[보안뉴스 문가용 기자] 올해 첫 새 랜섬웨어 패밀리가 발견됐다. 이름은 바북 락커(Babuk Locker)이며, 줄여서 그냥 바북이라고 하기도 한다. 이미 몇몇 조직들이 바북의 공격을 받아 협박 편지를 손에 쥐고 고심하는 상태라고 한다. 공격자들은 표적에 따라 맞춤형 공격을 실시한 것으로 보이며, 강력한 암호화 알고리즘을 채용했다고 한다.
[이미지 = utoimage]
이 랜섬웨어를 처음 발견한 것은 추옹동(Chuong Dong)이라는 인물로, 지난 주말 자신이 운영하는 블로그에 상세한 내용을 공개했다. 이에 의하면 현재 바북 공격자들은 피해자들에게 최소 6만 달러에서 최대 8만 5천 달러의 돈을 요구하고 있다고 한다. 최신 유행에 맞게 정보를 미리 빼돌리는 ‘이중 협박’ 전술을 취한다는 설명도 있다. 즉 피해자가 협상에 응하지 않거나 돈을 내지 않기로 결정할 경우, 정보를 공개하겠다고 협박하고 있다는 것이다.
바북은 ‘고급 멀웨어’에 속하지 않는다고 한다. 바북을 개발한 자나 운영하는 자나 기존 랜섬웨어 공격자들에 비해 특별하다고 말할 수 있는 점이 없다는 게 그의 설명이다. 다만 파일을 암호화 하는 부분에 있어서는 조금 차별화 된 모습을 보인다며, 그는 다음과 같이 설명했다.
“바북은 파일 암호화를 크게 두 가지 방식으로 진행합니다. 작은 파일을 암호화 할 때와 큰 파일을 암호화 할 때죠. 작은 파일이라는 건 약 41MB 이하의 용량을 가진 것들을 말합니다. 바북은 이런 파일들은 차차8(ChaCha8)이라는 암호화 알고리즘으로 두 번 암호화합니다.” 차차8은 공격자들이 구현한 SHA256 암호화 기술을 말한다.
41MB보다 큰 파일의 경우, 접근 방식을 조금 달리한다. 먼저는 파일을 3등분하고, 각 부분에서 10MB 정도만 암호화를 진행한다. 이렇게 했을 경우 시간을 아낄 수 있다고 추옹동은 설명한다. 또한 ECDH 키 생성 방식을 통해 복호화 키를 보호하고 파일들을 암호화 한다.
참고로 SHA256은 암호화 표준 기술로 미국의 NSA가 개발했다. ECDH는 ‘키 합의’에 관한 규약이다. 암호화 된 파일을 복호화 할 수 있게 해 주는 키를 쌍방이 합의하는 것이 ‘키 합의’이고, ECDH는 그런 합의를 하는 데 사용되는 표준 중 하나다.
바북을 분석한 보안 업체 트립와이어(Tripwire)는 자사 블로그를 통해 “바북은 들쭉날쭉하다”고 설명했다. 어떤 부분은 잘 만들어졌는데, 어떤 부분은 대단히 기초적인 수준에서 벗어나지 못하고 있다는 뜻이다. 암호화의 경우 꽤나 강력한 면모를 보이고 있으나, 멀티스레딩은 부실하다는 게 트립와이어의 설명이다. 그러면서 트립와이어는 “아마추어 해커가 연말 연시 기간 동안 집에서 공을 들인 듯하다”고 말했다.
그렇기 때문에 이들에게 돈을 낼 때 다시 한 번 생각해 볼 것을 트립와이어는 권장하고 있다. 아마추어들이 막 만든 랜섬웨어의 경우, 그것도 암호화 부분이 바북처럼 복잡하게 꼬여 있는 경우, 제작자 자신들도 복호화에 실패할 확률이 높기 때문이다. 추앙동은 “어디선가 전달되어 온 32비트 .exe 파일을 실행하기 전에 여러 번 확인하라”로 권고했다.
3줄 요약
1. 2021년 첫 ‘새 랜섬웨어’, 바북 등장.
2. 암호화 기능은 나름 강력한데, 다른 부분은 엉성. 아마추어의 손길 느껴짐.
3. 따라서 돈을 낸다고 해도 복호화에 실패할 가능성 크다는 것 염두에 두어야 함.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>