전체메뉴 검색창 열기 / 닫기
닫기

[이슈분석]에레부스 랜섬웨어 감염 과정은?

발행일2017.06.18 15:00

인터넷나야나는 어떻게 150대나 되는 서버를 랜섬웨어 공격자에게 빼앗겼을까.

경찰과 한국인터넷진흥원은 수사나 조사 중인 사안은 언급할 수 없다고 밝혔다. 랜섬웨어 감염 경로를 알면 추가 피해를 줄일 수 있다. 지난 5월에 세계를 강타한 워너크라이 랜섬웨어도 영국의 한 청년이 킬 스위치(원격 자폭기능)를 찾아내자 확산이 주춤한 바 있다.

Photo Image<ⓒ게티이미지뱅크>

보안업계는 조사 결과가 나와 봐야 알겠지만 인터넷나야나 서버 관리에 허점을 지적했다. 워너크라이처럼 윈도나 프로그램 취약점이 아닌 서버 관리가 철저하지 않았고 해커가 서버 권한을 모두 장악, 랜섬웨어를 감염시킨 것으로 추정된다. 일부에서 제기된 윈도 파일 공유 시스템인 삼바(SAMBA)의 취약점은 아닌 것으로 판명 났다.

트렌드마이크로에 따르면 초기 에레부스는 서버 사용자의 계정 관리를 우회하는 취약점을 이용했다. 에레부스는 지난해 9월에 처음 발견됐으며, 그때 취약한 광고 서버를 감염 경로로 이용했다. 취약한 광고 서버와 연결된 사이트에 접속만 해도 랜섬웨어에 감염되는 방식이다. 초기 해커는 '리그 익스플로잇 키트(Rig exploit kit)'를 이용했다. 에레부스는 423개에 이르는 파일을 RSA 2048 비트 알고리즘으로 암호화한다. 에레부스 명령&제어(C&C) 서버는 한국에 위치한다.

2월에 나타난 에레부스는 더욱 진화했다. 에레부스는 사용자계정관리(UAC)를 우회하는 기능을 추가했다. UAC는 비인가 된 사용자가 시스템에 접근할 수 없게 하는 윈도 기능이다.

에레부스 피해가 큰 이유는 리눅스 서버를 감염시켰기 때문이다. 리눅스는 서버, 데이터베이스(DB), 웹 개발, 모바일 장치 등 다양한 분야에 쓰인다. 특히 데이터센터와 호스팅·스토리지 제공업체에서 리눅스 사용률이 높다. 에레부스는 랜섬웨어가 PC뿐만 아니라 서버와 네트워크까지 감염시키면 기업의 존폐에 영향을 미친다는 사실을 그대로 증명했다.

에레부스 랜섬웨어 해커는 여전히 오리무중이다. 국내 분석가에 따르면 에레부스 해커가 비트코인 결제를 유도하는 사이트의 언어 코드는 중국어다. 언어 코드만으로 공격자를 특정하기는 쉽지 않다.

트렌드마이크로는 에레부스와 같은 랜섬웨어 피해를 막으려면 시스템과 서버를 최신 상태로 유지하라고 권고했다. 서버에 제3자나 알려지지 않은 저장소, 패키지를 추가하지 말아야 한다. 이런 부분은 공격자가 서버나 시스템에 진입하는 지점이다. 서버의 불필요한 구성 요소나 서비스를 제거한다. 사용 권한을 제한하면 노출과 손상을 완화하고, 무단 사용을 방지할 수 있다.

[전자신문 CIOBIZ] 김인순 보안 전문기자 insoon@etnews.com

댓글 보기


주요뉴스