Offcanvas

CSO / 데이터센터 / 랜섬웨어

“VM웨어 가상화 서버, 대규모 랜섬웨어 공격 감염” 전 세계 정부 기관 경보 잇달아

2023.02.07 Apurva Venkat  |  CSO
이탈리아, 프랑스, 미국, 싱가포르를 비롯한 전 세계 사이버보안 정부 기관이 VM웨어 가상화 서버를 겨냥한 대규모 랜섬웨어 공격에 연신 경보음을 울렸다. 
 
ⓒGetty Images Bank

대규모 랜섬웨어 공격이 VM웨어 ESxi 하이퍼바이저(VMware ESxi hypervisor) 구동 서버를 강타했다. VM웨어 ESxi 하이퍼바이저는 전 세계 기업과 기관이 가장 많이 사용하는 서버 가상화 소프트웨어 중 하나다. 공격받은 서버는 민감한 데이터가 유출될 위험에 빠지거나 터무니없이 비싼 몸값을 지급해야 한다. 

가장 먼저 공격을 알아차리고 경보를 보낸건 프랑스의 사이버 침해사고 대응팀(CERT-FR)이었다. CERT-FR은 3일(현지 시각) 공식 웹사이트에 "당국은 2월 3일에 VM웨어 ESxi 하이퍼바이저를 겨냥한 랜섬웨어 공격을 탐지했다"라고 밝혔다

미국, 프랑스, 싱가포르의 정부 당국도 잇달아 경보를 게시했다. 보고에 따르면 프랑스, 독일, 핀란드, 미국, 캐나다에 있는 서버가 이미 랜섬웨어에 감염됐다. 

사이버 보안업체 센시스(Censys)에 따르면 전 세계적으로 총 3,200개에 달하는 서버에 랜섬웨어가 침투했다. 

CERT-FR을 비롯한 다른 정부 기관에 따르면 해당 랜섬웨어 공격은 이미 알려진 CVE-2021-21974 취약점을 노린다. 이 취약점에 대한 패치는 2021년 2월 23일에 배포됐다. 

공격자는 이 취약점을 통해 서비스 위치 프로토콜(Service Location Protocol) 서비스로 원격 코드 실행을 수행할 수 있다. CERT-FR에 따르면 ESXi 하이퍼바이저 버전 6.7 이하가 해당 취약점에 노출되어 있다. 

CERT-FR은 “업데이트 되지 않은 ESXi 서버라도 SLP를 비활성화하면 안전하다”라고 설명했다. 

사이버보안 업체 다크피드(DarkFeed)에 따르면 유럽에서는 프랑스와 독일이 가장 큰 손해를 입었다. 프랑스 클라우드 업체 OVH클라우드와 독일의 데이터 센터 운영업체 헤츠너온라인(Hetzner)이 운영하는 서버가 공격당한 서버 대부분을 차지했다. 
 
ⓒDarkfeed

다크피드가 게재한 랜섬웨어 공격 화면에는 “보안 경보! 당신의 회사를 해킹하는 데 성공했다. 3일 안에 몸값을 지급하지 않으면 데이터 일부를 공개하고 몸값을 더 올릴 것이다!”라고 나와있다. 

해커가 제시한 몸값은 2.01584 비트코인(미화 약 2만 3천 달러)이다. 다크피드에 따르면 이 해킹 그룹은 랜섬웨어 공격마다 다른 비트코인 지갑을 쓰고 있다. 
 

관리자는 서둘러 업데이트해야 

싱가포르 침해사고 대응팀(SingCERT)는 “관리자는 서둘러 최신 버전으로 업그레이드 해야 한다”라며 “또한 사전 예방 차원에서 전체 시스템을 스캔해 공격 징후을 탐지해야 하며, 운영을 방해하지 않고 공격 대상인 포트 427을 비활성화할 방법을 모색해야 한다”라고 말했다. 

보안 연구자들도 공격이 알려진 이래 지속해서 공격을 분석하고 정보를 더하고 있다. 

보안 연구자 마티외 가린은 “ESXi의 최신 버전으로 업그레이드하고 OpenSLP 서비스에 접근을 제한하라”라며 “공격자는 config 파일만 암호화하고 있다. 데이터가 저정된 vmdk 디스크가 아니다”라며 포로가 된 데이터를 복구할 방법까지 제시했다. 

한편 미국 당국은 침해사고의 영향을 파악 중이며 도움이 필요한 곳에 지원을 아끼지 않을 것이라 밝혔다. 

보안 전문가들은 랜섬웨어 공격이 선진국을 주로 겨냥하는 경향을 보인다고 말했다. 클라우드 보안 업체 클라우드섹(CloudSEK)의 CEO 라울 사시는 “선진국이 잃을 게 더 많고 비트코인을 지급할 역량을 갖추고 있기 때문에 더욱 더 조심해야 한다”라고 말했다.

랜섬웨어 생태계는 2019년에 들어 훨씬 더 규모가 커지며 조직화됐다. 국내에서 최근 2년새 랜섬웨어 피해신고가 2배 이상 늘었다. 지난 7월에는 매스스캔(Masscan)이라고 불리는 랜섬웨어가 콜택시 관리업체 서버를 공격해 전국 30여개 지자체에서 콜댁시 마비 대란을 일으켰다. ciokr@idg.co.kr 
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.