미국 정보 기관들, 인터록 랜섬웨어에 대한 경보 발령
- FBI, CISA 등 인터록 랜섬웨어 주의하라고 한 목소리
- 인터록, 아시아와 한국도 공략한 적 있어
- 드라이브 바이 다운로드 기법 주로 사용
미국의 연방수사국(FBI)과 사이버 보안 전담 기관인 CISA, 보건복지부(HHS) 등 주요 기관들이 연합해서 보안 경고를 발령했다. 인터록(Interlock)이라는 랜섬웨어 그룹의 활동량이 무섭게 증가하고 있다는 내용이다. 이들은 특히 사회 기반 시설을 표적으로 삼고 있는 것으로 악명이 높다. 이점을 이번 보안 경보도 지적하고 있다.
인터록 랜섬웨어?
인터록은 2024년 9월 처음 발견됐다. 윈도와 리눅스 운영 체제를 노리며, 최근 들어 가상기계를 노리는 데 주력하기 시작했다. 라이시다(Rhysida)라는 유명 랜섬웨어와 비슷한 면을 갖고 있기도 하다. “인터록의 최초 공격 방식은 꽤나 독특합니다. 타 랜섬웨어 그룹들과 달리 드라이브 바이 다운로드(drive-by download)라는 기법을 활용하거든요.” FBI의 설명이다.
드라이브 바이 다운로드는 사용자가 합법적인 사이트에서 유명 소프트웨어(크롬 브라우저나 각종 보안 솔루션 등)의 업데이트를 다운로드 받으려 할 때 개입하여 악성 파일을 심는 전략이다. 합법적인 사이트이지만 공격자가 미리 감염시켜두기 때문에 발생하는 일이다. 피해자들로서는 업데이트가 이뤄졌는지 느끼지조차 못할 때가 많다. 공격자 입장에서는 난이도가 높아도 효과적인 전술이라고 할 수 있다.
최초 침투에 성공한 후 인터록은 웹셸과 코발트스트라이크(Cobalt Strike)와 같은 도구를 재차 심어 피해자 시스템을 제어하기 시작한다. 동시에 같은 네트워크 상에 있는 다른 시스템들로도 이동(횡적 이동)하여 정보를 빼돌린다. 이 때 각종 민감 정보와 개인정보들이 주요 표적이 된다.
“정보를 다 가져갔다면 인터록은 드디어 시스템을 암호화 하기 시작합니다. 암호화가 완료된 파일에는 .interlock이라는 확장자가 붙습니다. 경우에 따라 .1nt3rlock이 되기도 합니다. 피해자가 볼 수 있는 협박 편지를 남겨두는데, 금액을 명시하지 않는 게 보통입니다. 대신 공격자들에게 연락할 방법을 알려줍니다. 토르 브라우저로 접속 가능한 .onion 주소를 제공하는 편입니다.” 연락하지 않는다면 미리 훔쳐둔 정보를 공개한다.
FBI는 경고문을 통해 다음과 같은 다섯 가지 방어 조치들을 취하라고 촉구했다.
1) DNS 필터링과 웹 접근 방화벽을 사용해 최초 접근을 차단한다. 사용자 교육도 병행한다.
2) 패치 : 운영 체제와 소프트웨어, 펌웨어를 최신 상태로 유지한다. 취약점도 다 찾아내 패치한다.
3) 인증 강화 : 모든 서비스들에 다중인증을 적용한다.
4) 망분리 : 랜섬웨어가 횡적으로 이동할 때 원활치 않도록 하기 위해 망을 분리시킨다.
5) 백업 : 중요 데이터를 별도의 오프라인 장소에 보관한다.
인터록은 올해 5월 한국과 일본, 동남아 지역에서 몇몇 사고를 일으키기도 했다. 한국에서 샘플이 탐지된 적도 있다. 따라서 한국의 기업과 기관들도 경계 태세를 강화할 것이 권고된다.
Related Materials
- Interlock Ransomware Unleashes New RAT in Widespread Campaign - Infosecurity Magazine, 2025년
- What is Interlock ransomware and how does it attack Windows and Linux systems? - WebAsha, 2025년
- Unwrapping the emerging Interlock ransomware attack - Cisco Talos Blog, 2024년
- Interlock's ClickFix Trick: One Click, Total Data Compromise - Picus Security, 2025년
