아키라 랜섬웨어의 최신 변종서 암호화를 무력화할 수 있는 취약점이 발견돼, GPU 기반의 새로운 대응 방식이 제시됐다고, 미코는 전했습니다.

 

IT 전문가인 Tinyhack이란 블로거는 아키라 바이러스의 암호화를 무차별 대입(brute-force) 공격을 통해 뚫을 수 있는 새로운 방법을 발견했습니다. 그는 이를 통해 이미 공격을 받은 한 회사의 암호화된 데이터를 성공적으로 복구했다고 합니다.

 

2023년에 처음 발견된 아키라 랜섬웨어는 주로 고위험군을 대상으로 공격하며, 때로는 수천만 달러에 달하는 막대한 몸값을 요구하는 것으로 알려진 악성 프로그램입니다. 2023년에는 아바스트의 위협 연구팀이 아키라 랜섬웨어가 파일을 암호화하는 방식을 분석해 무료 암호 해독 도구를 공개하기도 했으나, 아키라 측은 곧바로 이런 시도를 인지하고 암호화 방식을 수정해 대응했습니다.

 

하지만 이번에 Tinyhack에 의해 새롭게 발견된 취약점은 최소한 하나의 아키라 변종이 사용하는 구시대적인 암호화 방식에 기반을 두고 있다고 합니다. 이 특정 변종은 각 파일의 암호화 키를 생성하기 위해 chacha8 및 Kcipher2 암호화 방식을 활용하며, 이때 나노초 단위의 서로 다른 네 가지 타임스탬프를 초기 값(seed)으로 사용합니다.

 

Tinyhack은 이런 타임스탬프가 평균 500만 나노초, 즉 0.005초라는 매우 짧은 시간 범위 내에 있다는 점을 밝혀냈으며, 엔비디아의 RTX 3090 또는 4090과 같은 최고급 GPU를 사용해 이 짧은 시간 범위를 무차별 대입 공격함으로써 정확한 네 개의 타임스탬프를 찾아내고, 그에 따른 암호 해독 키를 생성할 수 있음을 입증했습니다.

 

Tinyhack의 연구 결과에 따르면, 단일 RTX 4090 GPU를 사용할 경우 하나의 파일을 해독하는 데 약 7일 정도의 시간이 소요될 수 있다고 합니다. 하지만 16개의 RTX 4090 GPU를 동시에 활용할 경우, 이 해독 시간을 10시간을 조금 넘는 수준으로 크게 단축할 수 있는 것으로 나타났습니다.

 

실제로 Tinyhack의 한 고객사는 이런 GPU 기반의 무차별 대입 방법을 이용해 약 3주라는 시간 동안 전체 VM(가상 머신) 파일 세트를 성공적으로 복구한 사례가 있다고 전해집니다. 이런 GPU 자원을 활용하기 위해 runpod나 vast.ai와 같은 서비스를 통해 서버를 임대하는 것이 권장되고 있습니다.

 

다만, 이 새로운 암호 해독 방법을 성공적으로 적용하기 위해선 몇 가지 중요한 조건이 충족돼야 합니다. 우선, 암호화된 파일은 암호화 과정 이후에 어떠한 변경도 없어야 마지막 접근 시간을 정확히 파악해 무차별 대입 공격에 활용할 수 있습니다. 또, NFS(Network File System)를 사용하는 환경서는 서버 지연 시간으로 인해 암호화 시 사용된 정확한 타임스탬프를 추정하기가 더욱 어려워져 복잡성이 증가할 수 있다는 점도 고려해야 합니다.

 

일반적으로 랜섬웨어 공격으로 암호화된 파일은 몸값을 지불하지 않고서는 복구가 거의 불가능한 경우가 대부분이기 때문에, 이번 아키라 랜섬웨어의 새로운 취약점 발견은 사이버 보안 연구 분야서 매우 중요한 진전으로 평가받고 있습니다.

 

아키라 배후의 공격 주체들이 이전 Avast의 암호 해독 도구 공개 이후 신속하게 대응했던 전례를 고려할 때, 이번 새로운 방법에 대해서도 빠르게 방어 체계를 강화할 가능성이 높습니다. 하지만 이미 아키라 랜섬웨어에 감염된 기업들은 이번에 공개된 방법을 통해 감염된 시스템을 복구할 수 있는 실질적인 희망을 갖게 됐다고, 탐스하드웨어는 전했습니다.

 

Tinyhack은 자신의 블로그를 통해 이번 취약점의 발견 과정과 함께 구체적인 암호 해독 방법, 그리고 무차별 대입 공격을 통한 암호 해독의 전체 과정을 상세하게 기술했습니다.