금융보안원, 금융권 랜섬웨어 대응을 위한 ‘Masscan 랜섬웨어 위협 분석’ 발간

공격 TTP 등 제공해 금융권·민간기업에서도 랜섬웨어 예방 및 대응에 활용 가능

공격자의 공격수법을 정교하게 파헤치고, 랜섬웨어 동작을 코드(Code)레벨에서 심층 분석

[보안뉴스 원병철 기자] 지난 7월 17일 새벽 2시 콜택시 관리업체 서버를 공격해 전국 30여개 지자체에서 콜택시 마비 대란을 일으킨 ‘Masscan 랜섬웨어’에 대한 분석 자료가 공개됐다. Masscan 랜섬웨어는 2022년 하반기부터 보안에 취약한 국내 기업의 데이터베이스 서버를 대상으로 공격해왔으며, 특히 국내 금융권과 함께 미국, 체코, 베트남 등에서도 감염정황이 확인되는 등 전 세계로 확대되는 추세다.

​

[이미지=utoimage]

금융보안원(원장 김철웅)은 Masscan(매스스캔) 랜섬웨어 공격과 관련하여 금융권·민간기업의 피해예방을 위해 공격 수법을 심층 분석한 ‘Masscan 랜섬웨어 위협 분석 보고서’를 발간했다. 참고로 랜섬웨어의 이름은 확장자, 랜섬노트(협박문) 등에 나타난 이름 또는 유출 사이트에 표시하는 이름에 따라 부르는데, 이번 Masscan 랜섬웨어는 파일을 암호화하고, 파일 확장자에 ‘masscan’ 문자열을 추가하는 특징 때문에 Masscan 랜섬웨어로 불린다.

랜섬웨어(Ransomware)란 컴퓨터의 정상적인 동작을 방해하거나 파일을 암호화하고 이를 복구하는 대가로 ‘몸값(Ransom)’을 요구하는 악성 프로그램으로, 2017년 워너크라이(WannaCry) 랜섬웨어 이후 다양한 랜섬웨어가 등장했으며, 금전편취를 목적으로 랜섬웨어를 이용하는 해킹조직도 증가하는 추세다. 최근에는 보안에 취약한 데이터베이스 서버에 침투하여 랜섬웨어를 감염시키는 ‘Masscan 랜섬웨어’ 공격이 국내 기업을 대상으로 증가하고 있으며, 금융권 대상 공격시도가 포착되어 각별한 주의가 요망된다.

이번 보고서는 3장으로 구성되어 있으며, 각 장에서 Masscan 랜섬웨어의 사고 사례 분석, 공격에 사용된 도구 및 기능, 랜섬웨어 상세 분석에 대해 다뤘다.

①사고 사례 분석 공격자의 초기 데이터베이스 서버 침투부터 공격 도구 다운로드, 다른 공격 대상 물색, 관리자 계정 획득, 랜섬웨어 감염까지 전 과정을 타임라인으로 분석했다. 이와 함께, 공격자가 랜섬웨어 유포에 사용한 전략, 기술 그리고 절차(TTP, Tactics : 전략, Techniques : 기술, Procedures : 절차)를 도출했다.

​

▲Masscan 랜섬웨어 공격 절차[자료=금융보안원]

②도구 및 기능 분석 공격자가 데이터베이스 서버 침투 후 시스템을 장악하고 관리자 계정을 획득, 랜섬웨어를 실행하기 위해 사용한 12종의 도구 및 기능을 분석했다. 특히 이들은 각종 스캐닝 도구 등을 이용해 네트워크에 보다 깊숙이 침투하는 ‘측면 이동(Lateral Movement)’을 시도했다.

​

▲공격에 사용된 주요 명령어·도구[자료=금융보안원]

③랜섬웨어 상세 분석 랜섬웨어가 시스템 복원을 방해하기 위해 수행하는 기능, 복호화를 어렵게 하기 위해 수행하는 지능적 전략, 랜섬웨어 작동 메커니즘, 파일 유형별 암호화 방식 등을 코드레벨에서 심층 분석했다. 타 랜섬웨어와 달리 바탕화면, 공유 네트워크 폴더 등을 우선으로 암호화하며, DB(데이터베이스) 및 압축관련 파일은 별도의 암호화 알고리즘을 사용하는 것이 특징이다.

​

▲Masscan 랜섬웨어 암호화 과정[자료=금융보안원]

김철웅 금융보안원 원장은 “지속되는 랜섬웨어 위협에 따라 2023년 디지털 금융 및 사이버 보안 이슈로 ‘랜섬웨어, 피싱 앱 등 사이버 위협의 끝없는 진화’를 선정해 금융권 랜섬웨어 공격 동향을 예의주시하고 있다”면서, “기업에 대한 피해가 발생하지 않도록 지속적으로 랜섬웨어를 추적·분석하고, 금융회사뿐만 아니라 필요로 하는 모두와 관련 정보를 공유하겠다”고 밝혔다.

[원병철 기자(boanone@boannews.com)]

[출처 : 보안뉴스(https://www.boannews.com/media/view.asp?idx=112542&page=2&mkind=1&kind=1)]​