보안

RaaS로 성공한 '레빌 랜섬웨어'의 주요 동향과 이를 막는 방법

Lucian Constantin | CSO 2021.10.15
레빌(Revil)은 서비스로서의 랜섬웨어(Ramsomware as a Service, RaaS) 공격으로, 지난 해 전 세계 많은 기업들의 돈을 강탈했다. 레빌의 이름은 영화 레지던트 이블(Resident Evil)을 모티브로 한 랜섬웨어 이블(Ransomeware Evil)을 의미한다. 보안업체들이 발행한 최근 보고서에서 따르면, 레빌은 가장 널리 퍼진 랜섬웨어 위협이며, 이 공격 집단은 비즈니스 데이터까지 훔쳐 이를 공개하겠다고 위협함으로써 강탈 활동을 배가시켰다. 
 
ⓒ Getty Images Bank

소디노키비(Sodinokibi)라고도 알려진 레빌은 2019년 4월 처음 출현했고, 갠드크랩(GranCrab)이라는 다른 RaaS 범죄 집단이 활동을 중단한 후 유명세를 타기 시작했다. 그래서 레빌이 처음 출현했을 때 여러 전문가와 보안업체는 이 집단이 갠드크랩의 변종이거나 최소한 연관성이 있다고 주장했다. 소디노키비의 구성원으로 추정되는 언노운(Unknown)이라는 인물은 최근 인터뷰에서 레빌이 새로운 창작물이 아니고, 이들이 입수한 오래된 코드베이스를 기반으로 만들어졌음을 확인해주었다.
 
RaaS 공격의 배후에 있는 개발자는 이른바 ‘협력자’라고 알려진 사이버 범죄자에 의존해 랜섬웨어를 유포한다. 랜섬웨어 개발자는 불법 수익금의 20~30%를 가져가고, 나머지는 실질적으로 기업 네트워크에 접근하고 악성코드를 전개하는 일을 하는 ‘협력자’가 가져간다. 

RaaS 공격이 성공적일수록 유능한 협력자를 유인할 가능성이 높아지고, 한 공격이 끝나면 협력자는 신속히 다른 공격으로 넘어간다. 이는 과거 갠드크랩(GandCrab)에서 나타났고, 최근에는 메이즈(Maze)에서 그러했다. 이 구성원들이 갠드크랩 활동 중단을 발표하자, 협력자들은 에그리거(Egregor), 또는 세크메트(Sekhmet)라고 알려진 새로운 랜섬웨어로 신속히 이동했다.

2021년 7월, 레빌 협력자는 카세야(Kaseya)라는 업체가 개발한 시스템 관리 및 모니터링 도구의 제로데이 취약점을 악용해 전 세계의 30개 이상의 MSP(Managed Service Provider)와 이들이 관리하는 1,000개 이상의 기업 네트워크를 손상시켰다. 

이 공격은 언론의 지대한 관심을 끌었고, 심지어 조 바이든 미국 대통령은 블라디미르 푸틴 러시아 대통령 사이의 랜섬웨어에 대한 논의를 촉발시켰다. 

회담 직후, 레빌의 웹사이트는 작동을 멈췄고, 이 집단은 침묵했다. 이를 두고 러시아 사법당국이 조치를 취했을 수도 있다는 추측이 나오기도 했다. 또한 카세야는 익명의 '신뢰할 수 있는 서드파티'로부터 모든 피해자들에게 작동하는 마스터 암호해독 키를 받았다.   

2021년 9월 9일, 플래시포인트(Flashpoint)의 사이버범죄 분석가들은 레빌의 웹사이트가 다시 온라인 상태가 됐으며, 이 집단의 새로운 대표가 지하 포럼에 그동안 무슨 일이 일어났는지 설명하는 메시지를 게시했다고 보고했다. 

해당 게시물에 따르면, 마스터 암호해독 키는 이 집단의 한 개발자가 실수로 생성했으며, 일부 피해자를 위한 개별 암호해독 키와 함께 번들로 제공됐다. 플래시포인트는 이 집단이 갑작스럽게 사라진 후, 깨어진 협력자와 계열사와의 관계를 개선하기 위해 노력하고 있다고 밝혔다.


레빌, 어느 정도로 성공적인가? 

2020년 9월, IBM 시큐리티 엑스-포스(IBM Security X-force) 사고 대응팀은 기업 고객 네트워크에서 4건의 사이버보안 사건 가운데 1건이 랜섬웨어 감염이었으며, 랜섬웨어의 1/3은 레빌/소디노키비였다고 밝혔다. 

그 당시 전문가들은 “IBM 시큐리티 엑스-포스가 2020년 가장 많이 목격한 랜섬웨어 종류는 소디노키비(레빌)이다. 이는 RaaS 공격 모델이고, 올해 혼합된 랜섬웨어 공격 및 강탈 공격을 이행했다”면서, “이 악성코드는 랜섬웨어 및 데이터 탈취 공격에 관여했고, 소디노키비 운영자는 피해자가 몸값을 지불하지 않을 때 기밀 데이터를 훔쳐 인터넷에서 경매로 처분했다"라고 설명했다. 

또한 소디노키비는 2020년 전체 IBM 시큐리티 엑스-포스 랜섬웨어 대처의 29%를 차지한다. 이는 소디노키비 운영자가 다른 랜섬웨어와 비교할 때 피해자 네트워크에 접근하는 능력이 더 우월하다는 것을 시사한다. 

IBM 시큐리티 엑스-포스에 따르면, 레빌은 2019년 출현한 이래로 최소한 140곳의 기업을 공격했으며, 주요 표적 업종은 도매, 제조, 전문 서비스(법률, 회계 등)였다. 약 60%의 피해자가 미국 기업이었고, 그 다음은 영국, 호주, 캐나다 순이었다.
 
또한 레빌 피해 기업 가운데 1/3이 몸값을 지불했고, 1/10의 기업 기밀정보가 다크 웹에서 경매 처분된 것으로 추정된다. 피해 기업의 1/3이 데이터를 절취 당했다. 
레빌 공격 집단은 피해 기업의 연간 매출을 기준으로 몸값을 요구한 듯하다. 요구 금액은 피해 기업 연매출의 최대 9%로, 1,500달러에서 4,200만 달러에 이르기까지 크게 달랐다. IBM은 또한 레빌과 사이버범죄 집단인 FIN7(‘카바나크(Carbanak)’라고도 알려짐) 사이의 몇몇 중복을 확인했다. ‘협력자’가 두 집단과 모두 계약하면 이런 상황이 발생할 수 있다.  

IBM은 지난 해 레빌 수익이 최소 8,100만 달러인 것으로 추정한다. 레빌 집단의 대표로 추정되는 ‘언노운’이 한 러시아인 블로거와의 인터뷰를 보면 이런 추정액이 틀리지 않은 듯하다. 이 사이버범죄자는 랜섬웨어 공격으로 1억 달러 이상을 벌었다고 주장했다. 2020년 9월, 이 집단은 한 해커 포럼에 비트코인으로 100만 달러를 예치했고, 이는 유능한 해커를 ‘협력자’로 모집하려는 시도였다고 블리핑컴퓨터(BleepingComputer)는 보도했다.

 
데이터 절취, 강탈, 그리고 허위 약속을 한 범죄집단 

2020년 10월 초, 랜섬웨어 사건 대응 전문업체인 코브웨어(Coveware)는 레빌/소디노키비가 16%의 감염률로 2020년 3분기 최대의 랜섬웨어 점유율을 차지했다고 보고했다. 또한 2020년 2분기에도 1위였다. 코브웨어가 조사한 랜섬웨어 사건의 절반 가까이가 탈취한 데이터를 공개하겠다고 위협했고, 이 위협을 활용하는 집단의 수도 늘었다.
 
코브웨어는 “데이터 탈취 전략이 임계점에 도달했다”면서, “일부 기업은 탈취된 데이터를 공개하지 않도록 위협 행위자에게 돈을 주기로 선택하지만, 코브웨어는 데이터를 제거하겠다는 사이버범죄자의 약속이 제대로 지켜지지 않음을 목격했다”라고 말했다. 

특히, 코브웨어는 돈을 이미 지불한 피해 기업이 몇 주 후 동일 데이터를 공개하겠다고 다시 위협받는 사태를 목격했다. 다른 범죄 집단들 역시 약속을 지키지 않고, 돈을 지급한 피해 기업의 데이터를 공개하거나 데이터를 제거했다는 허위 증거를 제시했다.
 
코브웨어는 “암호해독 키에 대한 협상과 달리 탈취 데이터의 비공개 협상은 확실한 결말이 없다”면서, “피해자가 암호해독 키를 받으면 빼앗길 수 없고 변질되지 않는다. 하지만 탈취된 데이터라면 위협 행위자는 미래의 어느 시점에든 돈을 받기 위해 다시 협박할 수 있다. 이에 관한 추적 기록이 너무 짧고 약속 불이행은 선택적으로 일어난다는 증거는 이미 쌓이고 있다"라고 경고했다. 따라서 데이터 탈취 피해자는 강경하면서도 책임있는 조치를 취해야 한다고 조언했다. 예를 들어 유능한 개인정보 보호 변호사의 조언을 받고, 어떤 데이터가 탈취됐는지 조사하고, 이런 조사 및 상담에 따라 필요한 조치를 실행하는 식이다. 

레빌의 언노운은 다른 기법도 도입하는 것을 검토 중이라고 말했다. 예를 들어, DDoS(Distributed Denial of Service)을 개시해 협상을 지연하는 기업을 압박하는 것 등이다. 

 
레빌이 작동하는 방식 

레빌은 인간이 조정하는 랜섬웨어 프로그램 가운데 하나이고, 류크(Ryuk), 웨이스티드로커(WastedLocker) 등과 비슷하다. 공격자는 침입이 성공하면 다양한 도구와 기법을 이용해 네트워크를 매핑하고 횡적 이동을 수행하고 도메인 관리자 권한을 획득해 랜섬웨어를 모든 컴퓨터에 전개해 영향을 최대화한다.
 
레빌은 여러 ‘협력자’에 의해 유포되기 때문에, 최초 접근 경로는 다양하다. 다시 말해 악성코드가 첨부된 피싱 이메일, 훼손된 RDP(Remote Desktop Protocol) 인증서, 여러 공중 대면 서비스 내의 취약점 악용 등이다. 실례를 들자면, 2019년 레빌 공격자들은 오라클 웹로직(Oracle Weblogic)의 알려진 취약점(CVE-2019-2725)을 악용해 시스템에 접근했다. 

코브웨어 보고서에 따르면, 현재 레빌은 주로 해킹당한 RDP 세션(65%), 피싱(16%), 소프트웨어 취약점(8%)을 통해 유포된다. ‘언노운’은 또한 인터뷰에서 RDP를 해킹하기 위해 무차별 대입 공격을 이용하는 레빌 ‘협력자’가 많다고 말했다. 

레빌은 RSA 대신 엘립틱 커브 알고리즘인 디피-헬먼(Diffie-Hellman) 키 교환, AES 대신 살사20(Salsa 20)을 이용해 파일을 암호화한다는 점에서 다른 랜섬웨어 프로그램과 차별화된다. 이들 암호화 알고리즘은 짧은 키를 이용하고 매우 효율적이고 정확히 구현되면 깨뜨릴 수 없다. 

레빌 랜섬웨어는 감염된 머신의 프로세스를 중지시킨다. 예를 들어 이메일 클라이언트, SQL 및 여타 데이터베이스 서버, 마이크로소프트 오피스 프로그램, 브라우저, 중요 파일을 잠근다. 이 후 윈도우 섀도우 파일 사본과 여타 백업을 제거해 파일 복구를 막는다.


레빌을 방어하는 방법 

기업은 언제나 강력한 인증서와 이중 인증으로 원격 접속을 보완해야 하고, 이를 VPN으로 제한하는 것을 고려해야 한다. 공공에 노출된 서버, 애플리케이션, 기기는 계속해서 업데이트돼야 하고, 정기 검사를 통해 취약점, 구성 오류, 의심스러운 거동을 확인해야 한다. 가급적이면, 허위 인증서에 의한 과도한 로그인 시도를 차단하는 무차별 대입 공격 보호 역시 이행해야 한다. 로컬 네트워크 내에서는 다음과 같은 조치를 취하도록 한다.
 
  • 횡적 이동에 사용될 수 있는 불필요한 엔드포인트 간 SMB(Server Message Block) 및 RPC(Remote Procedure Call) 통신 차단
  • 의심스러운 거동에 대응하기 위해 특권 계정을 모니터링
  • 엔드포인트 공격 표면 축소를 위한 폴더 및 프로세스에 관한 엄격한 접근 제어 규칙
  • 안전 네트워크 공유 
  • 피싱 시도를 파악하는 방법에 대한 직원 교육 
  • 외부에 백업을 저장하고 백업으로부터 복귀가 적시에 이뤄지는 것을 시험하는 데이터 백업 프로세스 배치 
  • 공격이 탐지되면 즉시 조치를 취할 수 있도록 명확한 사건 대응 계획을 세우고, 여기에 관여하는 사람과 이들의 책임을 명시

NIST는 랜섬웨어를 검출하고 대응하는 가이드 초안을 출간했다. 코브웨어 연구진은 “의료 등의 특정 산업은 기밀 데이터 때문에, 그리고 시스템 중단에 상대적으로 취약해 다른 산업보다 표적이 되기 쉽다”면서, “지금까지 관찰한 바에 따르면 특정 산업 내에 보편화된 악용하기 쉬운 취약점의 존재가 산업 편중이 일어나는 이유이다”라고 밝혔다. 

코브웨어 연구진은 법률 또는 회계사무소 등 전문 서비스가 특히 취약하다고 지적했다. 420만 곳에 이르는 미국의 전문서비스 업체는 미국 기업의 14%를 차지하지만, 공격은 25%에 이른다. 

코브웨어는 “이들 업계는 랜섬웨어 위협을 덜 심각하게 받아들이는 경향이 있다. 이들은 흔히 RDP 같은 취약점을 인터넷에 열어두고 있어 다른 산업의 기업보다 훨씬 더 자주 피해를 입는다. 전문 서비스 기업은 규모가 작다고 해서 표적이 되지 않는 것이 아님을 이해하는 것이 매우 중요하다. 사이버 범죄의 세계는 그런 식으로 돌아가지 않는다. 인터넷에 쉬운 취약점을 노출하면 공격받는다. 이는 시간 문제일 뿐이다”라고 경고했다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.