정부 기관·보안업계, GlobeImposter 변종 광범위 전파...병원·기업 시스템 공격

중국에서 최근 ‘랜섬웨어 글로브임포스터(GlobeImposter)’의 변종이 광범위하게 퍼지고 있으며, 병원과 일부 기업 등의 시스템을 공격하고 있다고 중국 당국과 정보보안 업체들이 전했다.

랜섬웨어 ‘GlobeImposter’ 최신 변종이 중국에서 지난해 한 성급 아동병원에 이어 최근 전국 각지의 대형 병원들을 포함해 일부 기업(부동산 부문 등)의 시스템을 공격했다고 정보보안업체들은 밝혔다. 하지만 감염 피해를 입은 병원이나 기업들의 이름을 구체적으로 밝히지는 않았다.

베이징 네트워크·정보보안정보통보센터도 지난 주 발표한 통보에서 ‘GlobeImposter’ 변종이 온라인 상에서 퍼지고 있으며 최근 여러 성 지역에서 감염 상황이 나타나고 있다고 밝혔다.

앞서 중국에서는 랜섬웨어 ‘GlobeImposter’이 2017년 9월경 자주 출현하기 시작했으며, 변종들은 지난해 7월 중 본격적으로 퍼져 나간 것으로 정보보안 업체들은 파악하고 있다. 치후360이 자사 보안 솔루션을 써서 모니터링 한 결과, ‘GlobeImposter’이 중국에서 유행한 랜섬웨어들 가운데 차지한 비율은 2017년 3.2%에서 지난해 24.8%로 크게 늘었다. 이 회사는 “지난해 자체 접수한 피드백을 보면, 확장자애 따라 변종을 나눌 경우 ‘GlobeImposter’ 패밀리는 100개가 넘는 변종이 존재하는 것으로 파악됐다”고 최근 밝혔다.

중국 텅쉰은 자사 보안 솔루션을 사용하는 중국 내 기업들을 대상으로 조사한 결과, 갠드크랩(GandCrab), GlobeImposter, Crysis 등 랜섬웨어 패밀리가 지난해 중국 내 활동 기준 순위에서 나란히 1~3위를 차지했다고 최근 밝혔다. 이들 랜섬웨어는 가치가 높은 기업의 서버를 공격 목표물로 삼았다고 텅쉰은 덧붙였다.

루이싱정보기술은 “랜섬웨어 ‘GlobeImposter’의 최신 변종은 이전 버전과 큰 차이가 없고 여전히 ‘RSA+AES’ 암호화 방식을 이용한다”고 설명했다. 컴퓨터 사용자가 랜섬웨어 ‘GlobeImposter’의 덫에 걸리면 파일을 복호화 할 수 없게 된다고 이 회사는 덧붙였다. 이 ‘GlobeImposter’의 변종은 암호화된 디렉터리 아래 ‘HOW_TO_BACK_FILES’란 이름의 텍스트 파일을 생성한다. 이 파일에는 감염 피해자의 개인 아이디(ID) 일련번호와 바이러스 제작자 연락처 등 정보가 들어 있다. 공격자는 감염 피해자에게 돈을 주면 파일의 암호를 풀어 주겠다며 금전 지불을 요구한다.

이 ‘GlobeImposter’ 랜섬웨어들은 파일을 암호화하고 확장자를 △.Techno △.DOC △.CHAK △.FREEMAN △.TRUE로 변조해 왔다.

최근 중국에서 유행하고 있는 랜섬웨어 ‘GlobeImposter’ 변종에 감염돼 암호화된 파일에는 △.Pig4444(출현 시기 2018년 8월) △.Snake4444(2018년 9월) △.Ox4444 (2018년 9월) △.Tiger4444(2018년 9월) △.Dragon4444(2018년 9월) △.Rooster4444(2018년 9월) △.Horse4444(2018년 10월) △.Help4444(2018년 10월) △.SKUNK4444(2018년 11월) △.Rabbit4444(2018년 12월) △.Goat4444(2018년 12월) △.Monkey4444(2019년 2월) △.ALCO4444(2019년 2월) △.Rat4444(2019년 2월) △.China4444 등 주로 열두 개 띠를 딴 확장자들이 추가된 것으로 드러났다. 이 랜섬웨어의 변종 코드는 거의 완전히 같으며 추가된 뒷부분만 다르다고 정보보안업체들은 설명했다.

‘GlobeImposter’는 대칭과 비대칭 암호화 방식을 쓰고 있으며 바이러스 제작자의 ‘RSA’ 개인키가 없으면 암호화된 파일의 복호화가 불가능하다고 루이싱정보기술은 지적했다. 이 회사는 “랜섬웨어 ‘GlobeImposter’가 주로 원격 데스크톱(RDP)의 취약한 패스워드를 통해 공격을 벌인다”며, “많은 사용자들이 설정한 비밀번호들은 너무 간단해서 공격자들이 아주 쉽게 풀 수 있고, 이어 랜섬웨어를 컴퓨터에 투입한 다음 파일을 암호화한다”고 밝혔다.

공격자는 한 대의 컴퓨터에 침입한 후 툴을 이용해 해당 컴퓨터의 비밀번호를 손에 넣은 다음, 근거리통신망(LAN)에 연결된 다른 기기들을 공격해 바이러스를 투입하게 된다. 많은 기업에서 인터넷에 연결된 기기 중 한 대가 공격자에게 원격 제어를 당하게 되면, 공격자는 내부망에 연결된 다른 기기들을 찾아 공격을 진행하고 결국 많은 기기들이 감염된다고 이 회사는 설명했다.

치후360도 “해커들은 일부 스크립트와 툴을 써서 반자동으로 ‘GlobeImposter’ 랜섬웨어를 감염 기기들 안에 투입하게 된다”며 “이 때문에’GlobeImposter’이 규모를 이뤄 집중 폭발하는 상황이 자주 나타나고 있다”고 밝혔다.

방어 조치와 관련, 루이싱정보기술은 “랜섬웨어 ‘GlobeImposter’는 보통 취약한 암호를 통해 공격하므로 근거리통신망에 연결된 컴퓨터들은 동일한 비밀번호와 너무 간단한 비밀번호를 써서는 안 되고 최대한 복잡한 비밀번호를 사용해야 한다”고 강조했다. 또한 원격 조작이 필요 없는 경우라면 원격 데스크톱 기능을 끄고 상응한 포트도 닫아야 한다고 이 회사는 당부했다. 공격자가 원격 데스크톱 패스워드를 사용해 공격할 경우, 원격 데스크톱 기능과 포트를 닫으면 어느 누구도 원격으로 로그인할 수 없고 공격도 당할 수 없다는 설명이다.

내부망과 외부망의 격리도 요구되고 있다. ‘GlobeImposter’와 같은 유형의 랜섬웨어의 경우, 근거리통신망 안의 기기 한 대라도 외부 망에 접속하게 되면 전체 근거리통신망을 위협할 수 있다고 이 회사는 지적했다. ‘GlobeImposter’는 원격 데스크톱의 취약한 패스워드를 통해 공격하지만 이후 공격자들이 다른 보안 취약점을 악용해 공격할 수도 있으므로 시스템 패치와 웹 서비스 패치를 업데이트해서 공격자가 다른 보안 취약점을 통해 공격하는 것을 막는 것도 필요하다고 이 회사는 덧붙였다.

중요한 자료의 공유 파일 폴더에 대해서는 방문 권한을 통제하고 정기적으로 백업을 진행하는 게 요구된다고 치후360은 당부했다.

※ 19년도 3월 기준 뉴스이며, 올해 변종된 코드는 Alpha666qqz
감염된 파일 확장자는 .GlobeImposter-Alpha666qqz 로 변형

출처 : https://www.boannews.com/media/view.asp?idx=77987&kind=4 (보안뉴스/중국 베이징/온기홍 특파원)