출처 : https://www.boannews.com/media/view.asp?idx=117997

랜섬웨어 공격자들의 발걸음이 가벼워지고 있다. 그러면서 피해가 광범위하게 퍼지고 있다. 대신 야트막하다. 이 점을 일부 보안 전문가들이 파고들었다.

[보안뉴스 문가용 기자] 랜섬웨어에 당한 피해자들에게 희소식이 있다. 랜섬웨어 공격으로 암호화 된 파일 일부를 복구시켜주는 도구가 개발됐다는 것이다. 이 도구는 현재 깃허브를 통해 무료로 배포되고 있다. 모든 랜섬웨어로부터 몽땅 복구시켜주는 건 아니지만, 일부 파일의 경우 확실한 복구가 가능하다고 한다. 누구에게 돈을 낼 필요도 없고, 복호화 키를 확보할 필요도 없다.

이 도구를 이해하려면 먼저 랜섬웨어 운영자들이 어떤 식으로 공격을 하는지를 알아야 한다. 특히 ‘간헐적 암호화’라는 전략에 대한 이해가 필요하다. ‘간헐적 암호화’는 파일을 통째로 암호화 하는 게 아니라 가장 앞부분만(혹은 뒷부분) 암호화 하는 것을 말한다. 이렇게 함으로써 암호화의 속도를 높일 수 있다. 암호화의 속도를 높인다는 건 더 많은 파일에 영향을 줄 수 있다는 뜻이다. 블랙캣(BlackCat)이나 플레이(Play)와 같은 조직들이 이 전략을 활용한다.

그런데 세상 모든 것에는 장점과 단점이 공존한다. 간헐적 암호화 전략은 피해를 얕고 넓게 퍼트린다는 장점이 있는 대신 파일의 일부만 암호화 하기 때문에 상황만 잘 맞으면 복호화 될 수 있다는 단점이 있다. 보안 업체 사이버아크(Cyberark)가 이를 강조하면서, “PDF나 MS 오피스 파일의 경우 반복되는 매개변수를 다수 포함하고 있기 때문에 복호화 가능성이 높다”고 예를 들었다.

사이버아크의 글로벌 리서치 담당 앤디 톰슨(Andy Thompson)은 “간헐적 암호화 혹은 부분 암호화가 예를 들어 PDF의 헤더 부분만을 삭제했다고 한다면, 사실 헤더는 다 거기서 거기이기 때문에 복호화가 가능하다”고 설명한다. “오리지널 파일이 Head 123, Body 456, Footer 789라는 구조로 되어 있는데 암호화를 통해 head 12, body 456, footer 789로 바뀌었다면 원래의 것을 유추해 변경하는 게 그리 어렵지 않겠죠.”

화이트피닉스
사이버아크 측은 이런 점에 착안해 일부 파일을 자동으로 복구시켜주는 도구 ‘화이트피닉스(White Phoenix)’를 개발해 발표했다. 위에서 설명한 대로 ‘간헐적 암호화’를 통해 못 쓰게 된 파일들 중 pdf, docx, docm, xlxm, xltx, extm, pptx, pptm, ptox, zip 등의 파일들을 꽤나 정확하게 복구해낸다고 한다. 부분적으로 암호화 된 파일의 경로와, 복호화 될 파일을 저장할 폴더의 경로만 지정하면 화이트피닉스가 모든 작업을 알아서 한다고 한다.

화이트피닉스는 현재 깃허브를 통해 제공되고 있으며, 누구나 사용이 가능하다. 현재는 주로 블랙캣이 암호화 한 문서 파일들을 위주로 복호화 기능을 발휘하고 있는데, 사이버아크는 “플레이, 킬린(Qilin), 비안리안(BianLian), 다크빗(DarkBit)과 같은 랜섬웨어의 피해자들 역시 어느 정도 도움을 얻을 수 있을 것”이라고 보고 있다.

‘간헐적 암호화’라는 전략은 2021년 록빗(LockBit)이라는 랜섬웨어 조직이 제일 먼저 사용한 이후 일종의 유행처럼 자리를 잡고 있다. 록파일(LockFile)이라는 랜섬웨어 조직의 경우 파일의 첫 16바이트만 암호화 하기도 했다. 파일을 열어볼 수 없을 정도까지만 암호화를 진행하는 것이었다고 당시 보안 업체 센티넬원(SentinelOne)은 분석했었다.

그러면서 여러 공격 조직들이 부분 암호화 전략을 채택하기 시작했다. 빠르고 피해가 광범위하며 탐지 기술 회피력도 좋다는 장점이 크게 어필했던 것으로 보인다. 블랙캣의 경우 암호화를 여섯 가지 모드 중 하나로 택할 수 있도록 랜섬웨어를 설계하기도 했다. 정석적으로 파일을 통째로 암호화 하는 모드에서부터, 아주 간단한 부분만 암호화를 하는 모드까지 다양하다.