Malware
에레버스(Erebus) 랜섬웨어
2017 07 09
  • Facebook
  • Twitter
  • Copy URL

국내에서 이번 나야나 랜섬웨어 사건으로 먼 얘기인줄 알았던 랜섬웨어의 위험성이 수면 위로 드러났다. 지난 5월에 발생한 워너크라이 랜섬웨어도 윈도우 사용자에게 위협이 되었지만, 한 회사의 존폐가 달린 사건이 발생하니 뭔가 랜섬웨어의 위험성이 더 피부에 와 닿는 것 같다. 아무튼, 5월에 발생한 워너크라이가 지나가고 6월에는 새롭게 나타난 랜섬웨어가 있으니 그것이 바로 에레버스(Erebus) 랜섬웨어다. 이 랜섬웨어는 특정 인터넷 호스팅 업체 인터넷나야나 업체에서 사용하는 리눅스 153대의 서버를 감염시켰고, 서비스를 사용하는 사용자가 정상적인 서비스 사용을 할 수 없게 하였다. 당시 서버에 저장된 파일이 모두 암호화되었고 백업파일 역시 암호화되었으며 공격자는 이를 복구하기 위해 금전적 요구를 하였다.[1]

이미지를 불러오는데 실패했습니다.

랜섬웨어, 악성코드의 한 종류로 바이러스에 감염되면 감염된 시스템에 있는 파일들은 암호화하여 사용자가 사용하지 못하게 하여버린다. 사용자가 이를 사용하기 위해 이를 풀어주는 대가로 공격자는 금전적 요구를 한다. 국내에서는 큰 사건이 발생하면서 인제야 랜섬웨어의 위험성에 관해 이야기를 하지만 원래는 2005년부터 본격적으로 나오기 시작했다.[2] 특히나, 해가 바뀔수록 랜섬웨어의 퀄리티도 좋아져 갈수록 암호도 정교해지고 방법도 변화하고 있다. 예를 들어 에레버스를 이야기해서 말하자면 이전에는 파일을 암호화했다면 이제는 데이터베이스를 암호화한다는 점도 어떻게 보면 다른 점으로 볼 수 있다. 더군다나 맥, 모바일, 리눅스 등 기존의 랜섬웨어에서 변종이 나오고 있고 최근에는 인프라 시설까지 랜섬웨어 위협에 노출되고 있다. 랜섬웨어도 갈수록 늘어나 종류도 다양하고 해마다 늘어나는 양도 몇 배 이상이나 된다.[3]

이미지를 불러오는데 실패했습니다.

왜 이렇게까지 랜섬웨어가 뜨고 있는 것일까. 크게 봤을 때 두 가지다. 첫 번째는 전자화폐의 도입으로 개인정보 노출 또는 자금 추적이 불가하다는 특징을 지닌 전자화폐가 생겨난 것이다.[4] 더불어 두 번째 이유는 데이터의 가치가 커졌다는 점이다. 이 때문에 랜섬웨어는 주목받고 있고 앞으로도 더 주목받을 수밖에 없고, 미리 사전에 대비해놔야 할 부분이라는 것이다.

에레버스 랜섬웨어는 본래 윈도우에서 존재했던 랜섬웨어의 한 종류로 이번 나야나 사건에서 발생한 랜섬웨어는 기존에 있던 윈도우 랜섬웨어가 변종되어 리눅스 서버에서 발생한 경우다. 에레버스 랜섬웨어는 RSA 알고리즘을 사용하였고, AES 키를 암호화하여 감염된 파일을 고유한 AES키로 암호화했다.[5] 더불어, 블루투스 서비스를 실행하여 시스템 또는 서버가 재부팅된 후에도 랜섬웨어가 계속 실행되도록 하고, 명령어나 쉘스크립트를 통해 작업을 스케줄링하는 Unix 계열의 운영체제 유틸리티 UNIX cron을 사용하여 랜섬웨어가 제대로 작동하고 있는지 매시간 확인했다.[6] 이 랜섬웨어가 시스템에서 암호화한 파일은 Office 문서, 데이터베이스 파일, 아카이브, 이메일 파일, 웹사이트 관련 및 개발자 프로젝트 파일, 멀티미디어 파일을 암호화했다.  

한 IT 업계 전문가는 이번 사건의 원인을 윈도우 파일공유 시스템인 삼바(Samba) 방식을 택했기 때문이라고 지적했다. 윈도우 파일공유 시스템인 삼바(Samba)는 컴퓨터 간 파일을 공유할 수 있도록 하는 네트워크 프로토콜을 리눅스로 구현한 오픈 소스 소프트웨어다. 삼바를 사용하면 내부 네트워크를 통해 파일이나 데이터를 공유할 수 있으며 사용이나 접근이 쉬워 윈도우와 리눅스가 혼용되는 웹호스팅 환경에서 빈번하게 사용된다. 에레버스 랜섬웨어는 이 삼바의 취약점을 이용하여 네트워크 시스템에 접근해 데이터를 조작하고 백업 데이터 역시 무기력하게 만든 것으로 보인다.[7]

에레버스 랜섬웨어의 특징은 크게 두 가지로 볼 수 있다. 첫 번째로 본래 랜섬웨어는 윈도우 기반이 대다수였지만 이번은 리눅스 서버만 피해 입었다는 점이다. 이는 앞으로 맥 OS, 리눅스 등 상대적으로 취약한 서비스와 연결된 여러 운영체제에 피해가 갈 수 있다는 것을 의미한다. 또한, 두 번째로는 전형적으로 타겟팅 된 랜섬웨어라는 것이다. 예를 들어, 리눅스 기반 서버를 운영하는 호스팅 업체를 대상으로 잡았다는 점에서 하나의 목표를 두고 계획하에 공격이 감행되었다는 점이다.[8]

그렇다면 5월에 발생한 워너크라이와 에레버스는 무슨 차이가 있는 것일까. 먼저 워너크라이 같은 경우는 초기 유럽을 중심으로 유포되면서 국내에서는 워너크라이 감염에 대비할 수 있는 시간을 벌었었다. 하지만 에레버스는 해외에서 발생했다는 사례도 없고 사실상 국내 기업을 대상으로 한 랜섬웨어라는 주장이 있어 취약점도 제때 파악하지 못해 대비도 못 하고 피해가 더 컸던 것이다.[9][10]

두 번째로 에레버스 랜섬웨어는 리눅스를 대상으로 한 랜섬웨어라는 점이다. 워너크라이는 대부분의 랜섬웨어처럼 윈도우 운영체제 기반에서 실행되는 랜섬웨어로, 리눅스나 다른 운영체제에서는 문제가 되지 않았다. 하지만 에레버스 같은 경우 절대다수의 사용자를 보유하고 있는 윈도우가 아닌 리눅스 운영체제를 목표로 했다는 점이다. 이와 같은 경우, 대다수의 사용자를 대상으로 한 것이 아니라 이는 특정 목표를 대상으로 공격이 감행되었다는 점에서도 워너크라이와 다른 점이기도 하다.[11][12]

세 번째로 피해금액이다. 워너크라이 같은 경우 개인을 대상으로 한 랜섬웨어로 컴퓨터 한 대의 복구 비용을 약 34만 원을 요구했다. 이를 통해 공격자가 워너크라이로 벌어들인 금액은 대충 약 1억 6천만 원에 이른다. 특히나 이런 때에는 개인 사용자의 피해사례가 더 크기 때문에 이럴 때는 돈을 내기보다는 데이터를 포기하는 경우가 더 많아 소문과 달리 어떻게 보면 피해금액이 좀 약한 셈이다. 하지만 에레버스 같은 경우는 철저하게 특정 기업을 목표로 만들어진 랜섬웨어로 최초 복구 협상 비용으로 50억 원을 요구했으며 나야나의 협상으로 13억에 마무리 지었다. 더군다나 워너크라이 같은 경우 감염된 시스템이 약 50만대라면 에레버스 같은 경우 감염된 시스템은 고작 153대에 불과했다.[13][14]

마지막으로 워너크라이와 에레버스 랜섬웨어가 대중에게 다가온 인식이다. 워너크라이 같은 경우, 국내에서는 실제 피해 사례보다 사전에 다른 국가에서 발생한 사례를 통해 보안의식 제고에 순기능적인 측면을 부여했었다는 점에서 오히려 좋은 효과를 보였다는 점도 있다. 하지만 에레버스 같은 경우 랜섬웨어를 통해 한 회사, 한 기업이 거의 망할 뻔했다는 위협감, 공포감을 주어 랜섬웨어의 위험성을 널리 퍼지게 해준 경우가 될 수도 있다.[15]

에레버스 랜섬웨어에 대해서 조금 더 자세히 설명하면 해당 랜섬웨어는 리눅스용 ELF파일로 랜섬웨어 내부에는 ‘EREBUS IS BEST’라고 쓰여 있어 에레버스라는 명칭이 붙었다. 에레버스 랜섬웨어가 시스템에 들어오면 자신의 악성코드 행위를 기록하기 위해 log_init 함수를 실행한다. 이어서, 자식 프로세스를 분기하고, 메인 프로세스가 암호화를 실행하는지 확인하는 역할을 한다. 이후 랜섬웨어는 사용자의 정보를 json형태로 탈취한 뒤 base 64형태로 인코딩한다. 탈취한 정보를 전송하기 위해 토르 네트워크를 사용하여 파일에 존재하는 C&C 주소 216.126.224.128/24를 기반으로 데이터를 전송한다. C&C 주소가 만들어지면 디렉터리를 검색하여 암호화할 수 있는 파일을 찾아 모든 파일을 암호화한다. 암호화된 파일은 파일명 뒤에 ‘.ecrypt’라고 붙으며 파일 암호화가 완료 되면 금전을 요구하는 랜섬노트를 생성한다. 이때, 꼭 공격자가 C&C 주소를 통해 접속하지 않더라도 시스템에 있는 파일을 암호화하는 기능은 실행한다.[16]

정말 요즘 같은 험난한 세상에서 이와 같은 사건은 우리에게 여러 과제를 남겨준다. 먼저 첫 째로 우리의 소중한 데이터를 어떻게 지켜나갈지에 대해 고민해봐야 한다는 점이다. 특히, 이번 나야나 사건으로 비즈니스에서 발생하는 랜섬웨어를 어떻게 처리하고 대처해야 하는 지에 대해 대처해야 할 위기대응 매뉴얼이 필요하다는 점이다. 둘째로, 앞으로 발생할 랜섬웨어에 대비해서 공격자와의 협상에 그나마 나은 선택을 할 수 있는 협상력이 필요하다는 점이다. 앞으로 랜섬웨어는 계속해서 늘어날 것이며 이에 대해 방어가 제대로 구현되기 힘들다면 최소한 공격자와의 협상에서라도 피해 규모를 줄일 수 있어야 한다는 것이다. 마지막으로 본격적으로 늘어가고 있는 사이버 보안 위협이 보안 시장이 어떻게 다가오고 이를 어떻게 해결해나가야 할지 생각해봐야 한다는 점이다. 앞으로 나야나처럼 한 기업을 대상으로 하는 랜섬웨어도 더욱 많아질 것이다.[17] 이런 계획된 공격에 어떻게 대비하고 위험을 어떻게 감수해나가야 하는지 분명히 체계화가 필요할 것이다.

유성경 yuopboy@grayhash.com