새 랜섬웨어 오시리스, 배후 세력의 실력 ‘고급’

오시리스(Osiris)라는 새로운 랜섬웨어 패밀리가 등장했다. 현재까지 동남아시아의 한 대기업이 피해를 입은 것으로 알려져 있다. 보안 기업 시만텍(Symantec)과 카본블랙(Carbon Black)이 함께 분석한 바에 의하면 오시리스는 새롭게 출몰한 세력이지만 꽤나 능숙한 자들로 구성된 것으로 보인다고 한다.

다른 랜섬웨어를 참고하지 않았다?

일단 오시리스는 기존의 그 어떤 랜섬웨어와도 관련이 없는 것으로 분석됐다. 이것부터가 최근에는 다소 ‘드문 일’이라고 할 수 있다. 왜냐하면 요 몇 년 랜섬웨어라는 것은 기존의 랜섬웨어를 바탕으로 만들어지는 게 보통이기 때문이다. 콘티(Conti)가 블랙바스타(Black Basta)가 되거나 록빗(LockBit)이 록빗블랙(LockBit Black)이나 록빗그린(LockBit Green)이 되는 등이다.

이런 현상이 주류가 된 이유는 최근 몇 년 동안 유명 랜섬웨어의 소스코드들이 자주 유출됐기 때문이다. 2021년에는 바북(Babuk)이, 2022년에는 콘티가 유출되기 시작했고, 그 후 록빗 빌더 일부와 레빌(REvil)의 소스코드 일부가 공개되기도 했었다. 상황이 이렇다 보니 랜섬웨어 산업에 진출하고자 하는 자들 입장에서 굳이 백지에서부터 뭔가를 시작할 필요가 없게 됐다.

게다가 돈만 내면 랜섬웨어를 대여해주는 서비스인 라스(RaaS)가 크게 유행하는 중이기도 하다. 즉 랜섬웨어라는 악성 프로그램을 만들줄 알아야 이 계통에서 플레이어가 될 수 있다는 건 이미 옛말이라는 것이다. 개발자들의 수는 빠르게 줄어들기 시작했고, 따라서 완전히 새로운 랜섬웨어는 점점 더 찾아보기 힘든 것이 되어가는 분위기다. 그런 와중에 그 어떤 선배 랜섬웨어와도 유사하지 않은 것이 새롭게 등장한 것이다.

스스로 개발하는 자, 능력을 증명

새로운 코드를 짜서 랜섬웨어를 만들 수 있는 자가 희박해지는 분위기 속에서 누군가 완전히 새로운 것을 들고 나타났다는 것은, 다시 말해 그 누군가가 꽤나 실력이 있을 가능성이 높다는 의미도 된다. 실제로 시만텍과 카본블랙은 “배후 세력이 꽤나 랜섬웨어 다루기에 능숙한 것처럼 보인다”고 밝히기도 했다. 하지만 코드가 새롭다는 이유만으로 이들의 실력을 과대평가하는 건 아니다.

“새내기 그룹들의 경우 처음에는 소규모, 무차별 공격을 하는 게 보통입니다. 그러고도 큰 성과를 거두지 못하죠. 여러 실수와 실패를 통해 서서히 성장합니다. 실력이 쌓이면 그 때부터 특정 표적을 노리는 고도의 공격을 실행해 갑니다. 오시리스의 경우 처음부터 대기업 하나를 표적으로 삼아 공격을 감행했습니다. 심지어 오래 전에 침투해서 대기 기간을 충분히 가진 후 랜섬웨어를 배포함으로써 피해를 극대화 하기도 했습니다. 랜섬웨어는 분명 새 건데, 이들이 그 랜섬웨어로 하는 짓은 경험 많은 공격자들의 그것과 같습니다.” 시만텍의 설명이다.

게다가 오시리스라는 랜섬웨어를 보조하기 위해 사용된 공격 도구들도 심상치 않다. “이들은 데이터를 빼돌리기 위해서는 알클론(rclone)을, 네트워크를 탐색하고 이동하기 위해서는 넷스캔(Netscan)을 썼습니다. 그 외에도 메시에이전트(MeshAgent)와 러스트데스크(Rustdesk)를 사용하기도 했고요. 이 도구들은 전부 합법적인 목적으로 개발된 정상 도구들입니다. 다만 오시리스 운영자들이 이걸 나쁘게 이용한 것이지요. 즉 공격자들은 고급 스킬인 ‘리빙오프더랜드(Living-off-the-Land, LotL)’를 구사한 것입니다.” 카본블랙의 설명이다.

무엇보다 공격자들이 내부 침투 후 수일 간 조용히 데이터만 수집하고 외부로 유출시킨 뒤에 파일을 암호화시킨 흐름도 공격자들의 숙련도를 드러낸다고 분석가들은 보고 있다. “랜섬웨어 공격을 처음 해본 자들은 보통 침투에 성공한 것만으로도 기뻐서 얼른 파일 암호화부터 시작합니다. 허겁지겁 자신들이 해야 하는 일부터 하는 거죠. 하지만 능숙한 자들은 파일을 최대한 빼돌려 이후에 있을 피해자와의 협상에서 우위를 점하는 것을 더 중요하게 여깁니다.”

누구일까?

이렇게까지 고급 스킬을 보유한 자라면, 이전 랜섬웨어 그룹들의 일원일 가능성이 높다. 하지만 아직까지 누군가를 특정할 수 있을 만큼 많은 정보를 모으지 못했다고 두 기업은 설명한다. “랜섬웨어 운영과 해킹 공격에 대한 경험이 풍부한 자들이 배후에 있다는 것만 확실하지 아직까지 구체적으로 누군가를 지목할 만한 상황은 아닙니다. 증거가 될 만한 정보가 좀 더 필요합니다.”

하지만 여러 정황상 잉크(Inc)라는 랜섬웨어 그룹과의 관련성이 의심된다고 한다. “오시리스 운영자들도 잉크와 동일한 미미캐츠(Mimikatz) 파일명을 사용하고 있습니다. 와사비(Wasabi) 클라우드를 사용하고 있다는 것도 동일하고요. 둘이 빼돌리는 데이터도 유사한 구석이 있습니다. 이 때문에 잉크와의 연결고리를 집중적으로 파헤치고 있지만, 결정적인 증거는 아직 없습니다.”

여기서 말하는 ‘연결고리’란, 크게 다음 몇 가지 시나리오를 의미한다.
1) 잉크가 오시리스의 운영자이다.
2) 잉크 내부 인력 중 일부가 탈퇴한 후 오시리스를 새로 출범시켰다.
3) 잉크를 모방한 해커가 오시리스를 시작했다.

대비는 어떻게?

현재까지는 동남아의 기업 하나가 피해자로서 알려져 있을 뿐이라고 해서 한국에 거주 중인 우리가 안심해도 되는 건 아니다. 요즘 랜섬웨어 업계에 흔치 않은 실력자가 등장한 것이기 때문이다. 게다가 확인된 것만 한 건이지, 확인되지 않은 수많은 피해 사례들이 물밑에 숨어 있을 수도 있다. 특히 실력자가 조용히 있다는 건 대부분 ‘들키지 않게 나쁜 짓을 하고 있다’는 의미인 경우가 많다는 것도 기억해야 한다.

기존 유명 랜섬웨어들의 경우 대부분 데뷔 후 몇 개월은 조용했다. 록빗이나 블랙바스타 모두 등장 직후에는 피해 사례를 거의 만들지 않았다. 하지만 6~12개월 정도가 지나자 매우 활발해졌다. 내부 실험 및 강화 과정을 충분히 거치고 나서야 본격적인 활동을 시작하기 때문인데, 오시리스도 이러한 패턴을 따르고 있을 확률이 낮지 않다. 

그렇다고 당장 보안 체계를 업데이트 하느라 전사적으로 정책을 새롭게 도입하고 새로운 솔루션을 설치해야 한다는 건 아니다. 시만텍은 오시리스 운영자들이 LotL 전술을 활용한다는 걸 바탕으로 “알클론 대량 업로드 행위가 있나 점검하고, 러스트데스크와 메시에이전트가 승인 없이 설치된 기록이 있는지 확인하는 등의 모니터링이 있어야 한다”고 강조한다. 또한 “와사비 S3 트래픽이 비정상적인 양을 기록하고 있는지도 살펴야 합니다.”🆃🆃🅔

by 문가용 기자(anotherphase@thetechedge.ai)

Related Materials

• New Osiris ransomware reveals sophisticated tactics and experienced attackers - SiliconANGLE, 2026년
• Osiris Ransomware New Addition to the Locky Family - Acronis, 2017년
• Remove OSIRIS ransomware and decrypt .osiris extension - Privacy-PC, 2022년
• Ransomware Map includes Osiris - CERT Orange Cyberdefense, 2023년

랜섬웨어 흉내만 내는 새 안드로이드 멀웨어, 드로이드록

💡Editor’s Pick - 랜섬웨어는 아닌데, 랜섬웨어의 모든 특징 가지고 있어 - 파일 암호화 기능만 빠져...피해자가 느끼는 압박감은 같아 - 금전 요구가 진짜인지 허풍인지는 아직 확인 어려워 안드로이드 생태계를 위협하는 멀웨어가 새롭게 등장했다. 보안 기업 짐페리움(Zimperium)이 발견한 것으로, 이름은 드로이드록(DroidLock)이라고 한다. 이것에 감염되면 사용자는 자신의 휴대폰에

The Tech Edge문가용 기자