새롭게 등장한 랜섬웨어 그룹 ‘유레이(Yurei)’가 데이터 탈취와 암호화 중심으로 활동하고 있다. 그러나 몸값 요구 절차에서 코드 오류가 확인돼 보안 담당자가 활용할 수 있는 허점도 드러났다.
유레이라는 새 랜섬웨어 그룹이 등장해 이중 갈취 방식을 채택하고 있다. 이 그룹은 피해자의 파일을 암호화하고 민감한 데이터를 탈취한 뒤, 복호화와 탈취 데이터의 비공개를 조건으로 몸값을 요구한다.
체크포인트 리서치(Check Point Research)가 9월 5일 처음 발견한 해당 랜섬웨어 그룹은 이미 3개 기업을 공격했다. 피해 기업에는 스리랑카 소재 식품 제조사 미드시티마케팅(Midcity Marketing)과 인도 및 나이지리아의 기업이 있었다.
체크포인트 리서치는 유레이의 근거지가 모로코일 가능성이 있다고 밝혔다.
보안업계에 따르면, 유레이 랜섬웨어는 기업을 공격할 때 모든 드라이브를 탐색한 뒤 병렬 방식으로 파일을 암호화해 ‘.Yurei’ 확장자를 붙인다. 암호화 과정에서 유레이는 차차20(ChaCha20) 알고리즘으로 무작위 키와 각 파일별 일회성 임의 값을 생성하고, 공격자의 공개 키를 이용해 ECIES 방식으로 다시 암호화한다.
이후 피해자의 바탕화면을 변경하려 시도하지만, 유레이 개발자가 월페이퍼 URL을 입력하지 않아 몸값 요구문 대신 단색 배경만 표시된다. 암호화가 끝나면 악성코드는 새로운 루틴으로 전환해 연결되는 네트워크 드라이브를 지속적으로 감시하며 추가 암호화를 수행한다. 이후 유레이는 추가 소통과 금액 협상을 진행하기 위해 ‘.onion’ 페이지를 제공한다고 체크포인트 리서치는 보고서에서 밝혔다.
오픈소스 코드가 빠른 진입을 지원
유레이는 고(Go) 언어로 작성된 오픈소스 랜섬웨어 코드 프린스-랜섬웨어(Prince-Ransomware)를 기반으로 제작됐으며 일부 수정만 적용됐다. 체크포인트 리서치에 따르면 공격자가 바이너리에서 심볼을 제거하지 않아 함수명과 모듈명이 그대로 남아있었고, 이를 통해 코드 출처가 확인됐다. 동일한 랜섬웨어 코드베이스가 과거 크레이지헌터(CrazyHunter) 등의 공격에서도 이미 사용된 바 있는 것으로 나타났다.
이는 위협 행위자가 개발 역량이나 큰 노력 없이도 오픈소스 랜섬웨어 프로젝트를 활용해 쉽고 빠르게 랜섬웨어 공격에 뛰어들 수 있음을 보여준다.
특히 오픈소스 랜섬웨어 코드는 별도의 연구 개발(R&D) 과정이 필요 없기 때문에 신규 그룹의 진입 장벽을 크게 낮춘다. 안쿠라 컨설팅(Ankura Consulting) 인도 수석 전무 아밋 자주는 “턴키 방식의 코드베이스와 빌드 스크립트, 그리고 작동 가능한 몸값 요구 절차 덕분에 기술력이 부족한 공격자도 몇 달이 아니라 며칠 만에 변종을 배포할 수 있다”라며, “브랜딩, 동시성 조정, C2 엔드포인트 변경 같은 최소한의 수정만으로도 새로운 그룹이 즉시 데이터 탈취를 수익화할 수 있다. 이로 인해 경쟁의 중심이 기술 개발에서 타깃 선정, 사회적 압박, 협상 전략으로 이동하고 있다”라고 설명했다.
프리무스 파트너스(Primus Partners) 공동설립자 겸 대표 데브루프 다르는 “대규모 개발팀이 필요하지 않다. 소규모 인원만으로도 몇 가지 수정만 하면 바로 실행할 수 있다. 비용도 적게 들고 속도도 빠르며, 데이터 탈취와 유출 위협이 유지되는 한 조잡한 버전이라도 충분히 수익을 창출할 수 있다”라고 진단했다.
다운타임 이상의 위협
이번 이중 갈취 랜섬웨어는 아직 초기 버전으로 보이며 여러 허점이 존재한다. 일반적으로 랜섬웨어는 피해자가 윈도우 내장 복구 기능을 사용하지 못하도록 섀도우 복사본을 찾아 삭제한다. 그러나 유레이는 이를 삭제하지 않았다. 복사본이 활성화돼 있다면 피해자가 협상하지 않고도 이전 시점 스냅샷으로 파일을 복원할 수 있다.
그러나 데이터가 탈취된 경우에는 단순 백업만으로 문제를 해결할 수 없다. 다르는 “기업이 시스템을 복원하더라도 공격자는 여전히 탈취한 데이터를 공개하겠다고 위협할 수 있다. 이는 규제 벌금, 소송, 평판 손상, 지식 재산 유출 같은 새로운 위험을 불러온다. 단순한 다운타임 문제가 아니라, 시스템이 정상화된 이후에도 장기간 기업에 영향을 미치는 더 큰 이슈”라고 분석했다.
오래 지속되지 않는 결함
이 같은 결함은 대체로 오래 지속되지 않는다. 공격자는 차기 버전에서 손쉽게 이를 보완할 수 있으며, CISO는 다음 버전에서 이런 허점이 사라질 것을 염두에 둬야 한다.
자주는 “기업은 인터넷 노출 서비스 강화, 피싱 저항형 다단계 인증(MFA) 적용, 구식 인증 제거를 통해 초기 침투를 차단해야 한다. 또한 출구 통제 기능을 갖춘 데이터 유출 방지(DLP)를 배치하고, UEBA(사용자 및 엔터티 행동 분석)를 대량 파일 접근에 맞게 조정하며 클라우드 스토리지와 관리형 파일 전송(MFT)을 모니터링해야 한다”라고 설명했다.
그는 이어 “공격 확산을 막기 위해 조직은 액티브 디렉터리와 핵심 데이터 존을 분리하고 적시 관리(JIT) 및 특권 접근 관리(PAM)를 시행해야 하며, 사고 대응 커뮤니케이션과 법적 절차도 미리 준비해야 한다”라고 조언했다.
또한 자주는 “기업은 변경 불가 백업과 함께 오픈소스 기반 지표(프린스/유레이 빌드 아티팩트, 파워쉘 패턴, 차차20/ECIES 마커)에 대한 위협 헌팅을 통해 지능형 회복탄력성을 계획하고 모방 버전에 대한 신속한 인텔리전스를 구독해야 한다. 또한 공급망 리스크 관리 차원에서, 네트워크나 데이터 접근 권한을 가진 서드파티 업체에 대해 MFA, EDR, 로깅을 의무화하고 계약서에 킬스위치 조항을 사전에 포함시켜야 한다”라고 말했다.
dl-ciokorea@foundryco.com
