도펠페이머, 랜섬웨어로서 파일 암호화를 하기 전에 외부로 빼돌리기도 해
피해자에게는 시스템 마비, 정보 유출, 높은 벌금의 3중고 안겨주는 공격

[보안뉴스 문가용 기자] 항공 산업 내 거인인 록히드 마틴(Lockheed Martin), 스페이스엑스(SpaceX), 보잉(Boeing)에 부품을 조달하는 업체가 요즘 떠오르고 있는 랜섬웨어에 당했다. 이 랜섬웨어는 기존 랜섬웨어들처럼 파일을 암호화시킬 수 있을 뿐만 아니라 데이터를 밖으로 유출시키는 기능까지 가지고 있다.


[이미지 = iclickart]

공격에 당한 업체는 미국 콜로라도에 있는 비서 프레시전(Visser Precision)이며, “공격자들이 회사의 중요 정보에 접근하고 빼돌린 사이버 사건이 발생했다”고 발표했다. 한 보안 전문가가 비서 프레시전의 것으로 보이는 정보가 온라인 상에서 거래되고 있는 것을 발견해 알림으로써 조사가 시작됐고, 그 결과 실제로 공격이 있었다는 사실이 드러났던 것이다.

비서 프레시전은 이름 그대로 정밀(precision) 부품을 제조하는 업체로, 자동차와 항공 산업 등에 발을 걸치고 있으며 위에 언급한 것처럼 꽤나 중요한 기업들과도 거래를 하고 있다. ‘중요한 기업들’이란 사업상 보안이 굉장히 중요한 요소로 취급되는 곳들로, 록히드 마틴과 같은 경우 미국 국방과도 연계되어 있기 때문에 데이터와 기밀 보호가 가장 중요하다.

비서 프레시전에서 뭔가 수상한 일이 있었다는 걸 처음 알린 건 보안 업체 엠시소프트(Emsisoft)의 위협 분석가인 브렛 캘로우(Brett Callow)로, 스페이스엑스, 테슬라(Tesla), 하니웰(Honeywell), 제너럴 다이내믹스(General Dynamics)와 같은 회사들과 비서 프레시전 사이의 비공개 협약문들이 해커 포럼에 올라와 있는 것을 발견하면서 의심을 품게 되었다고 한다.

사실 공격자로 보이는 이들도 트위터를 사용해 “더 많은 정보가 곧 더 공개된다”는 예고문을 남기기도 했다. 트위터 계정의 이름은 도펠페이머(DoppelPaymer)였고, 이는 최근 떠오르고 있는 랜섬웨어의 이름과 동일하다. 도펠페이머는 파일 암호화 기술을 통해 시스템을 마비시키는 것은 물론 데이터를 바깥으로 빼돌린다는 특징을 가지고 있다.

최근 랜섬웨어 공격자들은 파일 암호화 후 협박만을 하는 게 아니라, 파일을 미리 빼돌려 피해자가 돈을 내지 않을 수 없도록 만들고 있다. 이른 바 ‘협박 산업의 진화’가 이뤄지고 있는 것인데 도펠페이머는 그런 현상이 한 가지 형태로 현현한 것이라고도 볼 수 있다. 이런 전략과 도펠페이머 때문에 피해자들은 더욱 곤란한 상황에 놓이게 됐다. 메이즈(Maze)라는 랜섬웨어도 도펠페이머와 비슷한 전략을 구사한다.

이런 랜섬웨어 전략은 피해자에게 3중의 고민거리를 제공한다. 하나는 파일 암호화 때문에 사용할 수 없게 된 시스템과 데이터이고, 둘은 유출된 기밀이나 개인정보가 추가 사기 공격에 악용되는 것이며, 셋은 개인정보가 유출된 경우 정부 기관으로부터 내려질 벌금형이다. 최근 프라이버시 관련 법들이 세계 여기저기서 강화되면서 벌금도 심각한 사업 리스크로 떠오르고 있다.

이번 사건의 경우 기밀 유지가 반드시 필요했던 계약서가 노출되었다는 점도 치명적으로 작용할 것으로 예상된다. 전문가들은 여러 가지 사업 아이템 및 서비스에 대한 가격 정보가 노출되었을 가능성이 상당히 높으며, 따라서 비서 프레시전이 앞으로 사업을 이어가고 경쟁을 하는 데 있어 상당히 불리한 입장에 놓이게 되었다고 여러 외신을 통해 전망했다. 심지어 이번에 공개된 것이 ‘기밀 유지 협약’에 묶여 있는 문건들이라, 비서 프레시전은 각종 고소에 한 동안 시달릴 것으로도 보인다.

3줄 요약
1. 록히드 마틴 등 보안이 매우 중요한 업체의 하청 업체, 랜섬웨어에 당함.
2. 문제는 랜섬웨어가 최신식이라, 정보를 유출하기까지 하는 것임.
3. 최근 파일을 암호화 하기 전에 외부로 빼돌리는 랜섬웨어 공격이 유행하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>