지난 5월 동유럽과 러시아 지역 기반의 해킹그룹인 다크사이드(DarkSide)가 미국 동부해안 연료 공급의 절반을 담당하는 회사 ‘콜로니얼 파이프라인(Colonial Pipeline)’에 랜섬웨어를 감염시켰다. 이같은 사태를 일으킨 랜섬웨어는 2020년 8월 최초로 발견된 다크사이드 랜섬웨어였다.

그 여파로 미 동남부 지역 휘발유 공급이 일시적으로 중단돼 혼란이 있었다. 미국 정부는 18개 주에 비상사태를 발표했으며, 콜로니얼 파이프라인은 당시 몸값으로 500만 달러 (약 56억4000만원)의 비트코인을 지불했다. 조 바이든 미국 행정부는 해당사태를 심각하게 받아들이고 송유관 해킹사태 재발방지를 위한 ‘사이버 보안강화 명령’을 내렸다.

사회공급망 공격은 일상에 심각한 위협을 초래한다. 콜로니얼 파이프라인 사태와 얼마 전 발생한 글로벌 유가공업체 JBS 사태에서 알 수 있듯이 랜섬웨어 감염으로 인한 생산설비 마비는 제품수급, 물가폭등 문제뿐만 아니라 노동자의 일자리 문제에도 치명적인 영향을 끼치기 때문이다.

데이터보호 전문기업 소만사는 ‘콜로니얼 파이프라인’ 공격에 사용된 다크사이드 랜섬웨어와 동일한 버전의 샘플을 확보, 신중하게 분석해 보고서를 발간했다. 

소만사는 보고서에 다크사이드 랜섬웨어의 동작방식과 대응방안을 분석한 결과를 서술해, 사전에 다크사이드 랜섬웨어 감염을 예방, 차단할 수 있도록 했다.

이에 따르면, 다크사이드 랜섬웨어 행위에는 다섯가지 주요한 특징이 있다.

첫번째, PE컴팩트(Compact)와 VM프로텍트 팩커(Protect Packer)를 통해 이중 패킹을 사용했다. 이를 통해 내부코드를 난독화하는 동시에 실행파일을 압축해 기존 시그니처 탐지 기반의 안티바이러스 솔루션이 신속하게 탐지, 대응할 수 없었다.

두번째, 데이터 암호화를 진행하고 감염 PC 내 주요 데이터를 C&C 서버로 탈취한다. 이를 통해 데이터 유포 협박과 암호화 데이터 복호화를 빌미로 피해자가 이중으로 비용을 지불하도록 유도한다.

세번째, 지역·국가별 상이한 행위를 보인다. 구소련 및 시리아 지역에서는 감염이 이루어지지 않으며, 암호화에 있어, 특정 국가·지역을 대상으로만 암호화 프로세스를 진행한다.


네번째, 데이터 탈취 및 암호화 행위에 방해되는 서비스와 프로세스는 사전에 제거한다. 암호화 작업 수행 시 방해가 되지 않도록 하는 목적이지만, 탐지 회피 효과도 있어 보안솔루션의 위협대응분석이 쉽지 않다.

다섯번째, 난독화된 파워쉘 스크립트를 이용해 보안솔루션 제품의 탐지를 피해 볼륨 쉐도우 복사본을 삭제하여 시스템 복원을 무력화한다. 시스템 복원을 무력화시켜, 피해자가 몸값을 지불할 수밖에 없도록 유도한다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network



이전레터 보기