본문 바로가기 주메뉴 바로가기 검색 바로가기
러시아 發 카세야 랜섬웨어 악몽, 거의 다 끝났다
상태바
러시아 發 카세야 랜섬웨어 악몽, 거의 다 끝났다
카세야 랜섬웨어의 암호화 해제 키가 등장했다. 이는 시스템 암호화를 해제하지 못한 피해 기관 모두 조만간 피해 복구를 할 수 있음을 의미한다.
By BRIAN BARRETT, WIRED US

2021년 7월 2일(현지 시각), 업계 인지도가 낮은 IT 소프트웨어 기업 카세야(Kaseya)를 겨냥한 랜섬웨어 공격이 널리 퍼지면서 극도로 대대적인 공격이 됐다. 해커 집단은 이번 공격으로 스웨덴 주요 식료품 체인을 포함한 전 세계 기업 1,500곳의 컴퓨터를 감염시켰다. 2주 뒤, 카세야 랜섬웨어 사태를 저지른 악명높은 해킹 집단이 인터넷에서 사라지면서 피해 기관 상당수가 손상된 시스템 비용을 건네고 복구할 방법이 사라졌다. 그러나 현재 상황이 완전히 해결될 것으로 보인다. 7월 22일(현지 시각), 예상도 하지 못한 상황에서 통합 암호화 해제 툴이 등장한 덕분이다.

카세야 랜섬웨어 발생 당시 공격만큼 그 피해도 심각해졌다. 카세야는 이른바 관리형 서비스 공급자(MSP) 사이에서 큰 인기를 누리는 IT 관리 소프트웨어를 공급한다. 주로 관리 서비스를 자체적으로 다룰 수 없는 기업에 IT 기반시설을 제공한다. 카세야 랜섬웨어 공격을 개시한 랜섬웨어 집단 레빌(REvil)은 MSP에 초점을 맞춘 소프트웨어인 가상 시스템 관리자(Virtual System Administrator)의 버그를 악용해, 공격 표적으로 삼은 카세야는 물론이고 그 고객사에도 심각한 피해를 주면서 결과적으로 연쇄적인 피해를 주었다.

이후, 랜섬웨어 피해 기관은 피해 복구를 위해 데이터값을 지급하고 시스템을 복구하거나 백업 과정을 거쳐 타격을 받은 부분을 자체적으로 재구성하는 것 중 한 가지 사항을 선택해야 했다. 레빌은 다수 민간 기업에 약 4만 5,000달러의 데이터값을 요구했다. 또, MSP 기업에는 무려 500만 달러를 청구하려 하기도 했다. 처음에는 통합 암호화 해제 키를 7,000만 달러에 건네려 했다. 이후, 레빌은 사라지기 전, 암호화 해제 키 값을 5,000만 달러로 낮추었다. 긴장이 고조된 상황에서 눈에 띄지 않으려 가격을 낮춘 것으로 보인다. 레빌이 사라지자 피해 기관이 데이터값을 결제할 수 있는 포털도 함께 사라졌다. 결국, 피해 기관은 데이터 복구를 위해 돈을 건네고 싶어도 이를 지급할 수 없는 상태로 남겨졌다.

카세야 대변인 다나 리드홈(Dana Liedholm)은 와이어드에 신뢰할 수 있는 외부 기관을 통해 통합 암호화 해제 키를 확보한 사실을 인정했으나 암호화 해제 키 제공 기업의 정체는 구체적으로 밝히지 않았다. 리드홈은 메일을 통해 “카세야는 랜섬웨어 피해를 본 다수 고객사를 위해 활발한 작업을 펼치는 팀을 두고 있으며, 암호화 해제 키를 활용할 수 있는 상황에서 가능한 자세한 정보를 추가로 공개할 것이다”라고 밝히며, 바이러스 방지 기업 엠시소프트(Emsisoft)와 함께 피해 기업을 위한 지원 활동을 시작했다고 추가로 전했다.

엠시소프트 위협 애널리스트 브렛 칼로우(Brett Callow)는 공식 성명을 통해 “카세야와 협력해, 고객사의 피해 복구 참여 노력을 지원하고 있다. 통합 암호화 해제 키가 피해 기업의 시스템 암호화 해제에 효과가 있다는 사실을 확인했다. 엠시소프트는 카세야와 그 고객사의 피해 복구를 계속 지원할 것이다”라고 밝혔다.
 
[사진=Freepik]
[사진=Freepik]

보안 기업 맨디언트(Mandiant)는 더 광범위한 피해 확산 방지를 위해 협력해왔다. 그러나 맨디언트 대변인은 와이어드가 암호화 해제 키 공급사와 암호화 해제 키가 필요한 피해 기업의 수를 추가로 명확히 밝힐 것을 요청하자 리드홈에게 다시 연락을 취할 것을 언급했다.

여전히 암호화된 모든 기기의 암호화 해제 능력을 확보한 사실이 희소식인 것은 분명하다. 그러나 지금까지 피해 복구 도움이 필요한 피해 기업의 수는 초기 공격 당시보다 상대적으로 적을 것이다. 레빌의 랜섬웨어 공격으로 타격을 받은 여러 기업을 고객사로 보유한 보안 기업 브리치퀘스트(BreachQuest)의 최고기술관리자인 제이크 윌리엄스(Jake Williams)는 “암호화 해제 키는 일부 고객사에 도움이 될 것이다. 다만, 매우 적은 도움이 될 것이며, 암호화 해제 키 공급이 너무 늦었을 수도 있다”라고 말했다. 백업과 데이터값 결제 등 여러 수단으로 손실된 데이터를 복구할 수 있는 기업 모두 이미 피해 복구를 완료했을 수도 있기 때문이다. 윌리엄스는 “가장 큰 도움이 될 수 있는 사례는 암호화된 시스템에 일부 고유 데이터가 보관돼, 어떤 방식으로도 복구할 수 없는 사례일 것이다. 이러한 상황에서는 매우 중요한 데이터라면, 즉시 데이터값을 건네도록 권고한다”라고 말했다.

레빌 랜섬웨어 공격으로 피해를 본 기업 상당수가 중소기업이다. MSP 고객사와 마찬가지로 IT 서비스에 필요한 자원과 인력 외주 공급을 선호하는 기업이다. 그 대신, 즉시 쉽게 활용할 수 있는 신뢰할 만한 백업 자료를 보유할 확률이 낮다. 고객사와 공급사에 처음부터 확보한 데이터를 모두 전송할 것을 요청해야 한다는 사실을 의미해도 여전히 데이터를 재구축할 방법은 얼마든지 있다. 윌리엄스는 “암호화 해제 키를 얻으리라 희망을 지닌 기업이 없을 확률이 높다”라고 말했다.

랜섬웨어 피해 공격에 남겨진 문제를 떠나 카세야 랜섬웨어 사태의 통합 암호화 해제 키 확보 소식은 몇 주간 이어진 심각한 랜섬웨어 피해가 끝날 수 있음을 나타낸다. 다만, 랜섬웨어 위협이나 카세야 사태가 나타내는 바에 대한 광범위한 우려를 완화하지는 못한다. 멀웨어 접근 권한을 얻는 대신 주요 사이버 공격 개시 세력에 사이버 공격 수익을 건네는 다크사이드(Darkside)와 레빌을 비롯한 그와 관련된 사이버 공격 세력 모두 지난 몇 달간 공격 범위와 심각성 측면에서 날이 갈수록 과감한 모습을 보여왔다. 카세야 랜섬웨어 사태에 앞서 레빌은 식품 공급망 대기업인 JBS의 시스템을 차단했다. 또, 그 전에 다크사이드는 미국 최대 송유관 기업 콜로니얼 파이프라인의 시스템을 파괴하면서 동부 해안가의 연료 공급량 상당 부분이 공급 중단되는 결과를 낳았다.

레빌과 마찬가지로 다크사이드도 법적 압박과 정치적 압박이 커지는 상황을 직면하자 사라졌다. 그러나 심각한 피해를 준 각종 사이버 공격을 저지른 개인의 신원은 여전히 밝히지 못하거나 기소 처리하지 못한 상태이다. 또, 체포된 이는 그보다 훨씬 더 적다. 다수 보안 전문가는 레빌, 다크사이드 등 사라진 사이버 공격 집단이 이름만 달리한 채로 같은 공격 전략을 보유한 채로 다시 등장하는 것은 시간문제일 뿐이라는 점에 대대적으로 동의한다. 카세야 랜섬웨어 사태의 우려는 해결된 듯하다. 그러나 어쩌면 이미 또 다른 공격이 진행 중일 수도 있다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
The Kaseya Ransomware Nightmare Is Almost Over
이 기사를 공유합니다
RECOMMENDED