러시아의 샌드웜 APT가 다시 무시무시한 무기를 들고 나타났다. 와이퍼 멀웨어다. 디스크와 파일들을 삭제해 사실상 피해자가 장비를 새로 구매해야만 하도록 만드는 멀웨어로, 여기에 당하면 피해 복구가 불가능하다.

[보안뉴스 문가용 기자] 러시아 정부의 첩보국인 GRU와 관련이 있다고 여겨지는 APT 단체 샌드웜(Sandworm)이 최근 우크라이나의 주요 단체들을 공격하기 위해 다섯 가지 종류의 와이퍼 멀웨어를 유포했다고 한다. 특히 우크라이나 국영 매체인 우크린폼(Ukrinform)에서 피해가 집중적으로 나타났다고 한다.

[보안뉴스 / 1.31.] 러시아의 샌드웜 APT, 다섯 가지 새 와이퍼 가지고 우크라이나 공격

[이미지 = utoimage]

러시아와 우크라이나 사이에서 전쟁이 터진 이후 데이터 혹은 디스크 파괴형 멀웨어인 와이퍼의 사용 비율이 크게 올라갔다. 그리고 그 트렌드가 지금도 전혀 꺾이지 않고 있음이 이번 샌드웜 관련 조사 결과를 통해 나타났다. 와이퍼 멀웨어에 당하게 되면 복구 불가능한 피해를 입게 되는 것이 보통이고, 따라서 와이퍼를 사용한다는 건 피해를 가장 크게 입히는 것만이 공격자의 목적이라는 뜻이 된다.

샌드웜의 여러 와이퍼들
우크라이나의 침해 대응 센터(CERT-UA)에 의하면 우크린폼을 노린 샌드웜의 사이버 공격은 부분적인 성공을 거두는 데 그쳤다고 한다. 실제 우크린폼은 기존 사업 행위를 이어가는 데 있어 전혀 지장이 없었다. 만약 샌드웜이 유포한 와이퍼들이 제대로 작동했다면 우크린폼 내부 시스템과 장비들이 상당 수 ‘못 쓰는 물건’으로 변했을 것이라고 한다.

우크라이나의 침해 대응 센터는 이번 샌드웜의 공격에 대해 지난 금요일 공개했다. 우크린폼이 센터에 사실을 알리고 수사를 요청한 것은 그 보다 좀 전인 1월 17일이었다. 조사를 진행한 센터는 다음 다섯 개의 와이퍼 멀웨어를 찾아냈다고 한다.
1) 캐디와이퍼(CaddyWiper)
2) 제로와이프(ZeroWipe)
3) 에스딜리트(SDelete)
4) 오풀슈레드(AwfulShred)
5) 비드스와이프(BidSwipe)

1)~3)번까지는 윈도 시스템에서 작동하는 것으로 분석됐고 4)번과 5)번은 리눅스와 프리BSD(FreeBSD) 시스템을 노린 것이었다. 이 중 에스딜리트는 사실 멀웨어가 아니라 합법적인 명령행 유틸리티로, 윈도 파일들을 안전하게 지우는 데 사용된다. 공격자들이 합법적 도구를 악용한 것이라고 볼 수 있다. 이 다섯 가지 공격에 일부 시스템 내 파일들이 손상을 입긴 했다고 우크린폼은 밝혔다.

스위프트슬라이서(SwiftSlicer)
이와는 별개로 보안 업체 이셋(ESET)도 지난 주 샌드웜이 새로운 와이퍼 멀웨어를 사용하기 시작했다고 발표하며, 해당 멀웨어에 스위프트슬라이서라는 이름을 붙였다. 이셋의 설명에 의하면 샌드웜은 이 스위프트슬라이서를 그룹 정책 객체를 통해 유포하고 있었다고 한다. 즉, 샌드웜이 피해자의 네트워크에 이미 침투하고 있었을 뿐만 아니라 액티브 디렉토리(Active Directory) 환경에까지 접근하는 데 성공했다는 뜻이 된다. 우크라이나 침해 대응 센터는 이셋이 설명한 전략이 캐디와이퍼를 유포하는 데에도 활용됐다고 밝혔다.

스위프트슬라이서는 피해자의 시스템에서 섀도우 복사본을 먼저 삭제하고, 시스템과 비시스템 드라이브들을 반복해서 덮어쓰기 한다고 이셋은 설명했다. “그런 후에 컴퓨터를 리부팅합니다. 덮어쓰기가 반복적으로 진행됐기 때문에 그 컴퓨터는 정상적으로 기능하지 않습니다. 삭제 시에는 4096 바이트 단위의 무작위 데이터를 사용합니다.”

샌드웜이 디스크 와이퍼를 꾸준히, 적극적으로 사용한다는 건 와이퍼라는 종류의 멀웨어가 놀라운 파괴력을 지니고 있으며, 그것이 꽤나 잘 통한다는 뜻이다. 효과가 있으니까 쓰는 것이다. 샌드웜은 이전부터 계속해서 여러 가지 멀웨어를 활용해 온 단체다. 샌드웜의 것으로 알려진 주요 파괴형 멀웨어만 하더라도 블랙에너지(BlackEnergy), 그레이에너지(GreyEnergy), 인더스트로이어(Industroyer) 등이 있다.

작년 맥스 커스텐(Max Kersten)이라는 보안 전문가는 “2022년 전반기에만 새롭게 발견된 와이퍼 멀웨어가 20개를 넘는다”고 발표했었다. 이런 멀웨어들은 러시아와 우크라이나의 전쟁이 심화될수록 더 거세게 활동했다. 그 중에는 와이퍼라는 사실이 탐지되지 않도록 랜섬웨어로 위장된 랜섬웨어들도 있었다. 위스퍼게이트(WhisperGate), 헤르메틱와이퍼(HermeticWiper)가 대표적이다.

와이퍼 멀웨어는 대단히 고급스럽거나 고차원적인 기술력으로 집약되어 있지는 않다. 피해자 시스템을 지워내는 ‘파괴 행위’만 하면 되기 때문이다. 분석을 방해하거나 추적을 따돌리거나 공격자의 흔적을 지워낼 필요가 없다. 피해자의 시스템이 ‘사망’하면서 스스로도 그냥 죽으면 그만이다. 한 마디로 컴퓨터 상의 자폭 공격이나 다름이 없다.

3줄 요약
1. 러시아의 샌드웜, 이번에는 다섯 가지 와이퍼 들고 나타남.
2. 우크라이나의 매체 한 곳을 비롯해 여러 조직들에서 공격이 발견됨.
3. 이번에는 피해가 미비했으나 와이퍼에 한 번 잘못 걸리면 복구 불가능한 피해 입음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>