랜섬웨어 감염 경로로 악용된 카세야 VSA, 당분간 사용 중단 필요
레빌 랜섬웨어 조직 소행 추정...카세야 고객사 200여곳 랜섬웨어 감염 피해
KISA “국내 기업 피해 아직 없지만, 집중 모니터링하고 있어”

[보안뉴스 권 준 기자] 미국 IT 관리용 솔루션 제공 업체 ‘카세야(Kaseya)’의 VSA(IT 관리용 플랫폼) 제품이 랜섬웨어 유포 경로로 악용된 정황이 포착됐다. 이에 한국인터넷진흥원(KISA)은 해당 사항을 보안 공지하고 유관기관에 긴급 전파했다고 밝혔다.

최근 카세야의 원격 모니터링 및 관리 소프트웨어인 VSA를 사용하는 MSP(Multiple Managed Service Provider)에 대한 공급망 랜섬웨어 공격이 발생했다. 이에 카세야의 VSA를 사용하는 기관이나 기업은 카세야의 공지가 있을 때까지 사용을 중단해야 한다는 게 KISA 측의 설명이다.


[이미지=utoimage]

보안전문가에 따르면 카세야의 VSA 공격은 레빌(REvil) 랜섬웨어 조직에 의해 감행된 공급망 공격으로 VSA 서버를 통해 고객사 약 200여 곳에 랜섬웨어가 업데이트 되어 파일들이 암호화되는 피해를 입은 것으로 드러났다.

특히, 이번 공급망 공격으로 랜섬웨어 감염 피해를 기업 가운데 스웨덴의 슈퍼마켓 체인 COOP은 전산망 마비로 점포 800여 곳의 문을 닫은 것으로 알려졌다.

이번 공격의 경우 랜섬웨어를 실행할 때는 MS 윈도 백신인 윈도우 디펜더의 정상 파일을 사용해서 랜섬웨어를 감염시키는 DLL 사이드 로딩 기법을 사용한 것으로 알려졌다. DLL 사이드 로딩 기법은 정상적으로 보이는 애플리케이션을 사용해 보안 솔루션들을 속임으로써 악성 DLL을 로딩하는 기법이라고 할 수 있다.

이번 공급망 공격과 관련해 KISA는 “아직 국내 피해가 신고된 사례는 없지만, 관련 사항을 집중 모니터링하고 있다”며, “카세야에서 대응 방안을 공지할 경우 보호나라 홈페이지를 통해 보안공지를 할 것”이라고 밝혔다.

한편, 이번 공급망 공격을 감행한 레빌 랜섬웨어 조직은 랜섬웨어 사업을 통해 지난 한 해 막대한 수입을 올린 것으로 분석된 바 있다. IBM의 보고서에 의하면 2020년 한 해 동안 레빌이 벌어들인 돈은 최소 8100만 달러로 알려졌다. 레빌은 러시아 기반의 랜섬웨어 조직으로 얼마 전 세계 최대 육류 가공업체인 JBS 푸즈를 공격한 조직으로도 유명하다.
[권 준 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>