보안에 만전을 기하기 위해 공공, 대기업 등에 적용되는 망분리를 우회해 정보를 유출하고자 개발된 것으로 추정되는 맬웨어가 발견됐다.
글로벌 보안 에셋 연구원들은 이같은 기능을 갖춘 맬웨어 '램새이(Ramsay)' 샘플을 바이러스토탈에서 발견했다고 13일 밝혔다. 샘플들은 지난해 9월 개발된 버전 1과 올해 3월 개발된 버전 2.a와 2.b였으며, 일본에서 등록됐다.
에셋에 따르면 램새이는 악성 문서 파일을 이용해 망분리(air gap)가 적용된 PC를 감염시키고, 감염된 PC를 스캔해 숨겨진 저장 폴더에 있는 워드 파일 등 민감한 문서를 수집한 뒤 이를 유출할 기회를 노리도록 설계됐다. 수집된 파일을 사전에 정의된 위치나 네트워크, 또는 이동식 매체에 저장하게 하는 것이다.
2.a 버전의 경우 USB 등 이동식 매체와 공유 네트워크의 모든 PE 파일에 램새이를 감염시키는 기능이 탑재돼 있었다. 만약 사용자가 감염된 파일을 타 기기에 옮기게 되면 해당 기기도 램새이 감염 위험에 노출된다.
에셋은 램새이 샘플에서 명령제어(C&C) 통신 프로토콜을 갖고 있지 않고, 외부와의 통신을 위해 원격 호스트와 연결하려는 시도도 발견되지 않았다고 설명했다. 다만 맬웨어가 수집한 데이터들을 USB 등의 이동식 매체로 빼내는 가능성을 염두하면서, 망분리 환경에 맞춰 개발됐을 것으로 추정했다.
관련기사
- 초연결시대와 안 맞는 '망 분리', 규제 완화 공감대 형성2020.05.14
- 코로나19 이후 재점화된 망 분리 규제, 쟁점은?2020.05.14
- 행안부, 지자체도 업무망·인터넷망 분리 추진2020.05.14
- 스얼, 망분리 규제 다룬 스타트업 보고서 발표2020.05.14
회사는 이 맬웨어로 인한 피해자가 거의 없는 것으로 보이지만, 망분리 환경을 공격 대상으로 노리는 특징에 따른 결과일 수 있다고 분석했다. 아울러 맬웨어 개발이 계속 진행 중이며, 향후에는 원격 서버와 연결해 명령을 수신하고, 데이터를 유출하는 등의 기능이 탑재될 수도 있다며 우려했다.
에셋은 램새이를 악용하는 배후에 대해서 공식적으로는 밝히지 않았다. 그러나 악성 문서 파일에서 한국어 기반 메타데이터를 발견했다고 언급했다. 에셋 연구원인 이그나시오 산밀란은 해킹 그룹 '다크호텔'이 개발한 맬웨어 변종 '레트로(Retro)'와 여러 가지 공통점이 있다고 밝혔다. 다크호텔은 동아시아와 미국 정부 관계자와 기업인을 노려온 해킹 그룹이다.
