작년 라그나로크와 메이즈 랜섬웨어 그룹은 가상기계를 심고나서 랜섬웨어 공격을 감행하는 전략을 사용해 보안 업계를 놀래켰다. 그리고 비슷한 전략을 사용하는 세 번째 그룹이 나타났다. 다만 공격에 허술한 부분이 있고, 이 전략이 대유행을 선도할 것으로 보이진 않는다.

[보안뉴스 문가용 기자] 가상기계를 활용하는 새로운 랜섬웨어가 발견됐다. 가상기계를 활용함으로써 보안 솔루션들을 피하고, 이를 통해 피해자의 시스템을 감염시키는 데 성공한다. 이 전략은 보안 솔루션들을 회피하는 데 매우 유용하지만 반대로 실행하기가 어렵다는 단점을 가지고 있다. 현재까지 가상기계를 활용한 랜섬웨어 공격 시도가 다 합해봐야 한 손에 꼽히는 수준인 것이 이 단점 때문이다.

​

[이미지 = Pixabay]

가상기계가 랜섬웨어 공격에 활용된 사례가 최초로 발견된 건 작년의 일이다. 보안 업체 소포스(Sophos)의 연구원들이 라그나로커(Ragnar Locker)라는 랜섬웨어를 적발한 것이었다. 공격자들은 피해자의 장비에 가상기계를 먼저 설치하고, 이 가상기계로부터 랜섬웨어 페이로드를 발동시키고 있었다. 그러더니 몇 달 후 메이즈(Maze)라는 랜섬웨어 그룹도 같은 기법을 활용하기 시작했다.

그리고 최근 보안 업체 시만텍(Symantec)의 연구원들이 세 번째로 가상기계를 활용하는 랜섬웨어를 발견했다고 발표했다. 공격자들은 버추얼박스(VirtualBox) 가상기계를 피해자의 시스템에 먼저 설치하고 랜섬웨어 페이로드를 실행시켰다. 페이로드가 아직 정확히 분류되지는 않았는데 콘티(Conti)의 일종일 가능성이 가장 높아 보인다고 한다.

재미있는 건 가상기계 내부가 아니라 외부에서 마운트로커(Mount Locker) 랜섬웨어가 발견되고 있다는 것이다. 즉 가상기계를 설치해서 콘티를 실행시키고, 동시에 가상기계와 별개로 마운트로커를 또 실행시켰다는 뜻. 가상기계를 활용하는 목적이 보안 장치들을 피하기 위해서인데, 왜 굳이 마운트로커를 활용한다는, 앞뒤가 안 맞는 전략을 구사한 것일까? 시만텍은 “가상기계를 활용한 공격이 복잡해 실패할 가능성이 있기 때문에 공격자들이 대비책을 마련한 것으로 보인다”고 설명한다.

시만텍의 위협 분석 전문가인 딕 오브라이언(Dick O’Brien)은 “가상기계를 설치하고, 그 안에서 파일 시스템을 분석한 뒤 파일을 암호화하는 건 말처럼 간단한 일이 아니”라고 말한다. “잘 될 확률보다 잘못 될 확률이 더 높은 공격이라고 볼 수 있습니다. 공격의 효율이 떨어지는 것이죠. 가상기계 권한도 알맞아야 하고, 호스트 컴퓨터의 환경에 따라 변수가 생기기도 하죠. 이번에 발견된 공격자들 역시 어려움을 느끼고 안전장치를 마련하는 차원에서 추가 랜섬웨어 공격을 한 것으로 보입니다.”

소포스가 작년 가상기계를 활용한 랜섬웨어를 처음 발견했을 때 보안 업계에서는 “이것이 곧 새로운 트렌드가 될 것이다”라는 예측이 나왔었다. 가상기계라는 것 자체가 정상적이고 합법적인 소프트웨어이며, 따라서 공격자들이 이를 활용하는 게 너무나 타당해 보였기 때문이다. 하지만 아직까지 그 예측은 들어맞지 않고 있다. 이번 발견이 겨우 3번째니까 말이다. 난이도가 너무 높아 공격 효율이 떨어진다는 것이 크게 작용하는 것으로 분석된다.

그러면 공격자들의 수준이 상향평준화 된다면 이 공격 전략이 성행할까? 오브라이언은 회의적으로 보고 있다. “공격자들이 보기에 돈이 될 만한 기업들은 이미 가상기계를 사용하고 있습니다. 이런 상황에서 가상기계를 설치하는 건, 가상기계 안에 또 다른 가상기계를 설치하는 결과를 낳습니다. 이건 공격자들에게 그다지 바람직한 상황도 아니고, 안정적인 전술이라고 볼 수도 없습니다. 가상기계를 사용자 기업들이 사용하지 않는 트렌드가 형성된다면 모를까, 이 공격 기술이 자체적으로 대규모로 유행할 가능성은 낮아 보입니다.”

기업들은 별다른 조치를 취하지 않아도 안전한 것일까? 오브라이언은 기업이 취해야 할 조치들이 몇 가지 있다고 귀띔한다. “이런 공격 방식이 있다는 걸 알아두는 건 필요합니다. 공격자들이 어느 선까지 현 기술을 응용하며, 어느 정도 수준에 이르렀다는 걸 파악하는 건 방어에 언제나 도움이 됩니다. 또한 가상기계 설치 시도가 언제 어느 부분에서 왜 일어나는지 모니터링하는 것도 좋습니다. 특히 가상기계를 지금 사용하고 있지 않은 조직이라면요. 정책적으로 개별 가상기계 설치 및 활용을 금지시키는 것도 좋은 방법입니다.”

3줄 요약

1. 가상기계를 통해 랜섬웨어 공격을 하는 세 번째 사례 발견됨.

2. 버추얼박스를 설치하고, 이 버추얼박스 안에서 파일 암호화를 시작하는 공격임.

3. 가상기계 활용한 랜섬웨어 공격은 굉장히 정교하고 수준 높으나 유행하지는 않을 것.

[국제부 문가용 기자(globoan@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=98567&page=1&mkind=1&kind=1)]​