도가 높은 편에 속하죠. 긴 시간 연구와 실험이 필요한 성격의 것입니다. 제로데이 취약점이라는 것을 전문적으로 다뤄보고 많은 경험을 쌓은 자가 배후에 있거나 조력했을 가능성이 높아 보입니다. 클롭은 여태까지 이렇게 정교하고 상세하게 공격 캠페인을 진행한 적이 없기도 합니다. 이들은 좀 더 투박하고 거친 색깔을 가진 조직이었죠. 클롭 외에 제3의 존재를 의심할 수밖에 없습니다.”
포커는 다크웹만이 아니라 양지에도 제로데이 취약점을 은밀히 사들이고 거래하는 조직들이 있다는 사실을 지적한다. “제로데이 취약점을 클롭이 스스로 연구하지 않았다면, 아마 제로데이 전문 조직들로부터 익스플로잇을 구매했을 겁니다. 그 동안 클롭이 보여온 색깔 등 여러 정황을 보건데 이쪽에 더 무게가 실립니다. 그 외에 이번 공격에서 드러난 공격자의 특성과 전략 구사 패턴을 함께 봐도 클롭답지 않은 모습들이 많이 보입니다. 저희 팀은 이들이 서드파티로부터 제로데이를 구매하는 방법을 택했다고 보는 편입니다.”
미래 제로데이 방어
앞으로 제로데이 취약점을 통한 공급망 공격을 막으려면 선제적 대응에 좀 더 투자를 해야 한다고 보안 업체 프루프포인트(Proofpoint)의 위협 탐지 국장 랜디 파그먼(Randy Pargman)은 설명한다. “제로데이 취약점이 범인들 사이에서 유통되는 이유는 별 게 아닙니다. 제로데이 취약점 정보를 소프트웨어 개발사가 후하게 보상하지 않기 때문입니다. 오히려 제로데이 전문 서드파티들이 더 높은 값을 지불하죠. 내가 가진 뭔가를 누군가 더 비싸게 주고 사려한다면 대부분은 그 사람에게 판매할 것입니다. 소프트웨어 벤더사들이 버그바운티 금액을 높일 필요가 있습니다.”
오픈소스보안재단(Open Source Security Foundation)의 수석 총괄인 옴카 아라사라트남(Omkhar Arasaratnam)은 “이번 무브잇 사태를 통해 사이버 보안 전문가들이 패닉을 일으켰다는 사실에 좀 더 눈길이 간다”는 의견이다.
“구급 요원들이 현장에 도착했을 때 어떻게 하나요? 환자의 상태를 보고 비명을 지르고 막 뛰어다니지 않죠. 침착하게 필요한 조치를 취합니다. 그렇게 하는 편이 훨씬 치료 효과도 높고, 현장 장악에 도움이 되니까요. 사건을 키우지 않는 것이죠. 사이버 보안 전문가들이 앞다투어 ‘이거 큰일났다’, ‘재앙이다’, ‘최악의 상황이다’라고 말하면 공격자들은 오히려 더 뿌듯해 하고 성취감을 느낍니다. 반대로 일반 대중들은 ‘보안 기술이나 정책은 소용없다’고 느끼고요. 전혀 도움이 되지 않죠. 보안 사건을 좀 더 침착하게, 기계적으로 조용히 처리하는 훈련이 업계 전체에 필요합니다.”
3줄 요약
1. 무브잇 사태, 랜섬웨어 없는 랜섬웨어 사건.
2. 공격 효율 높았을까? 그랬다면 타 랜섬웨어 조직들도 따라할 것.
3. 클롭 랜섬웨어 배후에 누군가 있었을 가능성도 배제하지 못함.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 6월 1일 무브잇(MOVEit)이라는 파일 전송 소프트웨어에서 발견된 제로데이 취약점 때문에 정보 침해 사건의 피해자가 된 조직은 6월 30일까지 확인된 바 최소 160개인 것으로 집계되고 있다. 러시아의 악명 높은 랜섬웨어 단체인 클롭(Cl0p)이 이미 공언한 대로 여러 기업에서 사용되는 소프트웨어인 무브잇의 취약점 하나로 한꺼번에 수많은 조직들을 침해된 것이다. 이 사건을 클롭과 경쟁하고 있는 수많은 해킹 단체들이 관심 있게 지켜보고 있을 거라고 전문가들은 경고한다.
[이미지 = gettyimagesbank]
랜섬웨어 없는 랜섬웨어 공격
보안 전문가들 사이에서 이번 무브잇 사태로 클롭 랜섬웨어가 랜섬웨어 공격에 새로운 바람을 불러일으켰다는 목소리들이 나오고 있다. 랜섬웨어 산업을 아예 통째로 뒤엎을 만한 것은 아닐지 모르지만 여러 조직들에 영감을 준 것은 분명해 보인다고 한다. 보안 업체 헌트레스(Huntress)의 위협 연구원 존 해몬드(John Hammond)의 경우 “이번에는 그 많은 조직들을 대상으로 랜섬웨어 공격을 했지만 랜섬웨어 페이로드가 전혀 사용되지 않았다는 것에 주목해야 한다”고 지적한다.
“클롭은 최근 연속해서 특이한 침해 사고를 일으켰습니다. 고애니웨어 MFT(GoAnywhere MFT)와 무브잇 트랜스퍼(MOVEit Transfer)라는 기업용 파일 전송 프로그램에서 발견된 제로데이 취약점을 익스플로잇 함으로써 손쉽게 수많은 조직들의 네트워크로 파고들어간 것입니다. 그런 후 필요한 파일들을 빼돌려 협박을 이어갔습니다. 랜섬웨어 페이로드가 사용된 적은 없습니다. 굳이 파일 암호화를 하지 않은 이유에 대해서는 아직 다 알 수가 없지만요.”
암호화를 통해 파일을 못 쓰게 만든 건 아니지만 협박을 통해 피해자를 압박함으로써 수익을 얻었다는 점에서 클롭은 분명히 랜섬웨어 공격을 한 것이 맞다고 해몬드는 설명한다. “그것도 랜섬웨어 멀웨어 자체에 대한 개량 시도와 투자는 하나도 없었는데도 효과적인 랜섬웨어 공격을 하게 된 것이죠. 기업들 사이에서 널리 사용되는 프로그램의 취약점 하나를 통해서요. 이러한 점에 눈을 새롭게 뜨고 모방 범죄를 시도하는 노력들이 이 뒤로 이어질 거라고 저는 예상하고 있습니다. 랜섬웨어 연구를 하지 않아도 된다는 것만으로 공격 효율이 크게 향상되니까요.”
서드파티 제로데이에 대한 연구
하지만 랜섬웨어 페이로드의 개량이 없었다고 해서 공격 효율이 획기적으로 높아진 건 아닐 것이라고 일부 전문가들은 보고 있다. 왜냐하면 무브잇에서 제로데이 취약점을 찾아내고, 익스플로잇 방법을 개발해야 했기 때문이다. 제로데이 취약점을 연구하고 익스플로잇에 성공하는 것이 어쩌면 더 어렵고 많은 비용을 요구할 수도 있다. 보안 업체 트렐릭스(Trellix)의 위협 첩보 책임자 존 포커(John Fokker)는 “제로데이 익스플로잇을 전문적으로 유통하는 서드파티로부터 상품을 구매했을 가능성이 높다고 본다”는 입장이다.
“이번 무브잇 사태는 대단히 흥미로운 요소를 많이 가지고 있습니다. 일단 이번에 발견된 무브잇의 제로데이 취약점은 그렇게 쉽게 찾아서 익스플로잇 할 수 있는 게 아닙니다. 난이도가 높은 편에 속하죠. 긴 시간 연구와 실험이 필요한 성격의 것입니다. 제로데이 취약점이라는 것을 전문적으로 다뤄보고 많은 경험을 쌓은 자가 배후에 있거나 조력했을 가능성이 높아 보입니다. 클롭은 여태까지 이렇게 정교하고 상세하게 공격 캠페인을 진행한 적이 없기도 합니다. 이들은 좀 더 투박하고 거친 색깔을 가진 조직이었죠. 클롭 외에 제3의 존재를 의심할 수밖에 없습니다.”
포커는 다크웹만이 아니라 양지에도 제로데이 취약점을 은밀히 사들이고 거래하는 조직들이 있다는 사실을 지적한다. “제로데이 취약점을 클롭이 스스로 연구하지 않았다면, 아마 제로데이 전문 조직들로부터 익스플로잇을 구매했을 겁니다. 그 동안 클롭이 보여온 색깔 등 여러 정황을 보건데 이쪽에 더 무게가 실립니다. 그 외에 이번 공격에서 드러난 공격자의 특성과 전략 구사 패턴을 함께 봐도 클롭답지 않은 모습들이 많이 보입니다. 저희 팀은 이들이 서드파티로부터 제로데이를 구매하는 방법을 택했다고 보는 편입니다.”
미래 제로데이 방어
앞으로 제로데이 취약점을 통한 공급망 공격을 막으려면 선제적 대응에 좀 더 투자를 해야 한다고 보안 업체 프루프포인트(Proofpoint)의 위협 탐지 국장 랜디 파그먼(Randy Pargman)은 설명한다. “제로데이 취약점이 범인들 사이에서 유통되는 이유는 별 게 아닙니다. 제로데이 취약점 정보를 소프트웨어 개발사가 후하게 보상하지 않기 때문입니다. 오히려 제로데이 전문 서드파티들이 더 높은 값을 지불하죠. 내가 가진 뭔가를 누군가 더 비싸게 주고 사려한다면 대부분은 그 사람에게 판매할 것입니다. 소프트웨어 벤더사들이 버그바운티 금액을 높일 필요가 있습니다.”
오픈소스보안재단(Open Source Security Foundation)의 수석 총괄인 옴카 아라사라트남(Omkhar Arasaratnam)은 “이번 무브잇 사태를 통해 사이버 보안 전문가들이 패닉을 일으켰다는 사실에 좀 더 눈길이 간다”는 의견이다.
“구급 요원들이 현장에 도착했을 때 어떻게 하나요? 환자의 상태를 보고 비명을 지르고 막 뛰어다니지 않죠. 침착하게 필요한 조치를 취합니다. 그렇게 하는 편이 훨씬 치료 효과도 높고, 현장 장악에 도움이 되니까요. 사건을 키우지 않는 것이죠. 사이버 보안 전문가들이 앞다투어 ‘이거 큰일났다’, ‘재앙이다’, ‘최악의 상황이다’라고 말하면 공격자들은 오히려 더 뿌듯해 하고 성취감을 느낍니다. 반대로 일반 대중들은 ‘보안 기술이나 정책은 소용없다’고 느끼고요. 전혀 도움이 되지 않죠. 보안 사건을 좀 더 침착하게, 기계적으로 조용히 처리하는 훈련이 업계 전체에 필요합니다.”
3줄 요약
1. 무브잇 사태, 랜섬웨어 없는 랜섬웨어 사건.
2. 공격 효율 높았을까? 그랬다면 타 랜섬웨어 조직들도 따라할 것.
3. 클롭 랜섬웨어 배후에 누군가 있었을 가능성도 배제하지 못함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
