북한 베꼈나...이란에서 부활한 페이투키 랜섬웨어 그룹
- 이란의 악명 높은 랜섬웨어 그룹, 다시 활동 시작
- 이란 정부와 연계된 듯...랜섬웨어 수익을 이란 옹호 세력과 나누기도
- 이전보다 업그레이드 된 모습...이-이 정전 협정 악용하려는 듯
돈과 정치적 신념 모두를 좇는 독특한 랜섬웨어 그룹이 부활했다. 페이투키(Pay2Key)라는 이름을 가진 이란 랜섬웨어 조직이다. 보안 업체 모피섹(Morphisec)이 추적한 바에 의하면 페이투키는 현재 페이투키아이투피(Pay2Key.I2P)라는 새 이름으로 활동한다 한다. 이들은 랜섬웨어 공격으로 금전적 수익을 거둔 후, 이를 이란을 지지하거나 서방 국가를 공격하는 주체들과 배분한다.
페이투키아이투피(이하 페이투키)는 이란의 APT 조직인 폭스키튼(Fox Kitten)과도 연계되어 있으며, 또 다른 랜섬웨어 패밀리인 미믹(Mimic)과 기능적으로 유사한 면모를 가지고 있다. 이란 정부와도 어느 정도 관련성이 있는 것으로 현재까지는 알려져 있다.
어떤 성과 올렸나
모피섹이 추적한 바에 따르면 페이투키는 지난 4개월 동안 4백만 달러에 달하는 돈을 피해자들로부터 갈취했고, 일부 운영자는 개인적으로 10만 달러 이상의 수익을 거뒀다고 한다. 자신들이 약속한 대로 이란 정부 편에 선 자들과 수익금을 나눴는지는 아직 확실치 않다.
페이투키의 공격 순서는 대체적으로 다음과 같다.
1) 악성 압축파일을 실행시키고, 파워셸 스크립트를 호출한다.
2) XOR 방식으로 암호화 된 페이로드를 복호화 한다.
3) 윈도 디펜더 등 각종 방어 장치들을 비활성화 하고 등록 정보를 조작한다.
4) 다수의 .bin 파일을 통해 악성 파일을 추출하고, 이를 가지고 실행 파일을 구성한다.
5) 미믹 랜섬웨어를 실행하여 파일을 암호화 한다.
6) browser.exe를 실행한 후 파일 암호화 흔적을 삭제한다.
현재 페이투키는 러시아어와 중국어 기반 다크웹 포럼에서 운영자를 모집 중에 있다. 초기 투자 없이 고수익을 낼 수 있다는 식으로 홍보 메시지들을 띄우고 있으며, 텔레그램과 트위터를 통해 서로 연락을 주고 받는다고 알리고 있다. 각자가 필요한 역할을 수행하게 되는데, 서로를 식별할 수 있는 ID와 역할 등은 현 페이투키 운영자들이 제공한다.
어떤 점이 변했나?
돌아온 페이투키는 이전 페이투키와 사뭇 다른 점을 보여준다. “기존에 사용하던 것보다 구조가 복잡한 빌드가 발견됐습니다. 새로운 기능들도 추가됐고, 리눅스용 랜섬웨어도 활용하는 모습이 포착됐습니다.” 이를 정리하면 다음과 같다.
1) 지연 실행 기능 추가
2) 샌드박스 탐지 회피 기능 추가
3) 파워셸을 통한 후속 공격 실행 가능
4) 파일 변조 탐지 기술 우회
5) 가짜 오류 메시지 등 소셜엔지니어링 공격 기능 추가
왜 지금 시점에 부활했을까?
현재 이란 정부는 이스라엘과 정전 협정을 맺은 상태다. 하지만 오랜 앙숙인 두 나라가 정전 협정 하나로 모든 싸움을 그칠 리는 없다. 오히려 정전 협정을 교묘히 피해가면서 상대에게 피해를 입힐 수 있는 방법을 물밑에서 모색하고 있을 가능성이 높다고 전문가들은 보고 있다. 페이투키의 공격 전술과 기술이라면 이런 필요를 정확히 충족시킨다고 볼 수 있다. “공격자들 스스로도 이스라엘-이란 간 정전 협정을 직접 위반하지 않으면서도 사이버전을 수행할 수 있다고 광고하고 있습니다.”
모피섹은 “정치적 목적성을 달성하려는 의도와 ‘서비스형 랜섬웨어’의 범죄성이 결합한 형태의 해킹 조직”이라고 페이투키를 묘사한다. 기본적으로는 정치적 목적을 가지고 움직이는데, 금전적 갈취까지 하는 해킹 조직으로는 북한 라자루스(Lazarus) 정도가 유일하다. 그 전까지 해킹 조직들은 이념 달성을 위한 조직과 돈을 위한 조직으로 분명히 나뉘었었다.
북한과 이란 해커들이 물밑에서 활발히 교류한다는 설도 보안 업계에서는 존재해 왔다. 이념과 돈 모두를 쫓는 북한 해커들의 고유한 특성을 닮은 해킹 조직이 이란에서 출몰했다는 건 이 설이 사실일 가능성이 높다는 걸 시사한다.
해킹 조직 간 교류는 방어자 입장에서 골치 아픈 문제다. 교류를 통해 해커들의 실력이 꾸준히 상향하기 때문이다. 10여년 전만 하더라도 북한과 이란 해커들은 러시아와 중국의 해커에 비해 덜 위협적인 존재로 분류됐었다. 하지만 북한과 이란은 중국과 러시아 해커들과의 꾸준한 교류를 통해 기술을 발전시켜 왔고, 이제 누구도 이 두 나라의 해커들을 무시하지 못한다. 북한과 이란의 해킹 기술 교류는 가까운 미래에 서방 국가와 그 동맹국들에게 실질적인 위협이 될 수 있다는 뜻이 된다.
어떻게 대응해야 하는가
모피섹은 “페이투키가 행동 기반 탐지 기술을 회피할 줄 안다”며 “공격을 사전에 차단하는 유형의 보안 솔루션에 투자해야 한다”고 강조한다. “이건 단지 페이투키에만 해당되는 내용이 아닙니다. 랜섬웨어는 사후 대처보다 사전 예방이 무조건 더 좋습니다. 비용도 적게 들고 효과도 낫죠. 사전 차단에 중점을 둔 보안 설계라면 제로데이 공격과 파일레스 공격에도 큰 효과를 발휘합니다.”
그렇다고 ‘사전 예방’에 모든 역량을 투자해서도 안 된다. 100% 방어라는 건 있을 수 없기 때문이다. 반드시 뚫렸을 때를 위한 대비책도 마련되어 있어야 한다고 모피섹은 강조한다. “사전 예방과 사후 대처는 공존해야만 하는 보안 전략입니다. 하나가 다른 하나를 대체하지 못합니다. 다만 랜섬웨어의 경우 사전 예방에 좀 더 비중을 둬야 하지요. 예방이냐 대처냐, 이건 조화와 균형의 문제이지 선택의 문제가 아닙니다.”
