SK쉴더스, 신종확산 랜섬웨어 'ArgonWiper' 복호화 도구 공개

(서울=뉴스1) 윤주영 기자 = SK쉴더스 화이트해커 그룹 EQST는 최근 확산 중인 신종 랜섬웨어 'ArgonWiper'의 암호화·삭제 로직을 정밀 분석, 이를 복호화화는 도구를 2일 공개했다.

공격자의 우연한 키 유출이나 단순 구현 실수 등이 없다면, 랜섬웨어는 사실상 복구가 불가능하다고 여겨진다.

EQST에 따르면 최근 랜섬웨어 공격 그룹은 암호화 이후 원본을 삭제하거나 덮어써, 복구 시도를 원천 차단하는 전술을 쓰고 있다. 암호화하는 중간에 악성코드를 검출해서 차단하더라도, 로직이 다른 탓에 암호화 키를 복호화에 쓰는 것도 불가능하다.

이에 수년간 복호화 성공 사례는 드물었고, 피해 조직은 공격그룹과의 협상에 의존할 수밖에 없었다.

하지만 EQST는 암호화 루틴의 구조적 단서를 추적해 복호화 경로를 마련했다. 이는 즉시삭제형 계열의 랜섬웨어를 복구할 때 쓰일 수 있다고 EQST는 설명했다.

또 EQST는 △ArgonWiper 랜섬웨어가 사용하는 해킹 패턴 △암호화 로직 △백업 파일 생성 규칙 △포렌식·복구 절차에 바로 사용할 수 있는 침해지표(IoC)등도 프로파일링 보고서로 배포했다.

복호화 취약점의 상세 분석도 이 보고서를 통해 확인할 수 있다. 유사구조의 랜섬웨어 복호화 연구에 기여할 것으로 기대된다.

김병무 SK쉴더스 사이버보안부문장(부사장)은 "복호화 도구 공개는 복구가 불가능하다고 여겨지는 랜섬웨어 공격에 실제 적용 가능한 대응책이란 점에서 의미가 있다"며 "회사는 사이버위협 분석과 해킹 사고 대응 역량을 바탕으로 기업 피해를 최소화하고 신속한 복구를 지원할 것"이라고 말했다.

ArgonWiper의 복호화 도구와 보고서는 SK쉴더스 공식 홈페이지에서 무료로 내려받을 수 있다.

legomaster@news1.kr