특정 기업환경을 노린 표적형 랜섬웨어가 등장했다. 이메일과 웹사이트 취약점을 이용해 불특정 다수를 공격하던 기존 방식에서 진화해 능동적으로 목표를 정하고 공격을 감행한다. 서버 구축 등에 레드햇 제이보스(Red Hat JBoss) 엔터프라이즈 제품군을 사용하는 기업이 대상이다.
시만텍은 7일 레드햇 제이보스 엔터프라이즈 제품군 사용 기업을 타깃으로 한 `삼삼(Samsam)` 랜섬웨어를 발견했다며 주의를 당부했다. 해당 제품군을 사용하는 기업에서는 즉시 최신 패치 설치 등 대비가 필요하다.
삼삼 랜섬웨어는 취약점 패치가 이뤄지지 않은 특정 서버를 집중적으로 노린다. 공격자는 `젝스보스`와 같은 도구를 활용해 레드햇 제이보스 엔터프라이즈 제품을 운영하는 서버 가운데 패치가 되지 않은 서버를 찾는다. 서버에 침투한 후 다른 무료 도구와 스크립트를 사용해 네트워크로 연결된 컴퓨터상에서 자격증명(credentials) 등 정보를 수집한다.
시스템 내 파일을 암호화하는 랜섬웨어를 배포한 뒤 금전을 요구한다. 공격자가 RSA 키페어를 스스로 생성한다는 점도 기존 랜섬웨어와 차이점이다. 타깃 컴퓨터에 공개 키를 랜섬웨어와 함께 업로드한다.
시만텍은 레드햇 제이보스 엔터프라이즈 제품을 사용하는 기업은 현재 패치가 되지 않은 버전 사용 여부 확인을 권고했다. 미패치 버전이라면 즉시 최신 패치를 설치해야 한다.
시만텍은 랜섬웨어 공격자가 기업과 같은 특정 조직을 직접적으로 공격한다는 점에 주목했다. 랜섬웨어가 성공적인 비즈니스 모델로 입증되면서 수익 극대화를 위해 불특정 다수가 아닌 표적 공격으로 발전한다는 점을 보여주기 때문이다.
윤광택 시만텍코리아 제품기술본부 상무는 “지금가지 랜섬웨어가 불특정 다수를 겨냥해 무작위로 공격하는 형태였다면 삼삼 랜섬웨어는 한 차원 진화한 공격 유형을 보여준다”며 “변종 랜섬웨어가 지속 증가하는 만큼 앞으로 특정 타깃을 겨냥한 표적 공격 형태 랜섬웨어가 늘어날 전망”이라고 말했다.
레드햇은 표의 제이보스 제품과 이후 버전은 삼삼 랜섬웨어 영향을 받지 않는다고 밝혔다.
박정은기자 jepark@etnews.com
