NSA 해킹도구 악용 '여전'

[아이뉴스24 성지은 기자] 미국가안보국(NSA)이 만든 해킹도구 '이터널 블루(Eternal Blue)'가 여전히 악용되는 것으로 나타났다.

이터널 블루는 해커 그룹 섀도 브로커스가 NSA에서 훔쳐 온라인에 공개한 이후 지속 악용되고 있다. 작년 5월 전 세계를 강타한 '워너크라이 랜섬웨어' 대란 시 악용된 바 있다.

지난해 이를 보완하는 패치가 나왔지만, 보안 업데이트를 하지 않은 기업이 많아 이터널 블루 활용 공격이 지속되고 있다. 최근 랜섬웨어 대란 때보다 악용 사례가 증가했단 조사 결과도 나왔다.

14일 글로벌 사이버보안기업 '이셋'에 따르면, 이터널 블루 활용 공격이 워너크라이 랜섬웨어 대란 때보다 늘었다. 이셋은 클라우드 기반의 위협분석 시스템 '이셋라이브그리드'를 통해 이터널 블루 활용 공격을 탐지했다.

이셋 보안연구원은 "지난해 워너크라이 랜섬웨어 대란 이후 탐지된 이터널 블루 활용 공격은 하루 수백건에 불과할 정도로 줄었다"며 "그러나 작년 9월 이후 이터널 블루 활용 공격이 다시 증가하면서 올해 4월 정점을 찍었다"고 말했다.

이터널 블루는 마이크로소프트(MS)의 윈도 운영체제(OS) 취약점을 이용하는 해킹도구다. 윈도 파일 공유에 사용되는 서버메시지블록(SMB) 취약점을 악용하며 네트워크에 연결된 PC 등으로 보안 위협을 확산하는 특징을 지녔다. NSA는 약 6년 전 정보수집 목적으로 해당 보안 취약점을 악용, 해킹도구를 제작한 거로 알려졌다.

MS는 작년 3월 보안 패치를 제공했으나 업데이트를 하지 않은 이용자들이 많아 워너크라이 랜섬웨어 대란 시 악용됐다. 작년 5월 워너크라이 랜섬웨어는 이터널 블루를 활용, 공공 인터넷과 내부 네트워크로 랜섬웨어를 빠르게 확산시켰다.

한 대의 PC가 감염되면 이와 연결되고 보안에 취약한 다른 PC를 찾아내 무작위로 공격하고 주요 파일을 암호화하는 방식으로 피해를 확산시켰다.

당시 우크라이나 키예프 보리스필 국제공항, 러시아 국영 석유회사 로스네프티, 덴마크 해운사 A.P.몰러머스크 등 여러 기관과 기업이 랜섬웨어 공격에 노출됐다.

보안동향을 담은 'IBM X-포스' 조사에 따르면, 이터널 블루를 악용한 워너크라이 랜섬웨어 공격으로 전 세계 150여개국 기업에서 서비스 중지, 시스템 복구 등으로 약 80억달러(한화 8조5천여억원)의 피해가 발생한 것으로 추산됐다.

악성코드 분석 전문기업 '멀웨어헌터팀'에 따르면, 최근 '사탄 랜섬웨어'는 이터널 블루 취약점을 악용해 네트워크로 전파되고 있다. 또 최근 해커들은 이터널 블루를 악용해 채굴형 악성코드를 확산시키고 수익을 올리는 것으로 조사됐다.

채굴형 악성코드란 사용자 몰래 PC나 서버에 암호화폐 채굴 프로그램을 설치하고 IT 인프라를 무단으로 사용하는 악성코드를 말한다. 이터널 블루를 사용해 윈도 시스템을 악성코드에 감염시키고 암호화폐 '모네로' 등을 채굴하는 악성코드가 올해 발견된 바 있다. 이처럼 여러 사이버 공격에 이터널 블루가 악용되면서 최근 탐지 사례도 증가한 거로 보인다.

국내 보안 전문가는 "최근 국내서도 이터널 블루를 활용해 암호화폐 '일렉트로니움'을 채굴하는 사례가 일부 발견됐다"며 "네트워크를 통해 연결된 시스템으로 보안 위협을 확산하는 SMB 취약점 특성상 보안 패치가 중요하다"고 조언했다.