금융보안원

제목 : 금융보안원, 금융권 랜섬웨어 대응을 위한 사이버 위협 인텔리전스 보고서 「Masscan 랜섬웨어 위협 분석」 발간

 ◇ 공격 TTP(Tactics:전략, Techniques:기술, Procedures:절차) 등을 제공하여 금융권·민간기업에서도 랜섬웨어 예방 및 대응에 활용 가능

 ◇ 실제 사고 사례 분석을 통해 공격자의 공격수법을 정교하게 파헤치고, 랜섬웨어 동작을 코드(Code)레벨에서 심층 분석

□ 금융보안원(원장 김철웅)은 지난 7월에 발생한 콜택시 마비사건으로 국내에 피해를 입힌 Masscan(매스스캔) 랜섬웨어 공격과 관련하여 금융권·민간기업의 피해예방을 위해 공격 수법을 심층 분석한 「Masscan 랜섬웨어 위협 분석」보고서를 발간

 ㅇ 랜섬웨어(Ransomware)란 컴퓨터의 정상적인 동작을 방해하거나 파일을 암호화하고 이를 복구하는 대가로 ‘몸값(Ransom)’을 요구하는 악성 프로그램으로, ‘17년 워너크라이(WannaCry) 랜섬웨어 이후 다양한 랜섬웨어가 등장하였으며, 금전편취를 목적으로  랜섬웨어를 이용하는 해킹조직도 증가하는 추세

 ㅇ 최근에는 보안에 취약한 데이터베이스 서버에 침투하여 랜섬웨어를 감염시키는 ‘Masscan 랜섬웨어’ 공격이 국내 기업을 대상으로 증가하고 있으며, 금융권 대상 공격시도가 포착되어 각별한 주의가 요망

□ 이번 보고서는 3장으로 구성되어 있으며, 각 장에서 Masscan 랜섬웨어의 사고 사례 분석, 공격에 사용된 도구 및 기능, 랜섬웨어 상세 분석에 대해 다룸

 ➊ (사고 사례 분석) 공격자의 초기 데이터베이스 서버 침투부터 공격 도구 다운로드, 다른 공격 대상 물색, 관리자 계정 획득, 랜섬웨어 감염까지 전 과정을 타임라인으로 분석하고,

  - 이와 함께, 공격자가 랜섬웨어 유포에 사용한 전략, 기술 그리고 절차(TTP, Tactics:전략, Techniques:기술, Procedures:절차)를 도출

 ➋ (도구 및 기능 분석) 공격자가 데이터베이스 서버 침투 후 시스템을 장악하고 관리자 계정을 획득, 랜섬웨어를 실행하기 위해 사용한 12종의 도구 및 기능을 분석

 ㅇ 각종 스캐닝 도구 등을 이용하여 네트워크에 보다 깊숙이 침투하는 ‘측면 이동(Lateral Movement)’을 시도

《 공격에 사용된 주요 명령어·도구 》

 ➌ (랜섬웨어 상세 분석) 랜섬웨어가 시스템 복원을 방해하기 위해 수행하는 기능, 복호화를 어렵게 하기 위해 수행하는 지능적 전략, 랜섬웨어 작동 메커니즘, 파일 유형별 암호화 방식 등을 코드(Code)레벨*에서 심층 분석

     * 리버스 엔지니어링(Reverse Engineering)을 통해 랜섬웨어 등 악성코드를 디컴파일하여 프로그램의 원래 소스코드(Source Code)의 구조와 원리를 분석

 ㅇ 타 랜섬웨어와 달리 바탕화면, 공유 네트워크 폴더 등을 우선으로 암호화하며, DB(데이터베이스) 및 압축관련 파일은 별도의 암호화 알고리즘을 사용하는 것이 특징

□ 김철웅 금융보안원 원장은 지속되는 랜섬웨어 위협에 따라 2023년 디지털 금융 및 사이버 보안 이슈로 「랜섬웨어, 피싱 앱 등 사이버 위협의 끝없는 진화」를 선정하여 금융권 랜섬웨어 공격 동향을 예의주시하고 있다면서,

 ㅇ “기업에 대한 피해가 발생하지 않도록 지속적으로 랜섬웨어를 추적·분석하고, 금융회사뿐만 아니라 필요로 하는 모두와 관련 정보를 공유하겠다”고 밝힘. 끝.

    ※ 「Masscan 랜섬웨어 위협 분석」 인텔리전스 보고서 전문은 금융보안원 홈페이지(www.fsec.or.kr) 자료마당 > 인텔리전스 보고서 게시판 참조