랜섬웨어뉴스

베가(Vega)라는 랜섬웨어의 변종 중 하나가 공격 전략을 크게 바꾼 채 나타났다. 보안 업체 블랙베리 사일런스(BlackBerry Cylance)는 “베가의 소스코드가 국가 지원 해커 부대의 손에 넘어갔을 가능성이 높아 보인다”고 발표했다.​

이 변종의 이름은 제펄린(Zeppelin)으로, 11월 초부터 퍼지기 시작했다고 블랙베리 사일런스는 설명한다. “하지만 러시아, 우크라이나, 벨로루스, 카자흐스탄에 있는 컴퓨터들은 감염시키지 않습니다. 미국과 서유럽 국가들만 집중적으로 노리죠. 특히 기술 업계와 의료 산업이 표적이 되고 있습니다. 모듈 구성으로 되어 있어 언제고 공격 방식이 바뀔 수 있는데, 현재로서는 파괴적인 공격을 주로 실행하고 있습니다.” 블랙베리 사일런스의 부회장인 조시 레모스(Josh Lemos)의 설명이다.

“원래 베가는 러시아어 구사자들을 겨냥한 캠페인이었습니다. 그런데 이번에는 정반대로 서방 세계를 노리기 시작했습니다. 표적이 되는 사람들의 종류도 확 달라졌고요. 멀웨어 배포 방법 또한 이전과 다릅니다. 이전 베가 사용자들과 지금의 제펄린 사용자들이 다르다는 걸 알 수 있습니다. 원 저작자들이 돈을 받고 팔았거나, 스스로도 해킹을 당했을 수 있습니다.”

제펄린은 다양한 크기의 API를 무작위로 사용해 탐지 장치들을 피해간다. 샌드박스를 통한 분석 행위 역시 이 방법으로 차단한다. “다양한 키값을 코드 내에 난독화 처리하여 숨기고 있기도 합니다. 난독화를 하지 않으면 코드 점검에서 탐지될 것이 분명하니까요. 공격자들의 조심스런 습성과 스텔스 기술이 뛰어난 편입니다.”

블랙베리 사일런스는 특정 국가를 범인으로 지목하고 있지는 않다. “하지만 러시아, 우크라이나, 벨라루스, 카자흐스탄에서는 공격이 발생하지 않도록 여러 장치가 마련되어 있습니다. 특히 위 나라들의 IP 주소가 검색되면 공격이 발동되지 않습니다. 이걸 볼 때 범인은 이 네 개 국가 중 한 곳에 거주하고 있을 가능성이 높습니다.”

[ 보안뉴스 ​] 문가용 기자​원문보기