트렌드마이크로 분석 결과, 인공지능 코딩 의존한 비숙련 해커 조직의 소행 추정
대용량 핵심 자산 암호화 시 스스로 키를 없애는 구조적 맹점으로 복구 원천 차단

[보안뉴스 김형근 기자] 서비스형 랜섬웨어(RaaS)인 ‘VECT 2.0’이 암호화된 파일의 복호화 키를 스스로 파기하는 설계 결함을 내포해 데이터 영구 소실 피해가 확인됐다.


[출처: gettyimagesbank]

글로벌 보안기업 트랜드마이크로(Trend Micro)의 분석 보고서에 따르면, 해당 랜섬웨어는 몸값을 지불하면 파일을 원상 복구하는 일반적인 해킹 조직의 방식과 달리 애초부터 복구 자체가 불가능한 구조적 오류가 있는 것으로 드러났다.

특히 파일 암호화 가정에서 131KB가 넘는 데이터를 처리할 때, 복구에 필수적인 4개의 난수 중 3개를 생성 직후 파기하는 결함이 발견됐다. 이 때문에 공격자조차 해독이 불가능한 상태가 되며, 피해자가 몸값을 지불하더라도 데이터를 되살릴 방법이 없다.

트랜트마이크로의 보안 전문가는 이 같은 설계 오류로 인해 기업의 핵심 자산이 사실상 영구 삭제되는 악성코드인 ‘와이퍼’(Wiper)에 의해 삭제되는 것과 같은 피해를 입을 수 있다고 경고했다.

VECT 2.0은 윈도우와 리눅스, ESXi 등 멀티플랫폼을 지원하며, 윈도우 안전 모드까지 장악할 수 있는 침투 능력을 보유한 것으로 확인됐다. 이들은 다크웹 포럼과 해킹 그룹 팀피씨피(TeamPCP)와 연계해 공급망 공격을 통해 피해 범위를 확산하는 행보를 보였다. 또, 우크라나이나를 포함한 독립국가연합(CIS) 지역은 공격 대상에서 제외하는 지오펜싱(Geofencing) 규칙을 적용한 정황도 포착됐다.

분석된 코드 내부에는 AI를 활용해 급조한 것으로 추정되는 미흡한 개발 흔적들이 다수 발견됐다. 이에 트랜드마이크로는 이들이 노련한 해킹 조직이 아니라 AI 도구에 의존해 외형만 갖춘 비숙련자 집단일 가능성을 제기했다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>