네트워크에 대한 액세스 권한을 랜섬웨어 조직에 판매
도메인 및 ID 스푸핑으로 합법적 조직의 직원으로 가장
합법적인 파일 공유 서비스를 통해 악성코드 다운로드
러시아의 랜섬웨어 조직인 콘티(Conti)와 관련성 확인
랜섬웨어 복구 도구를 개발·배포해 공격자 무력화 노력
구글이 기업의 네트워크의 취약점을 악용하고 인공지능(AI) 기술을 이용해 네트워크에 침입한 다음 해당 네트워크에 대한 액세스 권한을 랜섬웨어 조직에 판매하는 해커 그룹을 발견했다. 또한 이 그룹이 러시아의 랜섬웨어 조직인 콘티(Conti)와 관련되어 있음을 확인했다.
구글이 17일 발표한 연구결과에 따르면 ‘엑소틱 릴리(Exotic Lily)’라고 부르는 이 그룹은 초기 액세스 브로커(Initial Access Broker)로 알려져 있다. 이 그룹은 기업의 컴퓨터 네트워크를 뚫고 액세스 권한을 탈취한 다음 컴퓨터를 잠그고 몸값을 요구하는 멀웨어를 배포하는 사이버 범죄 조직에 액세스 권한을 제공하는 것을 전문으로 한다.
콘티와 같은 랜섬웨어 조직은 피해자의 네트워크에 대한 초기 액세스 권한을 구매함으로써 공격의 실행 단계에 집중할 수 있다.
엑소틱 릴리는 도메인 및 ID 스푸핑(spoofing)을 사용해 합법적인 조직의 직원으로 가장하는 이메일을 통해 이러한 초기 액세스 권한을 획득한다. 대부분의 경우 스푸핑된 도메인은 기존 조직의 실제 도메인 이름과 거의 동일하지만 최상위 도메인을 ‘.us’, ‘.co’ 또는 ‘.biz’로 변경했다. 공격자는 오픈 소스 인텔리전스를 통해 대상의 이메일 주소를 알아내거나 웹사이트의 문의 양식을 이용해 가짜 비즈니스 제안을 보낸다. 합법적인 직원으로 보이기 위해 가짜 소셜 미디어 계정을 만들고 AI를 이용해 가짜 프로필 사진까지 만든다. 피해자가 경계를 늦추면 공격자는 OneDrive와 같은 파일 공유 서비스에 다운로드 링크를 공유하여 악성코드를 다운로드하게 한다.
이 관계의 성격은 아직 명확하지 않지만 구글에 따르면 엑소틱 릴리는 별도의 독립체로 운영되는 것으로 보이며 이메일 캠페인을 통해 초기 액세스 권한을 획득하고 나면 콘티나 디아볼(Diavol)은 랜섬웨어 배포를 포함한 후속 활동에 중점을 둔 것으로 보인다.
2021년 9월에 처음 발견돼 현재까지 활동 중인 엑소틱 릴리는 활동이 최고조에 달했을 때 최대 650개 조직에 하루에 5,000개 이상의 피싱 이메일을 발송했다고 구글이 밝혔다. 이 그룹은 처음에는 IT, 사이버 보안 및 의료와 같은 특정 산업을 대상으로 하는 것처럼 보였지만 최근에는 다양한 조직과 산업을 공격하기 시작했다.
랜섬웨어, 몸값 안내도 복구 가능한 경우 있다
지디넷(ZDNet)에 따르면 금전 갈취를 목적으로 사용자 시스템을 잠그거나 데이터를 암호화하는 랜섬웨어 공격으로 인한 피해가 커지면서 국제사회에서는 랜섬웨어 복구 도구를 개발·배포해 공격자를 무력화하려는 노력이 계속되고 있다. 각국 법집행기관과 IT 보안 업체들이 힘을 합쳐 운영하고 있는 '노모어랜섬' 프로젝트가 대표적이다. 이미 노모어랜섬 홈페이지를 통해 150개 이상의 랜섬웨어 복구 도구가 배포 중이다.
모든 랜섬웨어가 복구될 수 있는 것은 아니지만 해커가 남긴 허점을 잘 이용하면 몸값을 지불하지 않고도 복호화키를 찾거나 데이터를 복구할 수 있다.
한국인터넷진흥원(KISA)에 따르면 크게 3가지 경우에 랜섬웨어 복구 가능성이 높다.
먼저 해커가 취약한 암호키를 사용하는 경우다. 매그니베르 랜섬웨어가 이 경우에 해당한다. 암호키를 생성할 때는 시드값을 사용하거나 난수 발생기를 이용해서 무작위의 값을 사용해야 하는데 공격자가 미숙한 경우에는 추측이 가능한 시드 값을 쓰거나 고정된 데이터로 이루어진 암호키를 사용하는 경우가 있다. 이 경우에 디버깅해 고정된 값을 추출하고 랜섬웨어 복구 도구를 만들 수 있다.
해커가 암호키 관리에 미흡한 경우에도 복구 가능성이 커진다. 랜섬웨어 실행파일 내부에 실제 데이터 암호화에 사용한 암호키를 보관하고 있거나 이 암호키 정보를 따로 별도의 파일로 저장하고 있는 경우에 그 파일을 추출해서 랜섬웨어를 복구할 수 있다.
또 암호키를 만들었을 때 사용했던 정보나 암호키 자체에 대한 정보가 메모리 내에 남아있는 경우도 있다. 암호화키와 상관 없이 컴퓨터를 이전 상태로 되돌리는 방법이 통할 때도 있다. 보통 랜섬웨어들은 이 기능을 사용하지 못하게 명령어를 써서 삭제해버리는데 이 기능이 그대로 남아있는 경우가 있다.
한국침해사고대응팀협의회 조사에 따르면 국내 682개 기업을 대상으로 진행한 설문에서 40%가 랜섬웨어 피해를 경험한 것으로 나타났다. 이 중 7%는 실제 몸값으로 복구비를 지불했다.
AI타임스 박찬 위원 cpark@aitimes.com
Copyright © '인공지능 전문미디어' AI타임스 (http://www.aitimes.com/)
무단전재 및 재배포 금지
구글, 랜섬웨어 해커 잡아 냈다 - AI타임스
구글이 기업의 네트워크의 취약점을 악용하고 인공지능(AI) 기술을 이용해 네트워크에 침입한 다음 해당 네트워크에 대한 액세스 권한을 랜섬웨어 조직에 판매하는 해커 그룹을 발견했다. 또한
www.aitimes.com
'포커스' 카테고리의 다른 글
| 제이홉·수지 잇는 '광주의 스타' 될까…가상인간 '엘비'의 탄생비화 (0) | 2022.03.29 |
|---|---|
| 의약품 개발 AI, 독성 물질 개발 AI로 변신 (0) | 2022.03.23 |
| "별로 관심 없어"...메타버스·NFT 관심 하락세 (0) | 2022.03.10 |
| 러시아-우크라이나, 총성 없는 ‘사이버 전쟁’ 돌입 (2) | 2022.03.04 |
| 구글맵, 러시아의 우크라이나 침공 미리 알았다 (0) | 2022.03.03 |