한국기업 대상“귀신(Gwisin) 랜섬웨어” 출현
해킹 방법 및 암호화 기법 진화. 귀신(Gwisin) 랜섬웨어 동작 방식의 특징
[디지털비즈온 이호선 기자] 한국 기업만 노리는 랜섬웨어 피해 사례가 늘고 있다. 한국랜섬웨어침해대응센터와 안랩자료에 따르면 한국 기업을 타깃으로 한 '귀신'(GWISIN) 랜섬웨어 피해 사례가 잇따라 확인됐다.
현재까지 피해가 확인된 기업은 모두 상장사다. 랜섬웨어 작명부터 협상에 이르기까지 한국 정서, 기업 현황을 알고 있는 정황이 곳곳에서 드러났다. 조직에 한국인이 포함됐을 가능성도 있다.
랜섬웨어 조직은 한국 기업의 재무 상황, 기업 이슈 등을 파악하고 협상에 활용했다. 한국 기업과 협상을 거듭하는 과정에서 해킹 방법 및 암호화 기법을 진화시켰고, 복구 요구 금액도 많았다.
◇Gwisin 랜섬웨어 동작 방식의 특징
안랩 ASEC 에 따르면, 현재까지 파악된 귀신 랜섬웨어 동작 방식의 특징은 ▲ MSI 설치 파일 형태로 유포 ▲ MSI 실행 시 사용한 인자 값을 통해 내부 DLL 구동에 사용 ▲ 윈도우 시스템 프로세스에 인젝션하여 랜섬웨어 행위 ▲ DLL 내부에 감염 대상 기업 정보 존재 (랜섬노트에 표시) ▲ 안전 모드에서 파일 암호화 기능 지원 특징을 갖는다고 밝혔다.
MSI 파일이 실행되면 내부의 랜섬웨어 DLL의 익스포트 함수 update를 호출한다. update 함수에서는 실행 시의 인자를 검사하며 비정상적일 경우에는 동작하지 않는다고 설명했다.
암호화 시점에서 귀신랜섬웨어는 다음과 같은 인자로 “>msiexec/qn/i C:\ProgramData\*****.msiSERIAL=463f********7ce7 LICENSE=7f21********5071 SMM=0 ORG=***” 실행되었다고 설명했다.(인자 중 일부는 블라인드(*) 처리)
또한 귀신 랜섬웨어 실행에 필요한 인자 중 SMM은 0 또는 1의 값을 갖을 수 있다. 일반적인 파일 암호화 행위는 0인 경우에 진행되는 루틴이며, 만약 SMM이 1이라면 안전 모드에서 동작하도록 랜섬웨어를 설치한다.
먼저 자신을 ProgramData의 특정 경로에 복사한 후 서비스에 등록한다. 이후 bcdedit을 이용해 부팅 옵션을 안전 모드로 설정한다. 마지막으로 5초 후에 강제 재부팅하며 안전 모드로 부팅된 후에는 등록한 서비스가 동작하여 파일 암호화를 진행한다.
피해 사례를 보면 랜섬웨어 감염 전에 사용 중인 백신 프로그램이 무력화된 것을 알 수 있다. V3 제품에서는 이러한 동작 방식의 Gwisin 랜섬웨어를 행위 기반 탐지를 통해 인젝션 단계에서 사전 차단하고 있음으로 ‘행위 기반 진단 사용’ 옵션을 활성화하는 것이 필요하다.
또한, Gwisin 랜섬웨어 감염은 사전에 내부 시스템에 대한 장악이 완료된 상태에서 다수 시스템에 대한 랜섬웨어 설치 및 실행이 진행되고 있음으로 어떻게 내부 시스템에 대한 장악과 전파가 진행 되었는지를 분석하는 작업이 반드시 필요하다.
피해 발생 후에 이러한 작업을 통해 원인 분석이 진행되지 못하면, 또 다른 종료의 랜섬웨어로 교체되어 유사한 피해가 재 발생할 수 있다고 경고했다.
한국랜섬웨어침해대응센터가 파악한 피해 규모는 1월 대기업 A사를 비롯해 총 4개사이며, 랜섬웨어 복호화 대가로 지불한 금액은 40억원이 넘는다고 전했다. 복구 금액은 총 3가지 유형으로 제시했다.
A사의 경우 ▲데이터에 걸린 암호만 해제(티어1) ▲유출 데이터의 외부 판매 없음(티어2) ▲보안 취약점 분석보고서 제공(티어3)을 조건으로 각각 325만달러, 650만달러, 700만달러를 요구했다. 협상 기한을 넘기면 금액을 두 배로 올린다는 조건을 달았다.
전문가들은 침입 방법은 기존 랜섬웨어와 다르지 않지만 한국 기업을 지속 공격, 공통 취약점이나 기업 정서를 파악하며 협상에 활용하고 있는 것으로 분석했다.
공격 대상을 확대할 가능성도 크다고 내다봤다. 공격 타깃을 기업에서 전력, 통신 등 사회간접자본 등 기업으로 확대할 수 있는 것으로 전망된다.
한국랜섬웨어침해대응센터 관계자는 “한국 기업만 노리는 랜섬웨어 조직이 활동하고 피해가 이어지고 있는 것은 보안 체계에 허점이 그만큼 많이 노출됐다는 방증일 수 있다”며 “복호화 비용을 보다 많이 요구할 수 있는 사회간접자본 분야로 공격을 확대할 가능성도 염두에 둬야 한다”고 지적했다.