금융보안원에서 복호화 키 추출...협상 없이 해결
악성코드 결함 이용해 해결 실마리 포착...윤리적 논란도 피해
[보안뉴스 강현주, 조재호 기자] 랜섬웨어 공격을 당한 SGI서울보증이 서비스를 재개함에 따라 해커와의 협상 여부에 관심이 쏠린 가운데, 사건 조사에 참여한 금융보안원이 랜섬웨어 조직에 몸값을 제공하지 않고 암호화된 ‘데이터’를 풀어내는데 성공한 것으로 밝혀졌다.
18일 <보안뉴스> 취재에 따르면, 금융보안원은 이번 해킹으로 잠겨버린 SGI서울보증 데이터를 복호화할 키를 추출해냈다. 공격자가 이용한 악성코드의 결함에서 실마리를 얻었다.
▲SGI보증보험이 랜섬웨어 공격을 당했다. [자료: 연합]
SGI서울보증은 14일 랜섬웨어 공격으로 전세보증 등 여러 보증 업무에 차질을 빚다 나흘만에 서비스를 재개했다. 이 회사는 17일 홈페이지를 통해 서비스 정상화 공지를 했다. 금융보안원이 추출한 키로 암호를 푼 직후 서비스를 재개한 것으로 보인다.
랜섬웨어를 당한 기업들은 협상이 불가피할 경우가 많다. 비즈니스 연속성에 문제가 생길뿐 아니라 B2C 성격의 조직일 경우 국민 대상으로 피해가 일파만파 번지기 때문이다.
IT 및 보안 인력 및 역량이 비교적 약한 조직이라면 협상 외에는 도리가 없는 경우가 다반사다. 제대로 백업 시스템을 갖추지 못했거나 갖췄다 해도 완벽한 격리를 하지 못해 백업 데이터도 잠겨버린다. 복호화 역량을 갖추지 못했거나 외부 복호화 서비스로도 한계가 있을 수 있다.
이에 따라 우선 공격자와 협상으로 급한 불부터 끄고, 추후 재발 방지를 철저히 하는 수순으로 진행되곤 한다.
하지만 이번 SGI서울보증 해킹의 경우 공격자와 협상 없이 금융보안원 역량으로 데이터에 걸린 암호를 풀어냈다. 암호화 키를 제공하는 대가로 공격자에게 제공하는 이른바 ‘몸값’이라 불리는 랜섬을 제공하지 않고 해결했다는 얘기다.
복수의 보안 업계 관계자들은 “SGI서울보증 서비스 정상화를 지원하던 금융보안원이 랜섬웨어 암호화 키를 추출해 잠겨 있는 파일들을 풀고 있다”며 “악성코드에 결함이 있었는데, 이를 잘 포착해 성과를 낸 것으로 보인다”고 밝혔다.
금융보안원의 이번 성과로 SGI서울보증은 범죄 조직과의 협상에 응하지 않고도 문제를 해결, 윤리적 논란도 피할 수 있게 됐다.
SGI서울보증은 국회에 제출한 보고서에서 랜섬웨어 그룹의 정체는 불확실하지만 이들의 공격 패턴이 ‘건라’와 유사함을 인정한 바 있다. 건라는 4월 등장한 신종 랜섬웨어 조직으로 제조·헬스케어·IT·소비자 서비스 등 고가치 산업군을 노려 빠른 속도로 공격 대상을 확대해 왔다.
이번 암호화 키 추출 성과와 관련해 금융보안원 관계자는 “추가 피해 방지를 위해 아직 작업 중인 상황이라 확인해 드리기 어렵다”는 입장을 밝혔다.
한편, 건라로 추정되는 랜섬웨어 그룹은 1차적으로 SSL-VPN 장비의 SSH 서비스 포트를 통해 SGI서울보증 내부망에 침투한 것으로 나타났다. 공격자는 SGI서울보증 내부망으로 들어가기 위해 무작위 로그인을 시도했으며, SGI서울보증은 로그인 시도 횟수 제한 등 기본적 조치도 걸어두지 않았을 가능성이 제기된다.
[강현주, 조재호 기자(jjoo@boannews.com)]
악성코드 결함 이용해 해결 실마리 포착...윤리적 논란도 피해
[보안뉴스 강현주, 조재호 기자] 랜섬웨어 공격을 당한 SGI서울보증이 서비스를 재개함에 따라 해커와의 협상 여부에 관심이 쏠린 가운데, 사건 조사에 참여한 금융보안원이 랜섬웨어 조직에 몸값을 제공하지 않고 암호화된 ‘데이터’를 풀어내는데 성공한 것으로 밝혀졌다.
18일 <보안뉴스> 취재에 따르면, 금융보안원은 이번 해킹으로 잠겨버린 SGI서울보증 데이터를 복호화할 키를 추출해냈다. 공격자가 이용한 악성코드의 결함에서 실마리를 얻었다.
▲SGI보증보험이 랜섬웨어 공격을 당했다. [자료: 연합]
SGI서울보증은 14일 랜섬웨어 공격으로 전세보증 등 여러 보증 업무에 차질을 빚다 나흘만에 서비스를 재개했다. 이 회사는 17일 홈페이지를 통해 서비스 정상화 공지를 했다. 금융보안원이 추출한 키로 암호를 푼 직후 서비스를 재개한 것으로 보인다.
랜섬웨어를 당한 기업들은 협상이 불가피할 경우가 많다. 비즈니스 연속성에 문제가 생길뿐 아니라 B2C 성격의 조직일 경우 국민 대상으로 피해가 일파만파 번지기 때문이다.
IT 및 보안 인력 및 역량이 비교적 약한 조직이라면 협상 외에는 도리가 없는 경우가 다반사다. 제대로 백업 시스템을 갖추지 못했거나 갖췄다 해도 완벽한 격리를 하지 못해 백업 데이터도 잠겨버린다. 복호화 역량을 갖추지 못했거나 외부 복호화 서비스로도 한계가 있을 수 있다.
이에 따라 우선 공격자와 협상으로 급한 불부터 끄고, 추후 재발 방지를 철저히 하는 수순으로 진행되곤 한다.
하지만 이번 SGI서울보증 해킹의 경우 공격자와 협상 없이 금융보안원 역량으로 데이터에 걸린 암호를 풀어냈다. 암호화 키를 제공하는 대가로 공격자에게 제공하는 이른바 ‘몸값’이라 불리는 랜섬을 제공하지 않고 해결했다는 얘기다.
복수의 보안 업계 관계자들은 “SGI서울보증 서비스 정상화를 지원하던 금융보안원이 랜섬웨어 암호화 키를 추출해 잠겨 있는 파일들을 풀고 있다”며 “악성코드에 결함이 있었는데, 이를 잘 포착해 성과를 낸 것으로 보인다”고 밝혔다.
금융보안원의 이번 성과로 SGI서울보증은 범죄 조직과의 협상에 응하지 않고도 문제를 해결, 윤리적 논란도 피할 수 있게 됐다.
SGI서울보증은 국회에 제출한 보고서에서 랜섬웨어 그룹의 정체는 불확실하지만 이들의 공격 패턴이 ‘건라’와 유사함을 인정한 바 있다. 건라는 4월 등장한 신종 랜섬웨어 조직으로 제조·헬스케어·IT·소비자 서비스 등 고가치 산업군을 노려 빠른 속도로 공격 대상을 확대해 왔다.
이번 암호화 키 추출 성과와 관련해 금융보안원 관계자는 “추가 피해 방지를 위해 아직 작업 중인 상황이라 확인해 드리기 어렵다”는 입장을 밝혔다.
한편, 건라로 추정되는 랜섬웨어 그룹은 1차적으로 SSL-VPN 장비의 SSH 서비스 포트를 통해 SGI서울보증 내부망에 침투한 것으로 나타났다. 공격자는 SGI서울보증 내부망으로 들어가기 위해 무작위 로그인을 시도했으며, SGI서울보증은 로그인 시도 횟수 제한 등 기본적 조치도 걸어두지 않았을 가능성이 제기된다.
[강현주, 조재호 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
