다양한 유형의 해킹사고 정리(NotPetYa 랜섬웨어, ASUS 공급망 공격, Equifax 드라이브 바이 다운로드)

NotPetya 랜섬웨어 공격 (2017년)

1. 사건 개요 

• 발생 시기: 2017년 6월 27일
• 최초 발원지: 우크라이나
• 최초 유포 경로: 우크라이나의 세무 회계 소프트웨어인 ’M.E.Doc’의 업데이트 서버가 해킹되어 악성코드가 포함된 업데이트 파일이 배포
• 명칭의 유래: 기존의 'Petya' 랜섬웨어와 유사한 코드를 공유하지만, 복구가 불가능하다는 치명적인 차이점 때문에 보안 업계에서 Petya가 아니다(NotPetya)라고 명명
• 공격 배후: 미국과 영국 정보당국은 이 공격의 배후로 러시아 군정보국(GRU) 소속의 해킹 그룹 샌드웜(Sandworm)을 지목

2. 주요 내용 및 특징 

① 전파 방식 (Lateral Movement)

NotPetya는 네트워크 내에서 스스로 복제하여 퍼지는 웜(Worm)의 특성을 가졌으며, 다음과 같은 강력한 도구들을 사용

• EternalBlue & EternalRomance: NSA에서 유출된 Windows SMB 취약점(MS17-010)을 악용하여 패치가 되지 않은 시스템에 침투-> EternalBlue & EternalRomance : 미국 국가안보국(NSA)이 개발한 것으로 알려진 강력한 윈도우 해킹 도구(익스플로잇)들로, 2017년 섀도우 브로커스(Shadow Brokers)라는 해커 그룹에 의해 유출
• Mimikatz (자격 증명 탈취): 감염된 PC의 메모리에서 관리자 계정 정보를 추출하여, 취약점 패치가 완료된 최신 OS까지도 네트워크를 통해 감염- > Mimikatz : 프랑스 개발자 Benjamin Delpy가 인증 프로토콜의 취약점을 보여주기 위해 개발한 Windows 메모리 내 비밀번호 추출 및 인증 정보 탈취 도구

② 파괴 메커니즘 (Destructive Nature)

일반적인 랜섬웨어는 돈을 지불하면 복구할 수 있는 암호화를 수행하지만, NotPetya는 복구가 불가능하게 설계되어 데이터를 영구적으로 파괴하려는 목적을 가진 와이퍼(Wiper)공격에 해당.

• MBR(Master Boot Record) 변조: 하드디스크의 부팅 영역을 덮어써서 시스템 부팅 자체를 막음
• MFT(Master File Table) 암호화: 파일 시스템의 지도 역할을 하는 MFT를 암호화하여 파일의 위치 정보를 파괴
• 복구 키 폐기: 암호화에 사용된 키를 공격자조차 알 수 없게 설계하여, 대가(랜섬머니)를 지불하더라도 데이터 복구가 불가능

3. AD(Active Directory)를 활용한 자동 확산

Active Directory는 기업 네트워크 내의 모든 사용자, 컴퓨터, 권한을 중앙에서 관리하는 시스템으로, NotPetya는 이 AD 시스템의 특성을 악용해 단 몇 분 만에 수천 대의 PC를 감염시켰음

 

① 자격 증명 탈취 (Credential Theft)

NotPetya는 감염된 첫 번째 PC에서 Mimikatz라는 도구의 변종을 실행하여 윈도우 메모리(LSASS 프로세스) 내에 남아있는 관리자의 아이디와 비밀번호(해시 값)를 탈취

 

② 도메인 장악 및 전파

관리자 권한을 손에 넣으면, NotPetya는 AD 네트워크에 연결된 다른 모든 서버와 PC에 접근이 가능해짐.

4. 마스터 부트 레코드(MBR) 감염 및 파괴

NotPetya는 파일을 암호화하는 일반 랜섬웨어와 달리, 컴퓨터가 켜지자마자 작동하는 MBR(Master Boot Record)을 조작하여 시스템을 아예 먹통으로 만듬.

-> MBR이란?

하드디스크의 가장 첫 번째 섹터(512바이트)로, 컴퓨터 전원을 켰을 때 운영체제(OS)가 어디에 있는지 찾아내어 부팅을 시작하게 하는 안내 지도 역할

 

NotPetya의 MBR 공격 단계

1. MBR 덮어쓰기: 원래의 부팅 코드를 삭제하고 NotPetya 전용 악성 부트로더를 심음
2. 강제 재부팅: 시스템에 치명적인 오류를 일으키거나 특정 명령을 내려 PC를 강제로 재시작하게 만듬
3. 가짜 체크디스크(Chkdsk) 실행: 재부팅 후 윈도우 대신 공격자가 만든 가짜 화면이 뜹니다. 시스템 파일을 복구 중이라는 메시지를 띄우지만, 실제로는 배경에서 MFT(Master File Table)를 암호화함
4. 협박 메시지 출력: 암호화가 끝나면 "당신의 파일이 암호화되었으니 비트코인을 보내라"는 메시지를 출력. 하지만 MBR 자체가 변조되어 원래의 부팅 경로가 사라졌기 때문에, 키를 넣어도 돌아갈 방법이 존재하지 않음

5. 감염과 피해 규모

컴퓨터가 재부팅된 후, 붉은색 글씨로 다음과 같은 메시지가 출력.

"당신의 파일은 더 이상 접근할 수 없습니다. 파일을 복구하고 싶다면 300달러 상당의 비트코인을 아래 주소로 보내십시오."

 

구체적으로 요구한 사항은 다음과 같았음.

• 금액: 300달러 ($300) 상당의 비트코인
• 지불처: 특정 비트코인 지갑 주소
• 복구 방법: 입금 후 본인의 '설치 키(Installation Key)'를 특정 이메일(wowsmith12345@posteo.net)로 발송할 것

① 복구 불가능한 암호화 키

일반적인 랜섬웨어는 파일을 암호화할 때 복구에 필요한 키를 서버에 저장하거나 특정 규칙에 따라 생성하지만 NotPetya는 화면에 보여주는 개인 설치 ID(Installation ID)를 무작위 숫자로 생성. 즉, 공격자 본인도 어떤 키로 암호화되었는지 알 수 없는 구조.

② 소통 창구의 부재

공격자가 제시한 이메일 주소(wowsmith12345@posteo.net)는 공격이 시작된 지 얼마 지나지 않아 이메일 서비스 제공업체에 의해 차단되버려서 돈을 보내더라도 공격자에게 연락할 방법 자체가 없어짐

③ 피해 규모

구분 내용

전체 경제적 손실	전 세계적으로 약 100억 달러(약 13조 원) 이상
주요 피해 기업	Maersk(세계 최대 해운사, 3억 달러 손실), Merck(제약사), FedEx(물류), Rosneft(에너지) 등
사회적 파장	우크라이나의 은행, 지하철, 전기망, 공항 등 국가 기간 시설 마비

4. 대응 방안 및 교훈

NotPetya 사건 이후 보안 업계는 단순 방어에서 복원력 중심으로 패러다임이 변화.

• 지속적인 보안 패치 관리: Microsoft가 배포한 MS17-010 패치를 즉시 적용하는 것이 가장 기본적인 방어선, 레거시 시스템의 경우 네트워크 격리가 필수적
• 망 분리 및 네트워크 세분화: 감염이 발생하더라도 네트워크 전체로 확산되지 않도록 부서별, 기능별로 네트워크를 분리해야 함
• EDR 도입: 단순 백신을 넘어, AD 내에서 발생하는 비정상적인 계정 활동(Mimikatz 실행 등)을 탐지 할 수 있는 EDR이 필요함
• 최소 권한 원칙 (Least Privilege): 모든 사용자가 관리자 권한을 가질 필요는 없습니다. Mimikatz와 같은 도구에 당하지 않도록 관리자 계정의 네트워크 로그인을 엄격히 제한
• 오프라인 백업 전략: 네트워크에 연결된 백업은 NotPetya와 같은 웜에 의해 함께 파괴될 수 있으므로 '3-2-1 법칙'(3개의 복사본, 2개의 매체, 1개의 오프라인 보관)을 준수해야 함
• 공급망 보안 (Supply Chain Security): 신뢰할 수 있는 소프트웨어 업데이트라도 검증 과정을 거쳐야 함

---

대만 기업 ASUS 공급망 해킹 사건 (2019년)

1. 사건 개요

• 2019년 보안업체 연구진은 ASUS의 공식 업데이트 시스템이 해킹된 공급망 공격(Supply Chain Attack) 사건을 발견
• 공격자는 ASUS의 Live Update Utility(자동 업데이트 프로그램)를 변조하여 악성코드를 포함한 업데이트 파일을 사용자에게 배포함
• 이 업데이트는 ASUS 공식 업데이트 서버에서 배포되었고 정상 인증서로 서명되어 있었기 때문에 사용자와 보안 프로그램이 정상 업데이트로 인식함
• 그 결과 전 세계적으로 약 50만~100만 대 이상의 PC가 악성 업데이트를 다운로드한 것으로 추정됨

-> 업데이트 서버 기반 공급망 공격의 대표 사례

2. 공격 과정

• ASUS 내부 시스템 침입
  • 공격자가 ASUS 네트워크 또는 업데이트 관리 서버에 침입
• 정상 업데이트 프로그램 변조
  • 공격자가 기존 업데이트 프로그램을 수정하여 백도어(backdoor) 악성코드를 삽입
  • 파일 크기까지 정상 파일과 동일하게 유지하여 탐지를 어렵게 만들음
• 정상 인증서로 코드 서명
  • ASUS의 실제 코드 서명 인증서를 사용하여 악성 업데이트에 서명
• 업데이트 서버를 통한 배포
  • 변조된 업데이트는 공식 ASUS 업데이트 서버를 통해 사용자에게 배포
• 감염된 PC의 MAC 주소를 확인하여 약 600개의 특정 시스템만 추가 공격 대상으로 선택

3. 업데이트 서버 무결성 검사란?

• 사용자 기기(Client)가 내려받는 업데이트 파일이 개발사에서 만든 '진짜' 파일이 맞는지, 전송 과정에서 해커가 악성코드를 심는 등의 '변조'를 하지 않았는지 확인하는 절차 
• 즉, 클라이언트(사용자 PC 또는 시스템)가 업데이트를 설치하기 전에 업데이트 파일이 정상적인 개발사에서 만든 것인지, 전송 과정에서 공격자가 수정하지 않았는지, 파일이 손상되지 않았는지 확인함
• 그렇다면 변조는 어떻게?

• 업데이트 시스템은 공격자가 가장 노리는 공격 지점 중 하나
  • ① MITM 공격 (중간자 공격)
    • 공격자가 업데이트 통신을 가로채서 악성 업데이트를 전달한다.
  • ② 공급망 공격 (Supply Chain Attack)
    • 개발사의 빌드 서버 또는 업데이트 서버가 해킹되는 경우
      • 1 .공격자가 개발사 내부 시스템 침입
      • 2. 정상 소프트웨어에 악성코드 삽입
      • 3. 정상 서명 후 업데이트 배포
      • 4. 사용자들이 정상 업데이트처럼 설치
  • ③ 코드 서명 키 탈취
    • 공격자가 개발사의 서명 키를 탈취해서 정상 업데이트로 위장

4. 대응 방안

1) 코드 서명 키 보호 강화

• 코드 서명 키 HSM(Hardware Security Module) 저장
• 키 접근 다중 인증
• 인증서 주기적 교체

2) 업데이트 서버 접근 통제

• 서버 접근 Zero Trust 정책
• 관리자 접근 MFA
• 내부망 네트워크 분리

3) 다중 무결성 검증

단순 디지털 서명 말고도 추가 검증 진행

• Hash 검증
• Signature 검증
• Update manifest 검증

4) 업데이트 서버 모니터링

업데이트 서버 변경을 실시간 탐지

• EDR
• SIEM 로그 분석
• 파일 무결성 모니터링(FIM)

5) 단계적 업데이트 배포

모든 사용자에게 한 번에 배포하지 않고 단계적으로 배포

---

Equifax 드라이브 바이 다운로드 (2017년)

1. 사건 개요

• 시기: 2017년 10월 (대규모 데이터 유출 사고 수습 중 발생)
• 사고 내용: 공식 홈페이지 내 신용정보 조회 링크가 가짜 플래시 설치 페이지로 리다이렉션됨
• 발생 원인: 타사 광고 네트워크 및 분석 도구(서드파티 스크립트) 해킹을 통한 악성 링크 삽입
• 취약점: 미국 신용평가사인 Equifax에 가짜 어도비 플래시 플레이어 업데이트를 활용한 드라이브 바이 다운로드 취약점

2. 중점 사항

1) 가짜 플래시 플레이어 다운로드

• 공격 형태: 사용자가 신용 보고서 관련 페이지에 접속하면, 외부 악성 사이트로 리다이렉션되며 Adobe Flash Player 업데이트가 필요하다는 가짜 팝업 창이 노출
• 동작 방식: 사용자가 공식 사이트의 안내로 착각하여 업데이트를 승인하면, 실제로는 애드웨어(Adware.Eorezo 등)와 악성코드가 포함된 실행 파일(MediaDownloaderIron.exe)이 다운로드 
• 위협 요소: 정보 유출 사태 이후 자신의 신용 정보를 확인하려는 피해자들의 불안한 심리와, 신뢰도가 높은 공식 도메인에서 발생하는 알림이라는 점을 악용하여 사용자의 의심을 차단

2) 드라이브 바이 다운로드(DBD-Drive-By Download) 취약점

DBD란, 사용자가 특정 웹사이트에 방문하기만 해도, 자신도 모르는 사이에 악성코드가 다운로드 및 실행되는 해킹 기법

이 사건에서는 사회공학적 기법을 섞어 가짜 업데이트 버튼 클릭을 유도하는 방식으로 DBD가 이용

• 서드파티(Third-Party) 공급망 스크립트 취약점: 관리자가 통제하기 어려운 외부 업체의 자바스크립트가 주요 통로로 사용, 사이트 패치가 완벽해도 외부 스크립트의 무결성이 검증되지 않으면 방문자 전체가 위험에 노출
• 사용자 인지 및 개입의 최소화: 정상적인 소프트웨어 업데이트로 위장하여 자발적인 클릭을 유도함으로써 브라우저의 보안 경고를 우회(※ 전통적인 DBD는 브라우저나 플러그인의 취약점을 이용해 사용자 클릭 없이 백그라운드에서 악성코드를 실행)

3) 악성코드 유포지와 경유지 개념

사용자 → 공식 사이트 → 경유지(다단계) → 유포지 → 악성코드 다운로드

 

이 공격은 탐지 및 추적을 회피하기 위해 다단계 리다이렉션 체인을 활용하였음

• 경유지 (Transit Site):Equifax 사이트 자체는 해킹되지 않았으나, 사이트에 삽입되어 있던 타사 웹 분석 스크립트(Fireclick)가 변조, 이 스크립트가 실행되면서 방문자의 브라우저는 공격자가 통제하는 여러 악성 도메인으로 리다이렉트 
• 타깃 웹사이트의 방문자를 최종 목적지로 몰래 연결해 주는 중간 다리 역할을 하였음
• 유포지 (Distribution Site):여러 경유지를 거친 브라우저는 최종적으로 유포지 서버에 도달하여 악성 파일을 내려받게 됨, 네트워크 보안 장비가 유포지를 차단하더라도, 공격자는 경유지 설정만 바꾸어 다른 유포지로 쉽게 우회할 수 있음
• 실제 가짜 업데이트 파일이 호스팅되어 방문자에게 다운로드되는 최종 서버임

3. 추가 사항: 대응 방안 및 시사점

1) 웹 사이트 무결성 모니터링: 외부 스크립트 관리(타사 광고 등의 변조 여부 실시간 감시)

2) 브라우저 및 소프트웨어 보안 강화: 취약 플러그인 제거(보안에 취약한 Flash 사용 중단 및 브라우저 최신 패치 강제)

3) 엔드포인트 보안 도입: 악성 파일이 유입되더라도 실행 직전 탐지 및 자동 차단 체계 구축

4) 시사점

공식 웹사이트조차 공격 경로가 될 수 있기 때문에, 외부 스크립트와 사용자 단말까지 포함한 통합 보안 필요