[디지털데일리 이종현기자] 금융보안원이 지난 7월 콜택시 마비 사태를 일으키며 국내에 피해를 일으킨 랜섬웨어 매스스캔(Masscan)에 대한 심층 분석 보고서를 발간했다고 14일 밝혔다.
금융보안원에 따르면 통상 랜섬웨어의 이름은 확장자, 랜섬노트(협박문) 등에 나타난 이름, 유출 사이트에 표시하는 이름으로 불린다. 이번 매스스캔 랜섬웨어는 파일을 암호화하고 파일 확장자에 ‘masscan’이라는 문자열을 추가하는 특징을 보여 매스스캔 랜섬웨어로 불리게 됐다.
금융보안원은 매스스캔 랜섬웨어 공격이 국내 기업을 대상으로 증가하고 있으며, 금융권 대상 공격 시도도 포착돼 추가 피해를 막기 위해 공격 수법을 심층 분석한 보고서를 발간했다.
보고서에서는 매스스캔 랜섬웨어의 사고 사례 분석, 공격에 사용된 도구 및 기능, 랜섬웨어 상세 분석 등을 다뤘다. 초기 데이터베이스(DB) 서버 침투부터 공격도구 다운로드, 다른 공격 대상 물색, 관리자 계정 획득, 랜섬웨어 감염까지 전 과정을 타임라인으로 분석하고, 랜섬웨어 유포에 사용된 전략, 기술, 절차(TTP)를 도출했다.
또 공격자가 DB 서버 침투 후 시스템을 장악하고 관리자 계정을 획득, 랜섬웨어를 실행하기 위해 사용한 12종의 도구 및 기능과 시스템 복원을 방해하기 위해 수행하는 기능, 복호화를 하기 위해 수행하는 지능적 전략 등 내용도 심층적으로 살폈다.
김철웅 금융보안원 원장은 “지속되는 랜섬웨어 위협에 따라 2023년 디지털 금융 및 사이버 보안 이슈로 ‘랜섬웨어, 피싱 앱 등 사이버 위협의 끝없는 진화’를 선정해 금융권 랜섬웨어 공격 동향을 예의주시하고 있다. 기업에 대해 피해가 발생하지 않도록 지속적으로 랜섬웨어를 추적·분석하고 금융회사뿐만 아니라 필요로 하는 모두와 관련 정보를 공유하겠다”고 말했다.