카스퍼스키랩은 사용자 개입 없이도 PC를 감염시킬 수 있도록 제작돼 한국을 포함한 아시아 지역 국가를 집중 공격한 신종 암호화 랜섬웨어 '소딘(Sodin)'을 발견했다고 19일 밝혔다.
소딘 랜섬웨어 공격은 아시아 지역에 집중됐다. 공격 사례 중 대만에서 17.6%, 홍콩에서 9.8%, 한국에서 8.8%가 발생했다. 이밖에 유럽, 북미, 남미 지역에서도 소딘이 발견됐다. 랜섬웨어에 감염된 PC는 2천500달러 상당의 비트코인을 요구하는 메시지를 표시했다.
카스퍼스키랩 연구진에 따르면 소딘은 최근 발견된 윈도 제로데이 취약점(CVE-2018-8453)을 악용해 감염 시스템 관리자권한을 확보하고 보안솔루션 감시를 피하기 위해 CPU 아키텍처를 활용한다. 사용자가 개입하지 않았는데도 공격자가 취약한 서버에 소딘을 주입한 사례도 발견됐다.
연구진은 대부분의 보안솔루션이 널리 알려진 랜섬웨어나 공격수법을 탐지할 수 있지만 소딘처럼 최근 발견된 제로데이 취약점을 악용해 관리자권한을 획득하는 경우 얼마간 감시를 피할 수 있다고 지적했다.
랜섬웨어는 데이터나 기기를 암호화해 잠그고 사용자에게 되돌려주는 대가로 금전을 요구하는 사이버위협으로, 과거부터 존재했던 악성코드 유형이다. 하지만 소딘의 특성과 동작은 일반적인 랜섬웨어 악성코드와 다른 양상을 띠었다.
소딘은 악성코드 제작자로부터 랜섬웨어를 공급받아 유포한 뒤 그 범죄 수익을 나눠 갖는 서비스형랜섬웨어(RaaS)의 일종으로 분석됐다. 소딘 랜섬웨어 감염 피해자는 유포자에게 대가를 지불해 파일을 복구해야 하지만, 악성코드에는 유포자 키 없이 복호화가 가능한 '마스터키' 기능이 있다. 제작자는 이 기능으로 피해자 데이터 복구를 제어하거나 일부 유포자의 악성코드를 쓸모 없게 만들어 랜섬웨어 유포를 조작하는 데 사용했을 것으로 보인다.
소딘은 이메일 첨부파일 열기나 악성 링크 클릭 등 사용자 개입을 필요로 하지 않고도 컴퓨터를 감염시킬 수 있었다는 점에서도 여타 랜섬웨어와 달랐다. 공격자는 소딘을 사용하면 취약한 서버를 찾아 'radm.exe.'라는 이름의 악성파일을 내려받도록 명령을 전송할 수 있었다. 이 경우 랜섬웨어가 로컬에 저장돼 실행된다.
관련기사
- 이력서 사칭 이메일로 랜섬웨어 '소디노키비' 유포 중2019.08.19
- 2명 중 1명 "랜섬웨어 뭔지 잘 모른다"2019.08.19
- '전자 항공권' 사칭 해킹 이메일 주의 경보2019.08.19
- "올해 악성메일 공격 건수, 전년比 두 배"2019.08.19
소딘은 32비트 운영체제에서 64비트 코드를 실행할 수 있는 '천국의 문(Heaven’s Gate)' 기법도 사용했다. 카스퍼스키랩 연구진은 소딘이 두 가지 이유로 천국의 문 기법을 썼을 것이라 추측했다. 첫째, 일부 디버거가 이 기법을 지원하지 않아 인식할 수 없기 때문에 코드 분석이 어렵다는 점, 둘째, 코드의 의심스러운 동작을 탐지할 때 실제와 유사한 가상환경에서 실행하는 '에뮬레이션 기반' 탐지 기술을 회피할 수 있다는 점을 꼽았다.
이창훈 카스퍼스키랩코리아 대표는 "CPU 아키텍처를 이용해 감시망을 피하는 것은 암호화 악성코드에서 흔히 볼 수 없는 모습"이라며 "이러한 악성코드를 제작하는 데에는 상당한 리소스가 투입되므로 앞으로 소딘 랜섬웨어가 사용한 수법을 활용한 공격이 늘어날 것이고 이 악성코드 개발에 참여한 범죄자들은 꽤 높은 수익을 기대하고 있을 것"이라고 말했다.
