[보안뉴스 문가용 기자] 큐냅(QNAP)사의 NAS 장비들을 겨냥한 랜섬웨어 캠페인이 다시 시작됐다. 이번에 등장한 랜섬웨어는 데드볼트(DeadBolt)로, 이전부터 각종 NAS 장비들을 괴롭혔던 랜섬웨어 패밀리 중 하나다. 특히 사용자가 비밀번호를 약하게 설정한 경우에 위험에 처할 가능성이 높다고 한다.
[이미지 = utoimage]
현재 큐냅은 상황에 대한 조사 활동을 수행하고 있으며, QTS와 QuTS라는 제품군의 업데이트를 권고하고 있는 상황이다. 요 근래 큐냅의 장비에서 데드볼트 랜섬웨어 캠페인이 진행됐다는 경고가 나온 것은 벌써 두 번째 일이다. 최신 패치를 적용할 경우 안전할 수 있다.
큐냅의 NAS 장비들은 주로 영상 감시 녹화본과 데이터를 저장하는 데에 주로 사용된다. 랜섬웨어 공격자들이 이러한 정보를 확보한 순간 각종 협박 공격이나 각종 추가 사이버 공격에 활용하는 게 가능하다. 보안 업체 비아쿠(Viakoo)의 CEO인 버드 브룸헤드(Bud Broomhead)는 “랜섬웨어 공격자들의 주안점이 점점 데이터 탈취로 옮겨가고 있다”고 설명한다. “데이터를 통해 또 다른 공격을 하고, 추가 수익을 거둘 수 있다는 걸 깨닫게 된 것이죠. 그러니 데이터의 저장소인 NAS가 공격 표적이 될 수밖에 없습니다.”
NAS 장비, 얼마나 쉬운 표적인가?
NAS에 많은 데이터가 저장되어 있다는 사실만이 이들을 꿀단지 같은 표적으로 만드는 건 아니라고 브룸헤드는 설명을 이어간다. “NAS는 익스플로잇 자체가 쉬운 장비에 속합니다. 방화벽에 걸리지 않게 설정된 경우가 많거든요. IT 관리자들의 관심 밖에 있을 때도 많고요. 그러니 패치도 안 되고, 취약점 점검에서도 포함되지 않지요. 공격자들이 공격하기에 딱 알맞은 조건인 겁니다.”
그래서 CISA는 ‘익스플로잇 되는 것으로 알려진 취약점(Known Exploited Vulnerability)’이라는 데이터베이스에 NAS의 취약점들을 꾸준히 올리는 중이다. 브룸헤드는 “현재 해당 데이터베이스에 등록된 취약점은 778개인데, 이 중 10개가 큐냅 NAS 장비에 관한 것”이라고 설명을 덧붙인다.
현재 큐냅 측은 이미 감염된 고객들에게 여러 지원 프로그램을 제공하고 있다. “이미 감염이 된 상태라면 협박 편지의 스크린샷을 찍거나 저장해 범인들이 제시한 비트코인 지갑 주소를 가지고 있는 것이 좋습니다. 그리고 펌웨어를 최신 버전으로 업그레이드 하십시오. 여기에 포함된 멀웨어 제거 애플리케이션이 자동으로 랜섬웨어를 찾아 삭제할 것입니다.”
한편 큐냅의 NAS 장비들에 에코랙스(ech0raix)라는 랜섬웨어가 퍼지고 있다는 경고도 동시에 나오고 있는 상황이다. 에코랙스는 큐냅크립터(QNAPCryptor)라고도 불리는 랜섬웨어로, NAS를 전문적으로 노리는 멀웨어 중 하나다. 에코랙스는 데드볼트와 다른 랜섬웨어로, 현재 큐냅 장비들을 노리는 여러 랜섬웨어 공격 캠페인이 존재하는 것으로 보인다.
3줄 요약
1. 큐냅의 NAS 장비들에서 여러 랜섬웨어 캠페인이 발견됨.
2. 현재 경고가 나오고 있는 건 에코랙스와 데드볼트 랜섬웨어 캠페인.
3. 큐냅 측이 조사 중이니 조만간 최신 업데이트 버전 나올 것으로 보임.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>