랜섬웨어뉴스

로빈후드(RobbinHood)라는 랜섬웨어를 활용하는 사이버 공격자들이 최근 정상적으로 서명된 하드웨어 드라이버들을 사용해 보안 도구들을 삭제한 후에 파일 암호화를 시작하는, 새로운 수법을 들고 나타났다.​

취약점은 대만의 머더보드 생산업체인 기가바이트(Gigabyte)가 예전에 출시했던 소프트웨어 패키지에 포함되어 있는, 서명된 드라이버 내에 존재하는 것으로 밝혀졌다.​

취약점 패치가 이뤄진 건 2018년이지만, 기가바이트가 패치되지 않은 소프트웨어를 계속해서 사용해왔기 때문에 커다란 위협이 되고 있다.

공격자들은 이렇게 여러 가지 요인으로 취약하게 된 기가바이트의 드라이버를 악용해 두 번째 드라이버를 윈도우 장비에 심는다. 이 드라이버는 악성이며 서명되지 않은 채다. 이 두 번째 드라이버는 보안 툴로부터 발생한 프로세스와 파일들을 마음대로 제거할 수 있게 되는데, 이 때문에 다음에 오는 랜섬웨어가 자유롭게 활동할 수 있게 된다. 이러한 방식으로 윈도우 7, 8, 10의 커널 메모리 설정 내용을 변경하는 것도 가능하다.

로만은 세 가지 요소가 조화된 방어법이 필요하다고 권장했다.​ 1) 다단계로 진행되는 공격을 훼방하는 기술, 2) 공공 클라우드를 포함하는 보안 전략, 3) 엔드포인트 보호 소프트웨어가 효과적입니다. 이 것이 첫 번째 요소입니다.”​

두 번째는 “다중 인증, 복잡한 비밀번호, 제한된 권한 활용, 주기적 패치, 주기적 백업과 같은 강력한 보안 실천 사항을 준수하는 것”이라고 한다. “마지막은 조직 구성원들을 대상으로 하는 보안 교육입니다. 이는 자주, 끊임없이 해야 효과를 볼 수 있습니다.”​

[ 보안뉴스 ] 문가용 기자​원문보기