랜섬웨어 판에 새로운 녀석이 나타났다. 활동력이 무시무시하다. 게다가 방어 전문가들이 잘 모르는 언어를 구사해 잘 탐지되지도 않는다. 기업들이 속수무책으로 당하는 중이다.
[보안뉴스 문가용 기자] 등장한 지 얼마 되지 않는 한 해킹 단체가 무서운 속도로 피해자를 늘리고 있다. 한 달도 되지 않는 시간에 최소 10개 조직을 침해했다고 한다. 보안 업체 트렐릭스(Trellix)는 이들을 다크파워(Dark Power)라고 부르며, “기존의 랜섬웨어 단체들과 특별히 다른 점은 없지만 님(Nim)이라는 프로그래밍 언어를 사용한다는 점에서 차이를 가지고 있다”고 설명한다.
![[보안뉴스 / 3.27.] 새로 나타난 다크파워 랜섬웨어, 한 달 만에 10개 조직 침해](http://www.boannews.com/media/upFiles2/2023/03/54614364_2031.jpg)
[이미지 = utoimage]
“다크파워를 처음 발견한 건 2월말 경이었습니다. 그 때만 해도 피해자들이 없었고, 다크파워라는 단체 자체도 처음 발견된 것이었습니다. 하지만 한 달이 조금 넘게 지난 지금, 벌써 조직 10개가 당했습니다.” 트렐릭스의 보안 전문가 둘이 푹 팜(Duy Phuc Pham)의 설명이다.
다크파워는 표적을 특별히 정해두고 있는 것으로 보이지 않는다고 한다. “현재까지 다크파워에 당한 국가는 알제리, 체코, 이집트, 프랑스, 이스라엘, 페루, 튀르키예, 미국입니다. 산업별로 집계해도 농업, 교육, 의료, 테크, 제조 등 다양합니다. 아무런 기준도 없고, 마구잡이로 공격을 진행하는 것처럼 보일 정도입니다.”
님을 사용할 때의 장점
다크파워의 가장 특이한 점은 님이라는 프로그래밍 언어를 사용한다는 것이다. “최근 사이버 범죄자들 사이에서 새로운 프로그래밍 언어를 시도해 보는 패턴이 자주 나타나고 있습니다. 새로운 언어로 짜여졌기 때문에 큰 틀에서의 전략이 바뀌지 않더라도 멀웨어가 탐지되지 않습니다.”
님은 고차원적인 프로그래밍 언어로, 효율성이 높고 다양한 것을 구사할 수 있는 것으로 알려져 있다. 푹 팜은 자사 블로그를 통해 “님은 원래 조금 포지셔닝이 애매한 언어였지만 최근 들어 멀웨어 개발자들이 열심히 연구하는 중”이라고 설명한다. “사용하기가 어렵지 않고, 여러 플랫폼을 지원한다는 장점이 매력으로 다가간 것 같습니다.”
장점은 또 있다. 아직 생소한 언어라는 점이다. “님으로 만들어진 멀웨어에 대한 방어 솔루션은 아직 충분히 존재하지 않습니다. 님에 대한 지식도 아직 잘 갖춰지지 않은 상태이죠. 공격자들이 새로운 언어를 익히는 것보다, 방어자들이 새로운 언어를 익히는 것이 훨씬 어렵고 비용이 많이 듭니다. 공격자들은 원하는 걸 골라서 멀웨어를 만들 수 있을 정도까지 학습하면 되지만 방어자들은 공격자들이 어떤 언어를 선택하여 어느 수준에까지 이를 줄 예측할 수 없기 때문입니다.”
다크파워, 또 어떤 특징을 가지고 있나
다크파워는 님 빼고 모든 면에서 전형적인 랜섬웨어 그룹이다. 이들의 공격은 거의 항상 다음과 같이 진행된다.
1) 소셜 엔지니어링 기법으로 피해자에게 접근한다.
2) 어느 순간 피해자가 특정 파일을 다운로드 하도록 유도한다.
3) 피해자의 파일을 암호화 한다.
4) 돈을 달라고 피해자를 협박한다.
5) 협박을 여러 번 이어간다.
당연하지만 ‘이중협박’ 역시 다크파워의 주요한 전략이다. “파일을 암호화 하기 전에 민감한 정보를 수집하여 빼돌리기도 합니다. 그리고 그 정보를 가지고 다시 피해자를 협박하죠. 정말 전형적인 랜섬웨어 단체들이 하는 수법을 고스란히 따라하고 있습니다. 모든 면에서 일반적인 랜섬웨어 단체라고 볼 수밖에 없습니다.”
하지만 돈을 낸다고 데이터가 무사히 돌아올 것이라는 보장은 없다. 랜섬웨어 공격자들은 피해자로부터 돈을 받고도 피해자의 데이터를 다른 경로로 판매하고, 불완전한 복호화 키를 줘서 데이터를 다 살리지 못하게 할 때가 많은데, 이런 점에서도 다크파워가 다른 랜섬웨어 그룹들을 답습하고 있을 가능성을 배제할 수 없다.
푹 팜은 “랜섬웨어 방어의 기본은 백업”임을 강조하며 “긴급 상황에서의 복구 시스템을 갖추는 게 가장 중요하다”고 말한다. “여기에 더해 깔끔하고 신속하며 강력한 사건 대응 계획을 갖추는 것도 필요합니다. 이 정도만 충실히 해 두어도 랜섬웨어 공격에 의한 충격을 어느 정도 완화할 수 있습니다.”
3줄 요약
1. 신규 랜섬웨어 단체 다크파워, 활동력이 너무나 완성.
2. 한 달도 되지 않은 기간에 10개 조직 침해 성공.
3. 님이라는 새로운 프로그래밍 언어 활용하는 점에서 독특.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
![[보안뉴스 / 6.8.] 혼다의 API 보호 실패, 수많은 정보 자유롭게 열람하게 해](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-1-500x383.png)
![[보안뉴스 / 6.8.] 초대형 공급망 공격? 클롭 랜섬웨어, 무브잇 통해 일 저질러](https://cybersecurity.re.kr/wordpress/wp-content/uploads/2023/06/주석-2023-06-09-094640-500x383.png)
![[보안뉴스 / 3.27.] 새로 나타난 다크파워 랜섬웨어, 한 달 만에 10개 조직 침해](https://mlsixs8vyvqc.i.optimole.com/U4pfbHs.KYFx~5c965/w:300/h:66/q:auto/https://cybersecurity.re.kr/wordpress/wp-content/uploads/2021/05/연구회-footer-로고.png "연구회 footer 로고")
