테크레시피

위성 통신 모뎀 데이터 통째로 삭제하는 악성코드

지난 2월 우크라이나와 유럽에 엄청난 피해를 가져온 통신 위성에 대한 사이버 공격이 새로운 와이퍼형 악성코드 애시드레인(AcidRain)에 의한 것이라는 조사 결과가 발표됐다.

보안 기업 센티널원(SentinelOne)에 따르면 이 사이버 공격에는 애시드레인이라고 명명한 멀웨어가 이용됐다는 것. 이 악성코드는 장치 파일명을 총괄해 검색하고 해당 파일을 근본적으로 삭제하는 기능을 탑재했다. 이런 이유로 애시드레인을 이용한 공격자가 위성 통신 장치 파일 시스템이나 펌웨어에 익숙하지 않거나 다른 대상에 전용 가능한 멀웨어 의도가 있다는 걸 시사한다고 분석하고 있다.

애시드레인이 2월 발생한 해킹 원흉으로 밝혀진 직접적 계기는 3월 15일 바이러스포털에 올라온 파일(ukrop)이 계기가 됐다. 이 바이너리 파일은 배포될 때 침입한 라우터나 모뎀 파일 시스템 전체를 파괴한다. 또 플래시 메모리나 SD/MMC카드 같은 스토리지, 가상 블록 기기 등 데이터도 사용할 수 있는 모든 기기 식별자를 사용해 소거해 버린다고 한다. 마지막으로 장치를 재시작해 완전히 사용할 수 없게 한다.

센티널원 측은 애시드레인에 대해 이 바이너리 파일은 파일 시스템과 다양한 알려진 저장장치 파일을 철저하게 지울 것이라고 밝혔다. 발견된 파일명(ukrop)은 우크라이나 작전(Ukraine Operation) 약칭이나 러시아인이 우크라이나인을 가리킬 때 사용하는 말에서 유래한 것으로 추측되는 만큼 애시드레인은 우크라이나에 대한 공격을 염두에 두고 개발된 것으로 분석했다.

비아샛(Viasat) 측은 이 바이너리에 관한 리포트가 자사 사고 조사 결과 리포트에 기재된 사실과 일치한다고 밝혔다. 보도에 따르면 2022년 들어 우크라이나에서 와이퍼형 멀웨어가 특정된 건 이번이 7번째다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사