새로운 소식

### 최근 다시 나타난 로빈후드 랜섬웨어, 보안 솔루션부터 차단해 **대만 회사 기가바이트의 정상 인증서 활용해...정상이긴 하지만 취약한 버전** **패치가 완료되고 보안 솔루션 가동시킨 시스템도 당할 수밖에 없는 공격 원리** 로빈후드(RobbinHood)라는 랜섬웨어를 활용하는 사이버 공격자들이 최근 정상적으로 서명된 하드웨어 드라이버들을 사용해 보안 도구들을 삭제한 후에 파일 암호화를 시작하는, 새로운 수법을 들고 나타났다. 이러한 공격에서 익스플로잇 되는 건 CVE-2019-19320이라는 취약점이라고 보안 업체 소포스(Sophos)는 밝혔다. 이 취약점은 대만의 머더보드 생산업체인 기가바이트(Gigabyte)가 예전에 출시했던 소프트웨어 패키지에 포함되어 있는, 서명된 드라이버 내에 존재하는 것으로 밝혀졌다. 취약점 패치가 이뤄진 건 2018년이지만, 기가바이트가 패치되지 않은 소프트웨어를 계속해서 사용해왔기 때문에 커다란 위협이 되고 있다. 격자들은 이렇게 여러 가지 요인으로 취약하게 된 기가바이트의 드라이버를 악용해 두 번째 드라이버를 윈도우 장비에 심는다. 이 드라이버는 악성이며 서명되지 않은 채다. 이 두 번째 드라이버는 보안 툴로부터 발생한 프로세스와 파일들을 마음대로 제거할 수 있게 되는데, 이 때문에 다음에 오는 랜섬웨어가 자유롭게 활동할 수 있게 된다. 이러한 방식으로 윈도우 7, 8, 10의 커널 메모리 설정 내용을 변경하는 것도 가능하다. “악성 드라이버에는 ‘킬스위치’ 코드만 들어 있습니다. 그 외에는 아무 것도 없습니다.” 로만의 설명이다. “모든 것이 완벽히 패치된 윈도우 기반 컴퓨터를 사용한다고 하더라도, 공격자들은 가짜 인증서를 통해 방어 시스템을 무력화 한 뒤 랜섬웨어를 심어 공격을 할 수 있게 됩니다. 그것이 이번 로빈후드 캠페인의 무서운 점입니다.” 소포스는 “취약하긴 하지만 정상적으로 서명된 서드파티 인증서를 통해 랜섬웨어를 퍼트리는 공격은 처음 봤다”고 말한다. “특히 이를 방어 장치 무력화에 사용하고, 그런 뒤에 다시 랜섬웨어를 가동시키는 수법은 듣도 보도 못했습니다.” 조사를 진행하며 소포스의 보안 전문가들은 “이 공격을 진행하고 있는 자가 로빈후드를 개발한 자와 동일할 가능성이 높음을 나타내는 증거를 여럿 찾아냈다”고 한다. 로빈후드는 지난 해 5월 볼티모어 시를 마비시킨 것으로 유명한 랜섬웨어다. 로만은 세 가지 요소가 조화된 방어법이 필요하다고 권장했다. “현대의 공격자들은 셀 수 없을 만큼 다양한 기술들을 사용합니다. 그렇기 때문에 방어하는 입장에서도 다양한 기술들을 도입해야 합니다. 1) 다단계로 진행되는 공격을 훼방하는 기술, 2) 공공 클라우드를 포함하는 보안 전략, 3) 엔드포인트 보호 소프트웨어가 효과적입니다. 이 것이 첫 번째 요소입니다.” 두 번째는 “다중 인증, 복잡한 비밀번호, 제한된 권한 활용, 주기적 패치, 주기적 백업과 같은 강력한 보안 실천 사항을 준수하는 것”이라고 한다. “마지막은 조직 구성원들을 대상으로 하는 보안 교육입니다. 이는 자주, 끊임없이 해야 효과를 볼 수 있습니다.” **3줄 요약** **1. 로빈후드 랜섬웨어 캠페인, 최근 기가바이트의 디지털 인증서 활용.** **2. 이 인증서는 취약하다는 게 알려졌지만 폐지도 되지 않고, 계속 사용되어 오는 중.** **3. 공격자들은 이를 통해 완벽히 방어가 된 시스템에라도 침투해 방어 도구 무력화 시키고 나서 공격 시작.**