Offcanvas
Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
Offcanvas
1111Some text as placeholder. In real life you can have the elements you have chosen. Like, text, images, lists, etc.
보안

우크라이나 노린 와이퍼 악성코드, "군사 충돌이 사이버공간으로 확대"

Michael Hill | CSO 2022.03.02
우크라이나에 대한 러시아 군의 침공이 계속되는 가운데, 적법한 드라이버를 도용해 액티브 디렉터리 서버를 표적으로 한 공격, 와이퍼 악성코드(Wiper malware)가 탐지됐다. 이 캠페인은 지정학적 위기 동안 위험 완화를 촉구하는 조직과 악성코드 사용이 함께 증가하는 추세를 그대로 반영하고 있다.
 

2월 23일 이셋 연구진이 발견한 허메틱와이퍼(HermeticWiper)는 우크라이나 내 수백 대의 컴퓨터에 설치됐으며, 전쟁 상황에서 사이버보안과 국제적 안보는 더 이상 구분이 없음을 보여준다. 

이는 최근 우크라이나 웹사이트에 대한 DDoS 공격, 사이버 공격으로부터 우크라이나를 방어하는 데 도움을 주고자 하는 EU 사이버 신속 대응팀의 배치, 미국 바이든 대통령의 러시아 은행 및 지도자에 대한 새로운 제재 조치 이후, 미국 조직에 대한 잠재적 랜섬웨어 공격에 대한 경고에 따른 것이다. 


와이퍼, 적법한 드라이버를 도용해 액티브 디렉터리 서버 공격 

이셋은 최근에 이 악성코드의 첫 번째 샘플을 관찰했지만, 샘플 가운데 하나는 PE 컴파일 타임스팸프가 2021년 12월 28일이었다. 이는 이번 공격이 거의 2개월 이상 준비됐음을 시사한다. 

이 연구진은 데이터를 파괴하는 와이퍼 바이너리는 허메티카 디지털(Hermetica Digital Ltd)이 발급한 코드 서명 인증서를 사용, 서명하는 파티션 관리 프로그램인 '이지어스 파티션 마스터(EaseUS Partition Master Free)'를 악용한다고 설명했다. 

마지막 단계에서 이 와이퍼 악성코드는 컴퓨터를 재부팅한다. 이셋 측은 표적 조직 가운데 하나에서 기본 도메인 정책 GPO를 통해 와이퍼가 들어왔는데, 이는 공격자가 액티브 디렉터리 서버를 제어했을 가능성이 높다고 덧붙였다. 

미국 신시내티 대학교 정치학 조교수이자 사이버전략 정책센터 초빙 연구원인 그레고리 H. 윙어는 본지와의 인터뷰에서 “우크라이나 정부 내에서 데이터 및 기능의 손실은 가장 큰 위협이다. 이는 잠재적으로 우크라이나의 작전을 지연시키거나 무력화할 수 있으며, 현재 진행 중인 침공에 효과적으로 대응하지 못하도록 방해할 수 있다. 이 캠페인 또는 악성코드가 우크라이나를 넘어 확산됐다는 징후는 아직 보이지 않는다. 그러나 팟페트야(NotPetya)가 그랬던 것처럼 이제 곧 전 세계적으로 확산될 여지가 있다”라고 말했다.


사이버공간으로 확장한 군사적 충돌, 대책이 필요하다 

윙어는 “허메틱와이퍼는 군사/지정학적 위기 동안 악성코드 공격의 증가 추세를 나타낸다. 군사적 충돌은 사이버공간으로 확대될 것이다. 1차 세계대전 중에 하늘이 전투의 장으로 확대된 것처럼 사이버공간에서의 군사적 충돌은 일반화될 것이며, 이런 변화에 대응하는데 필요한 도구와 제도는 필수가 될 것이다”라고 예상했다. 

사이버공격과 악성코드의 정교함은 행위자에 따라 다를 수 있지만, 이는 국제 관계와 사이버보안 모두에서 새로운 현실이다. 윙어는 “이제 해결해야 할 근본적인 제도적 현실이 있다. 현재 캠페인에 초점을 맞추고 있지만, 사이버 충돌이 일시적이라고 생각할 수 없다. 새로운 유형의 악성코드와 전략적 캠페인은 지속적으로 등장하는 위협이다"라고 분석했다.  

현재 캠페인에 의해 제기된 위협을 완화하기 위한 도구가 필수적인만큼 훨씬 더 중요한 것은 위협을 효과적으로 식별하고 실행가능한 정보를 수집하고 이런 방어 조치를 구현하기 위한 조직적인 프랙티스 및 절차의 개발이다. 

위협과 악성코드의 성격은 바뀔 수 있지만, 효과적인 사고 대응과 완화 절차를 개발하는 것은 항상 적용할 수 있으며 조직이 진화하는 위협 환경에 적응할 수 있도록 한다.
editor@itworld.co.kr
 Tags 우크라이나 와이퍼 악성코드 사이버공격

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2022 International Data Group. All rights reserved.