약 2주 전, 미국 사이버인프라보안국(CISA)과 미국 연방수사국(FBI)이 ‘쿠바(Cuba)’라는 랜섬웨어 조직의 위협과 관련하여 합동 성명을 발표했다. 쿠바를 발견한 연구팀은 쿠바가 러시아에 본거지를 두고 활동하면서 지난 1년간 공격 표적으로 삼은 미국을 포함한 외국 여러 국가 기업과 기관 수가 갈수록 증가했다는 점을 확인했다. 그리고 12월 13일(현지 시각), 새로 발표된 연구 내용은 쿠바가 마이크로소프트의 인증을 받거나 승인된 멀웨어를 공격에 동원한 사실을 밝혀냈다.
쿠바는 보안 스캔 툴 무력화 후 설정 변경을 시도하는 과정에서 피해자 시스템 보안 침입 후 암호화 서명된 드라이버를 이용했다. 시스템 보안 감시망을 피한 채로 공격을 개시했으나 보안 기업 소포스(Sophos)의 모니터링 툴이 이상 징후로 감지해냈다. 과거, 팔로 알토 네트웍스(Palo Alto Networks)의 유닛42(Unit 42) 연구팀은 2022년 초, 쿠바가 엔비디아 인증서를 이용해, 커널 드라이브(kernel driver)라는 소프트웨어 특권에 서명한 것을 조사했다. 쿠바가 사용한 인증서는 Lapsus$ 해킹 그룹이 유출한 인증서이다. 소포스는 쿠바가 다른 중국 기업의 보안이 취약해진 인증서를 악용한 사례도 발견했다. 또 다른 사이버 보안 기업 맨디언트는 쿠바가 악용한 인증서가 주하이 랸창 테크놀로지(Zhuhai Liancheng Technology Co)의 인증서임을 확인했다.
마이크로소프트는 보안 권고 페이지에 “최근, 마이크로소프트는 마이크로소프트 윈도 하드웨어 개발자 프로그램(Windows Hardware Developer Program)이 인증한 드라이버가 악용 후 활동에 악의적으로 이용된 사실을 인지했다. 마이크로소프트 파트너 센터(Microsoft Partner Center)의 일부 개발 계정이 마이크로소프트 서명을 손에 넣으려 악성 드라이버 제출 과정에 참여한 것을 확인했다…(중략)...서명된 악성 드라이버는 랜섬웨어 배포 등 악용 후 침입 활동을 수월하게 만드는 데 동원되었을 확률이 높다”라고 공지했다.
소포스는 10월 19일(현지 시각), 맨디언트, 보안 기업 센티넬원(SentinelOne)과 함께 마이크로소프트에 디지털 인증서 악용 활동 발견 사실을 알렸다. 마이크로소프트는 서명 확보에 악용된 파트너 센터 계정 일시 중지와 악성 인증 철회, 악성 인증 관련 사항을 해결할 윈도 보안 업데이트 배포 소식 등을 공식 발표했다. 또한, 파트너 계정 악용 이외에 추가로 발견된 시스템 보안 침입 사항은 없다고 전했다.
마이크로소프트는 와이어드의 추가 설명 요청에 응하지 않았다.
[사진=Freepik]
소포스 위협 연구국장 크리스토퍼 버드(Christopher Budd)는 “쿠바 랜섬웨어 관련 조직임이 유력한 공격 세력은 공격 도중 어떤 일을 하는지 알고 있으며, 끊임없이 활동을 개시할 것이다. 소포스는 지금까지 악성 드라이버 10개를 발견했다. 모두 초기 발견된 악성 드라이버의 변종이다. 악성 드라이버 모두 신뢰망에서 더 나아가려는 시도를 확실히 보여준다. 적어도 2022년 7월 말부터 시작된 것으로 추정된다. 처음부터 악성 드라이버를 생성하고 정통한 기관의 서명을 얻기는 어렵다. 그러나 별다른 의문점 없이 기본적으로 드라이버로 어떠한 절차든 수행할 수 있어, 공격을 개시할 때 매우 효과적이다”라고 설명했다.
암호화 소프트웨어 서명은 소프트웨어가 신뢰할 수 있는 외부 기관이나 인증 기관의 검증과 인증을 받았음을 보장하도록 의도하는 중요한 인증 메커니즘이다. 악성 공격 세력은 항상 인증 인프라의 약점을 찾는 데 혈안이다. 그러나 인증서 보안을 침해하거나 서명 과정 보안을 저하하고 악용해 멀웨어를 정상적인 프로그램으로 인정할 수 있다.
맨디언트는 12월 13일 자 보고서에 “맨디언트는 과거, 의심스러운 사이버 조직이 코드 서명을 위해 일반 범죄 서비스를 악용할 때 발생할 상황을 관찰한 적이 있다. 사이버 공격 세력이 탈취된 코드 서명이나 사기 행위로 취득한 코드 서명 인증을 악용하는 일은 보편적인 전략이다. 이를 이용한 인증서나 서명 서비스는 불법 사이버 범죄 조직의 경제에서 짭짤한 수익을 기록할 틈새 수단임이 입증됐다”라고 기술했다.
2022년 10월, 구글은 삼성과 LG를 포함한 다수 안드로이드 기기 제조사가 관리하는 플랫폼 인증서 여러 개가 보안이 취약해진 상태에서 외부 기관을 통해 유포된 악성 안드로이드 앱 서명에 악용된 사실을 경고했다. 당시 보안이 취약해진 인증서 일부가 매뉴스크립트(Manuscrypt) 원격 접근 툴의 구성요소를 이용해 서명한 것으로 드러났다. CISA와 FBI는 과거에도 매뉴스크립트 멀웨어와 그와 비슷한 유형의 멀웨어를 동원한 사이버 공격 활동이 암호화폐 플랫폼과 거래소를 겨냥한 북한 정권의 해커 조직과 관련이 있다고 확신했다.
버드 국장은 “2022년에는 랜섬웨어 조직이 최종 감지를 우회하고 상당수 주요 공급사의 제품에 반응하는 사례가 갈수록 증가했다. 보안 업계에서는 최종 감지 우회 위협을 인지해, 추가 보안 조치를 구축할 필요가 있다. 게다가 다른 사이버 공격 세력이 비슷한 유형의 공격을 모방하려는 시도도 발생할 수도 있다”라고 경고했다.
보안이 저하된 인증서 여러 개가 널리 확산되는 가운데, 다수 사이버 공격 세력이 이미 공격 전략 변경과 관련된 내부 문건을 받은 것으로 보인다.
** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)
![[사진=Freepik]](/news/photo/202212/4423_5827_147.jpg)
뉴스레터 신청