워너크라이 킬 스위치, 사실 분석 방해 장치였을까?

워너크라이 킬 스위치, 사실 분석 방해 장치였을까?

      2017-05-18
가짜 도메인, 샌드박스나 가상 기기 회피할 때 사용되기도 해
워너크라이 확산 막은 멀웨어테크도 “분석 방지 용도인 듯”

[보안뉴스 문가용 기자] 워너크라이 랜섬웨어에서 발견된 ‘킬 스위치’에 대한 미스터리가 좀처럼 해결되지 않고 있는 가운데, “사실 킬 스위치가 아니었던 것 같다”는 주장이 나왔다. 보안 전문업체인 파이어아이(FireEye)의 CEO 케빈 맨디아가 인터뷰를 통해 “공격자들이 만든 도메인 네 개를 발견했는데, 이게 킬 스위치라기보다 가상 기기와 샌드박스를 우회하기 위한 장치로 보인다”고 밝힌 것이다.

[사진=iclickart]

“가상 기기 내에서 프로그램이 돌아가는 걸 막기 위한 여러 가지 장치 중 킬 스위치는 가장 투박한 방법입니다. 하지만 사용되는 방법이죠. 사실 파이어아이의 솔루션들 중에도 이런 방법을 활용한 것들이 있습니다. 멀웨어가 어떻게 작동하는지 먼저 보기 위해 가상의 도메인을 만들어 관찰하는 방법인데요, 가상 기기에서 프로그램이 헛돌아가는 걸 방지해줍니다.”

논란이 되고 있는 ‘킬 스위치’란 워너크라이 랜섬웨어가 세계 곳곳으로 막 퍼져나가던 때에 멀웨어테크(MalwareTech)라는 영국 보안 전문가가 워너크라이 내에서 발견한 도메인 이름이다. 멀웨어테크가 이 도메인을 정식으로 등록하면서 랜섬웨어 확신이 멈추는 효과가 발생했기에 ‘킬 스위치’라고 불리기 시작했다. 이점이 보완되어 등장한 두 번째 워너크라이에도 마찬가지로 특정 도메인 이름이 있었고, 역시 적절한 조치가 가해졌다. 이 두 건의 도메인 관련 조치로 인해 워너크라이는 사실상 죽어버렸다. 물론 사용자들이 윈도우 업데이트를 하지 않으면 또 감염될 가능성이 있긴 하지만 말이다.

파이어아이의 이러한 주장은 구글, 카스퍼스키, 시만텍의 보안 전문가들이 “워너크라이의 코드 일부와 북한의 사이버전 수행 해커인 라자루스 그룹(Lazarus Group)이 주로 사용하는 멀웨어에서 유사점이 발견됐다”고 발표한 직후에 나온 것이다. 이러한 주장이 나온 이유는 “굳이 자체적으로 킬 스위치를 내포하고 있는 등, 랜섬웨어 제작자들이 여러 가지 기본적인 실수를 저지른 이유는 무엇일까?”가 많은 전문가들을 궁금하게 만들었기 때문이기도 하다. 궁금증을 해결하기 위해 분석하다가 북한과의 연결고리가 발견된 것이라고 볼 수 있다.

동시에 “북한이라고 단정 짓기엔 이르다”는 주장들도 여럿 등장했다. 보안 전문업체 피델리스(Fidelis)의 존 밤베넥(John Bambenek)은 맨디아의 주장처럼 “도메인이 결과적으로는 감염의 킬 스위치처럼 작동하긴 했지만, 제작자들은 다른 의도를 가지고 거기다 넣었을 것”이라고 주장했다. “도메인 주소를 그런 식으로 넣어서 작동케 하는 건 가상 기기를 회피하기 위한 기술 중 하나입니다. 물론 제가 그런 의도를 가지고 도메인 이름을 멀웨어에 삽입했다면, 해당 도메인을 정식으로 등록했겠지만요.”

밤베넥은 “감염된 기기로부터 들어오는 DNS 요청을 해결하기 위한 목적으로 보안용 샌드박스 제품이나 멀웨어 분석 엔진들에도 이러한 방법들이 사용되곤 한다”며 “가상 기기를 걸러냄으로써 보다 질 좋고 정확한 첩보를 얻어낼 수 있다”고 설명했다. “아마 랜섬웨어 공격자들도 공격 현황을 보다 제대로 파악하기 위해 양질의 첩보가 필요했을 것입니다. 혹은 방어 솔루션을 피하기 위해서도 이 방법이 사용되었을 수도 있고요.”

이 시점에서 ‘킬 스위치’를 눌러 감염 확산을 막은 멀웨어테크의 설명을 다시 들어보자. “워너크라이는 기기를 감염시키기 전에 먼저 어떤 도메인과의 접속을 시도했습니다. 연결이 되지 않으면 공격을 시작하고, 연결이 되면 피해자의 기기를 빠져나갔죠. 그래서 저는 그 도메인을 등록해 워너크라이와 접속이 되도록 한 것입니다.” 하지만 멀웨어테크는 도메인을 등록시키는 게 그렇게까지 큰 효과를 가져다줄지 몰랐다며, “우연한 성공”이라고 말하기도 했다. 또 보다 최근에는 “공격자들이 스스로 멀웨어를 제어하기 위해 만들어놓은 자폭 장치가 아니라 분석 툴을 피해가기 위해 심어둔 것이라고 생각된다”며 “분석 툴을 피해갈 생각만 했지, 멀웨어 감염이 중단될 것은 생각 못한 듯 하다”고 말해, 사실상 맨디언트의 말에 힘을 실어 주었다.

“실제로는 등록되어 있지 않은 도메인이지만, 샌드박스 환경에서는 등록 사실을 일일이 확인하지 않는 경우가 있습니다. 정상 도메인처럼 생겼으니까 멀웨어를 그냥 통과시켜 버리는 겁니다. 멀웨어가 이런 응답을 탐지하면, 공격자들 입장에서는 ‘샌드박스 환경이구나’라고 알 수 있게 되는 것이죠. 그러면 랜섬웨어가 동작을 멈춥니다. 분석 당하지 않기 위해서요.” 멀웨어테크가 그 도메인을 실제 존재하는 것으로 만듦으로서 멀웨어 입장에서는 세상 모든 시스템이 샌드박스처럼 보이게 된 것이다.

이렇듯 ‘킬 스위치’의 존재 이유에 대해 많은 추측들이 나오고 있지만, 사실 해당 당사자가 아니면 이러한 이론들은 전부 ‘가설’로 끝날 것이다. 그러는 한편 기업들은 업데이트와 멀웨어 제거를 계속해서 진행하고 있다. 어쩌면 더 심한 공격이 곧 들이닥칠 수도 있는데, 워너크라이 덕분에 미리 패치를 하는 등 보안의 기본적인 실천사항들을 다져놓을 수 있게 된 것이 불행 중 다행이라고 전문가들을 입을 모은다.

또 한 가지 미스터리는 ‘최초의 감염자’다. 맨디아는 작은 통신회사 같은 업체나 일반인이 최초로 당했고, 거기서부터 다른 기업들로 번져나갔을 것이라고 생각한다. “하지만 최초 감염자를 발견한다고 해서 문제가 달라진다거나 새로운 교훈을 얻어갈 수 있는 건 아닙니다. 중요한 건 1) SMB에 구멍이 예상보다 많았다는 걸 발견했다는 것과, 2) 패치 습관이 충분히 퍼지지 못했다는 것입니다. 그리고 3) 국가 정보 기관이 얼마나 무시무시한 툴을 보유하고 있는지도 알게 되었죠.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC

[출처] http://www.boannews.com/media/view.asp?idx=54809&kind=4#

Loading

Updated: 2017년 5월 20일 — 2:08 오후

댓글 남기기

이 사이트는 스팸을 줄이는 아키스밋을 사용합니다. 댓글이 어떻게 처리되는지 알아보십시오.