지난해 말, 러시아 정부 산하 해커 집단이 미국 IT 소프트웨어 공급 기업 솔라윈즈(SolarWinds)를 대상으로 한 대규모 랜섬웨어 공격으로 미국 정부 기관과 전 세계 주요 기업 등 총 1만 8,000개 기관의 네트워크가 보안 공격을 받았다.
지난달, 제네바에서 열린 미러 정상회담에서 조 바이든 대통령이 블라디미르 푸틴 대통령에게 사이버 공격 문제를 직접 이야기하는 등 외교 관계의 주요 키워드로도 떠올랐으며, 미국 정부와 국회가 랜섬웨어 문제를 여전히 크게 경계하고 있다.
정부 차원에서도 집중하고 있으니 문제가 어느 정도 완화됐을까?
아니다. 최근, 미국 기업을 겨냥한 또 다른 랜섬웨어 공격이 발생한 것만 보더라도 사이버 공격의 위협이 줄어들지 않았음을 짐작할 수 있다.
블리핑 컴퓨터, 사이버와이어 등 다수 외신에 따르면, 미국 사이버인프라보안국(CISA)이 인터넷 보안 기업 소닉월(SonicWall)을 노린 랜섬웨어 공격을 경고했다.
CISA는 랜섬웨어 세력이 펌웨어 지원 기간 만료를 앞둔 소닉월의 보안 모바일 접근(SMA) 기능 100종과 보안 원격 접근(SRA) 제품에서 발견된 취약점을 노리면서 랜섬웨어 공격 수단으로 악용한 사실을 확인했다.
CISA는 소닉월의 보안 서비스를 사용하는 고객까지 랜섬웨어 피해로 타격을 입을 수 있다는 점에 주목해, 소닉월 고객을 대상으로 랜섬웨어 공격의 위험성이 매우 클 수 있다는 사실을 직접 경고하는 메일을 발송했다.
또, 사이버 보안 기업 크라우드스트라이크(CrowdStrike)는 소닉월을 노린 랜섬웨어는 '헬로키티(HelloKitty)'라는 랜섬웨어 조직을 포함해 다수 랜섬웨어 조직의 공격이 함께 결합돼, 공격이 확산됐다고 발표했다.
헬로키티는 지난해 11월에 처음 알려진 랜섬웨어 조직이며, 지금까지 CD 프로젝트 레드(CD Projekt Red)와 사이버펑크 2077(Cyberpunk 2077), 위처 3(Witcher 3) 등 다수 게임 소스코드 시스템을 암호화한 것으로 알려졌다.
헬로키티 등 여러 랜섬웨어 조직은 주로 패치 작업이 되지 않은 소닉월의 SMA와 SRA를 겨냥해 공격을 개시했다. 특히, 소닉월 VPN 취약점인 CVE-2019-7481을 노린 공격이 가장 많이 발견됏으며, 지금까지 SRA 4600 기기에 피해를 준 것으로 관측됐다.
또, 위협 정보 보안 기업 맨디언트(Mandiant)는 UNC2447이라는 이름으로 알려진 사이버 범죄 조직도 소닉월 100 시리즈의 VPN이 설치된 제품의 CVE-2019-7481을 노린 랜섬웨어 공격을 펼쳐, '파이브핸드(FiveHands)'라는 이름의 신형 변종 랜섬웨어를 배포했다고 발표했다.
한편, 소닉월 대변인은 이메일 공식 성명과 함께 헬로키티 랜섬웨어와 관련 "이번에 랜섬웨어 공격 표적이 된 소닉월의 서비스 모두 오래전부터 알려진 취약점을 노리고 발생했다. 또, 올해 출시된 최신 버전은 헬로키티 랜섬웨어의 원인이 될 수 있는 취약점을 해결할 패치 작업을 마친 상태로 배포됐다"라고 밝혔다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
