윈도우 서버 노린 랜섬웨어, 공식 패치됐지만 아직 적용하지 못한 기업 타깃

[보안뉴스 원병철 기자] 미국 국가안보국(NSA)의 사이버 감시 및 해킹도구를 훔친 셰도우 브로커스(Shadow Brokers)가 공개했던 윈도우 취약점을 이용해 만들어진 랜섬웨어가 벌써 등장해 큰 파장을 일으킬 전망이다. 


2016년 8월 16일 비영어권 해킹 단체로 보이는 셰도우 브로커스가 NSA를 해킹했다고 주장하면서 시작된 이번 사건은, 2016년 1월 12일 셰도우 브로커스가 P2P 사이트 제로넷(ZeroNet)을 통해서 윈도우 시스템을 공격할 수 있는 해킹툴 세트와 익스플로잇을 판매하면서 본격화됐다. 특히, 셰도우 브로커스는 이 제품이 NSA와 관련된 사이버 첩보팀 이퀘이전 그룹에서 훔친 도구와 파일을 포함하고 있다고 밝한 바 있다. 이후 셰도우 브로커스는 판매가 지지부진하자, 4월 경 이 도구들을 무료로 공개해 버렸다. 

이와 관련 MS는 윈도우 공격도구가 공개된 후 자체 검토결과 이미 대다수의 취약점들이 패치된 바 있었으며, 나머지 것들도 3월 업데이트를 통해 대부분 해결했다고 밝히면서 일단락되는 듯 보였다. 하지만 이번에 윈도우 취약점을 이용한 랜섬웨어가 발견되면서 새로운 국면으로 접어들게 됐다. 

셰도우 브로커스가 공개한 윈도우 서버 취약점을 바탕으로 만들어진 랜섬웨어가 출현한 사실을 한 보안전문가가 발견했기 때문이다. 랜섬노트에 따르면, ‘AES-NI Ransomware’라고 명명되어 있으며, ‘Special Version : NSA Exploit Edition’이라고 소개하고 있다. 해당 랜섬웨어는 파일 확장자를 ‘.aes_ni_0day’로 바꿔버리며, 파일들을 복호화 하려면 이메일로 연락하라는 내용이 담겨 있다. 

또 다른 보안전문가는 MS에서 윈도우 패치를 내놓긴 했지만, 기업들이 패치를 적용하는 데 시간이 걸리는 만큼 당분간 공격 당하는 곳이 늘어날 것이라고 경고했다. 

보안전문기업 하우리는 이번 랜섬웨어가 해당 취약점을 사용해 윈도우 서버 2008 등 윈도우 서버를 장악하고, 해당 서버 내에 있는 실행파일을 제외한 모든 파일들을 암호화한다고 밝혔다. 여기에는 웹 서버에서 운영되는 “CGI” 파일들을 비롯하여 이미지, 문서 등이 포함된다. 

해당 랜섬웨어는 256비트 키를 갖는 “AES” 암호 알고리즘을 이용해 파일들을 암호화하고, 암호에 사용한 키는 다시 “RSA” 공개키를 이용해 암호화한다. 따라서 해커가 가지고 있는 “RSA” 개인키가 없이는 복호화가 불가능하다. 해당 취약점을 막기 위해서는 마이크로소프트에서 제공하는 최신 보안 업데이트를 수행해야 한다.

최상명 하우리 CERT실장은 “현재 해당 취약점에 대한 보안 패치는 나온 상태임으로 반드시 패치를 수행해야 한다”라며, “서버 같은 경우는 안전성을 이유로 보안패치를 늦게 하는 경우가 많은 데 검토 후 최대한 빨리 패치를 할 것을 권고한다”라고 밝혔다.

한편, 한국인터넷진흥원은 지난 4월 15일 윈도우 공격도구 공격에 따른 주의를 권고하고, 패치방법을 공개한 바 있다. 

출처:http://www.boannews.com/media/view.asp?idx=54338&kind=0