이번에 나타난 버전은 이탈리아의 석유 시출 회사 공격한 것으로 보여
[보안뉴스 문가용 기자] 데이터 삭제형 멀웨어인 샤문(Shamoon)의 새로운 변종이 나타났다. 전문가들은 곧 이 변종을 사용한 공격이 대대적으로 펼쳐질 수 있다고 경고했다.
[이미지 = iclickart]
샤문은 2012년 처음 사우디 아람코(Saudi Aramco)라는 석유 회사에서 처음 발견됐다. 침해한 기계 내 파일들을 지우고, 마스터 부트 레코드(MBR)을 덮어쓰기 해서 사실상 PC를 전혀 사용하지 못하게 만드는 기능을 가지고 있다. 이 때문에 사우디 아람코는 3만 대의 컴퓨터를 한 달 가까이 사용하지 못했다.
그 후 샤문은 4년 정도 후인 2016년 모습을 감췄다가 샤문2로 다시 나타났다. 역시나 파일과 MBR을 지우는 기능을 가진 채였고, 여러 석유화학 조직들과 사우디아라비아의 중앙 은행 시스템을 휩쓸고 지나갔다. 그러다가 다시 사라졌다.
그리고 2018년 12월 10일, 보안 업체 크로니클(Chronicle)의 보안 전문가들이 새로운 샤문 변종 샘플을 바이러스토탈(VirusTotal)에 올라온 것을 발견했다. 해당 샘플에는 이탈리아에서 나타난 것이라는 설명이 있었다. 이상한 점은, 이 샘플의 발동 날짜가 1년 전으로 맞춰져 있었다(2017년 12월 7일)는 것이다. 하지만 크로니클은 이 샘플이 실제 공격에 활용된 예를 발견할 수 없었다고 한다.
크로니클은 발동 날짜가 1년 전이었다는 점에 대해서, “제일 먼저 생각해볼 수 있는 건, 멀웨어 자체는 오래 전에 개발된 것이지만 발견이 늦었다는 것”이라고 설명한다. “그러나 이는 그리 현실적인 시나리오가 아닙니다. 발동일로부터 지금까지 단 한 차례도 사용되지 않았다는 점이 설명되지 않거든요.”
또 다른 가능성은 “멀웨어가 미리 만들어졌지만 이제야 실제 공격에 활용될 만한 상태가 되었다”는 것이다. “공격자들이 최근에야 준비 완료된 것일 수도 있습니다. 그래서 공격 개시와 함께 멀웨어가 곧바로 작동되도록 일부러 발동 시간을 과거로 맞춰둔 것이라고 추측해볼 수 있습니다.”
크로니클은 바이러스토탈에 이 샘플을 올린 사람을 찾아낼 수가 없었다. “샤문은 고도의 표적화 공격에 널리 활용되던 겁니다. 게다가 시스템을 마비시키는 삭제형 멀웨어였고요. 즉 샘플 찾아내는 게 굉장히 어려운 일이라는 겁니다. 그런 샤문의 변종이 바이러스토탈에 업로드 되었다는 건 상상하기 힘든 일입니다. 보지 않았다면 믿지 못했을 겁니다. 아마도 샤문 공격자들이 새로운 표적을 찾아낸 것으로 보입니다.”
주요 차이점
이번에 출현한 샤문3는 기존 샤문들과 어떤 차이점을 가지고 있을까? “가장 큰 차이점은 샘플 내에 저장된 크리덴셜 목록입니다.” 크리덴셜 목록이라는 크로니클의 말을 이해하려면, 먼저 삭제형 멀웨어들 대부분이 인증된 윈도우 서버 메시지 블록(SMB) 세션을 통해 스스로를 복제함으로써 퍼지는 ‘감염 메커니즘’을 알고 있어야 한다. 이점은 낫페트야(NotPetya)와 같은 유명 삭제 멀웨어나 샤문이나 마찬가지다.
다만 낫페트야 등의 삭제형 멀웨어들은 대부분 이터널블루(EternalBlue)와 같은 외부 툴을 사용해 SMB를 공략하고 네트워크에 퍼져간다. 샤문은 다르다. 외부 툴을 사용하는 대신, 특정 조직들에 맞는 도메인 크리덴셜들을 소스코드 내에 하드코드시켜 활용한다. 이점 역시 샤문이 고도의 표적화 공격에 어울리는 멀웨어라는 점을 뒷받침해준다. “그런데 샤문3는 이러한 크리덴셜 목록이 없었어요. 샤문 고유의 자동화된 웜방식 번식이 불가능해진 것이죠.”
정확히 말하면 크리덴셜 목록이 아예 없었다는 게 아니라, 이전 버전에서와 달리 실제 활용될 만큼 충분한 정보가 담겨 있지 않았다는 것이다. “이상해서 더 분석해보니 감염 및 번식과 관련된 모듈이 아예 의도적으로 마비된 상태였습니다.” 또한 삭제된 파일을 대체할 그림 파일들이 들어있는 폴더도 빈 상태였다. 2012년 공격에서 샤문은 불타는 성조기 그림을, 2016년 공격에서는 시리아 난민 아이의 사진을 사용했었다.
크로니클은 “놀랍게도 샤문3은 이전 버전에 비해 뭔가 규모가 크게 줄어든 것으로 보인다”는 결론을 내리고 있다. “그럼에도 샤문3는 매우 높은 수준의 위협입니다. 해커들의 표적형 공격은 막기가 쉽지 않으며, 아무리 샤문3가 규모가 줄어든 버전이라고 해도 방어막을 뚫고 기능을 발휘하기 시작하면 적지 않은 피해가 발생하기 때문입니다. 사보타쥬 공격에 적절한 무기가 누군가에 의해 개발이 완료된 것이고, 곧 공격이 시작될 것으로 보입니다.”
공격, 이미 시작?
이렇게 샤문3가 갑작스럽게 등장한 가운데, 이탈리아의 석유 시출 회사인 사이펨(Saipem)에서 수상한 공격이 발생했다. 인도, 이탈리아, 중동, 스코틀랜드에 있던 사이펨 서버들 중 300대 이상이 멀웨어 공격을 받았고, 샤문이 의심된다는 소식이 나왔다. 사이펨 측은 “이 공격 때문에 데이터와 인프라가 삭제 및 마비됐다”고 발표했다. 하지만 보다 세부적인 내용은 공개되지 않았다.
전문가들은 사이펨 사태에서 샤문으로 보이는 멀웨어가 발견됐고, 이 회사가 이탈리아의 기업이라는 점에서 바이러스토탈에 샤문3 샘플을 올린 게 사이펨일 가능성이 높다고 보고 있다. 하지만 확인된 바는 없다.
3줄 요약
1. 누군가 바이러스토탈에 2년 동안 잠잠했던 샤문3의 샘플을 올림.
2. 분석했더니 발동 날짜가 1년 전으로 세팅되어 있고, 크리덴셜 목록이 허술하고, 감염 메커니즘이 마비되어 있었음.
3. 전체적으로 이전보다 규모가 줄어든 상태. 그럼에도 치명적으로 위험한 위협임에는 변함이 없음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>