'공격자'에 해당되는 글 47건

  1. 2019.06.25 최근 랜섬웨어 공격자들 사이에서 떠오르는 관심사, MSP
posted by 알짜 정보 岳岩 2019.06.25 07:25

많은 기업 고객 두고 있는 MSP 업체들, 최근 랜섬웨어에 걸려
파급력 커서 범인들로서는 돈 받을 확률 높아…높은 금액이 걸려 있기도 해

[보안뉴스 문가용 기자] 최근에만 벌써 두 개의 관리 서비스 제공업체(MSP)가 랜섬웨어에 당했다. 아직 이번 사건에 대한 상세한 정보나, 피해 업체들의 이름은 공개되지 않고 있지만, 공격자들은 MSP 업체의 원격 관리 툴 두 개에 불법적으로 접근하는 데 성공한 것으로 보인다. 하나는 웹루트(Webroot)가 만든 것이고, 다른 하나는 카세야(Kaseya)가 개발한 것으로 보인다.

[이미지 = iclickart]


해외 대형 커뮤니티인 레딧(Reddit)에 달린 한 보안 전문가의 댓글에 따르면 이번 공격에 당한 MSP는 이름이 제법 알려진 큰 업체이며, 많은 고객들이 이번 사건의 영향을 받았다고 한다. 하지만 아직 이 전문가의 신원이 제대로 밝혀진 바는 없다. 
MSP에 보안 서비스를 제공하는 업체인 헌트레스 랩스(Huntress Labs)의 보안 연구원이라고 밝힌 또 다른 인물은 레딧을 통해 “공격자들이 웹루트에서 만든 원격 관리 콘솔로 공격한 것이 확인됐다”고 댓글을 달았다. 이 사람은 “해당 콘솔을 통해 보통 관리자들이 장비를 원격에서 관리하는데, 공격자들이 이 콘솔로 파워셸 기반의 페이로드를 실행시켰고, 이 파워셸 페이로드가 랜섬웨어를 다운로드 했다”는 설명도 덧붙였다. 
헌트레스 랩스의 이 전문가는 “데이터를 암호화 시키고, 섀도 복사본도 전부 삭제하는 기능을 가진 랜섬웨어, 소디노키비(Sodinokibi)가 사용됐을 가능성이 가장 높다”고 주장했다. 
헌트레스 랩스의 CEO인 카일 한슬로반(Kyle Hanslovan)은 “이번 MSP 랜섬웨어 사건으로 인해 영향을 받은 고객(MSP 회사의 고객, 즉 헌트레스 랩스의 고객의 고객)이 연락을 해왔다”며 “웹루트 관리 콘솔의 로그를 넘겨주며 분석을 의뢰했다”고 밝혔다. “아직까지 공격자가 어떤 방식으로 웹루트 콘솔에 접근했는지는 알지 못합니다.”
하지만 해당 로그를 분석했을 때 다른 정보를 알아낼 수는 있었다. “타임스탬프를 보면, 공격자가 웹루트의 콘솔을 통해 악성 페이로드를 빠르게 다운로드 받고, 이를 콘솔과 연결된 모든 장비에 빠르게 심었다는 걸 알 수 있습니다. 속도를 보면 자동화 기술이 사용된 것이 거의 확실합니다. 저희에게 분석을 의뢰한 기업의 경우 총 67대의 컴퓨터가 랜섬웨어에 걸렸다고 합니다만, 피해의 전체적인 규모는 파악 중에 있습니다.”
헌트레스 랩스는 이 사건이 있은 후 웹루트 측이 고객들에게 보낸 이메일의 복사본을 게시했다. 원격 관리 포털의 경우 이중인증이 반드시 적용되게끔 체제를 변환한다는 내용이었다. 또한 웹루트는 “보다 일관적이고 괜찮은 사이버 위생 습관을 가졌다면 걸리지 않았을” 이 랜섬웨어가 웹루트의 고객 “소수에 영향을 미쳤을 뿐”이라고도 설명한 것으로 나타났다. 
우회적으로 고객을 비판한 것인데, 동시에 “피해 복구를 서두르기 위해 고객들 및 필요한 외부 인력에 협조를 요청한 상태”라고 안심시키려는 말을 덧붙이기도 했다. 공지가 나가고 얼마 지나지 않아 웹루트는 자동화 콘솔 로그오프를 일괄적으로 실시했다. 약속했던 이중인증 로그인 방식을 콘솔에 적용하기 위해서였다.
MSP를 대상으로 보안과 컨설팅 서비스를 제공하는 또 다른 업체 UBX 클라우드(UBX Cloud)의 보안 전문가 한 사람도 레딧을 통해 “랜섬웨어 공격자들이 카세야에서 만든 원격 모니터링 및 관리 툴을 사용해 랜섬웨어를 퍼트리고 있다”는 내용의 게시글을 올리기도 했다. 
“카세야 툴의 자동화 기능을 사용해 공격자들이 표적 시스템에 배치 파일을 심었고, 파워셸 등의 방법을 사용해 그 배치 파일을 실행시킨 것으로 보입니다. 이 사건의 경우도 피해자 측의 이중인증 사용 흔적을 발견할 수 없었습니다.”
카세야의 CTO인 존 듀란트(John Durant)도 곧 이 사건이 실제로 발생했다는 걸 인정했다. “랜섬웨어 공격자들이 카세야의 제품을 통해 일부 고객들의 디지털 자원에 피해를 입혔습니다. 공격자들은 이미 과거에 침해했던 크리덴셜을 사용해 접근한 것으로 보입니다.”
지난 2월에도 한 MSP가 랜섬웨어의 공격을 받았던 적이 있다. 이 MSP의 고객들이 사용하고 있던 컴퓨터 1500~2000여 대가 갠드크랩(GandCrab)에 걸려 마비됐다. 이 사건을 일으킨 공격자들도 카세야에서 만든 원격 모니터링 및 관리 툴을 활용해 갠드크랩을 퍼트린 것으로 밝혀졌다. 즉 이번 사건과 많은 면에서 흡사한 것이다. 
듀란트는 “최근 랜섬웨어 공격자들이 MSP 업체들에 관심을 갖기 시작했다”고 경고했다. MSP 한 군데만 노리면 여러 회사에 영향을 줄 수 있고, 따라서 범인이 요구하는 돈을 낼 확률이 높기 때문이라고 그는 설명한다. “그렇다보니 요구할 수 있는 금액도 높은 게 보통이고요. 랜섬웨어가 산업화 됨에 따라 공격 방식과 표적 설정 등이 더 합리적이고 체계적으로 변하고 있습니다.” 보안뉴스

3줄 요약
1. 최근 랜섬웨어 공격자들, MSP 업체 노린다. 
2. MSP가 사용하는 ‘원격 관리 툴’을 통해 침투해 들어가고, 랜섬웨어 퍼트리는 경우 많음.
3. MSP와 원격 관리 툴 제조사들은 이중인증 등의 보다 강력한 보안 방안 도입해야 함.