폴리곤 스마트 컨트랙트를 악용한 새로운 랜섬웨어 공격: DeadLock의 등장과 위협

최근 사이버 보안 업계는 폴리곤(Polygon) 스마트 컨트랙트를 악용한 새로운 랜섬웨어, DeadLock의 등장에 주목하고 있습니다. 보안 기업 Group-IB는 DeadLock 랜섬웨어가 프록시 주소를 로테이션하여 탐지를 회피하는 방식으로 작동한다고 밝혔습니다. 이는 기존의 랜섬웨어 공격 방식과는 차별화되는 혁신적인 수법으로, 사이버 보안에 새로운 도전 과제를 제시하고 있습니다.

DeadLock 랜섬웨어의 작동 방식

DeadLock 랜섬웨어는 피해자와 통신하는 데 사용되는 프록시 서버 주소를 폴리곤 스마트 컨트랙트에 저장하고 로테이션하는 방식으로 작동합니다. 랜섬웨어에 내장된 코드는 특정 스마트 컨트랙트 주소와 상호 작용하며, 함수를 사용하여 명령 및 제어 인프라를 동적으로 업데이트합니다. 이러한 방식으로 DeadLock은 중앙 서버 없이 분산된 네트워크를 활용하여 공격을 지속할 수 있습니다. 감염된 피해자에게는 랜섬 노트를 통해 몸값을 요구하며, 요구 사항이 충족되지 않을 경우 훔친 데이터를 판매하겠다고 협박합니다.

블록체인 악용의 새로운 가능성

Group-IB는 프록시 주소를 블록체인에 저장하는 DeadLock의 방식이 기존의 서버 기반 인프라보다 훨씬 더 파괴하기 어렵다고 강조합니다. 중앙 서버를 공격하여 무력화하는 것이 불가능하며, 블록체인 데이터는 전 세계 분산 노드에 영구적으로 존재하기 때문입니다. Group-IB는 이러한 스마트 컨트랙트 악용이 공격자에게 무한한 변형을 가능하게 하며, 상상력에 따라 다양한 공격 시나리오를 만들 수 있다고 경고합니다.

EtherHiding과 유사한 공격 기법

스마트 컨트랙트를 악용한 멀웨어 배포는 이번이 처음은 아닙니다. Group-IB는 앞서 북한의 위협 행위자 UNC5342가 사용한 "EtherHiding"이라는 전술을 언급했습니다. EtherHiding은 공개 블록체인의 트랜잭션을 활용하여 악성 페이로드를 저장하고 검색하는 방식으로, 블록체인을 분산되고 탄력적인 C2(명령 및 제어) 서버로 전환하는 효과를 가져옵니다. DeadLock과 EtherHiding은 모두 블록체인의 분산된 특성을 악용하여 공격의 지속성과 회피 능력을 높이는 데 중점을 두고 있습니다.

사이버 보안의 새로운 도전

DeadLock 랜섬웨어의 등장은 블록체인 기술이 사이버 공격에 악용될 수 있다는 점을 분명히 보여줍니다. 특히 분산화된 특성을 가진 블록체인은 기존의 보안 체계를 무력화하고 공격자를 보호하는 데 효과적으로 사용될 수 있습니다. 따라서 기업과 개인은 DeadLock과 같은 새로운 위협에 대한 경각심을 높이고, 블록체인 기반 공격에 대한 방어 체계를 강화해야 합니다. 또한, 사이버 보안 전문가들은 블록체인 기술의 악용 사례를 지속적으로 연구하고, 새로운 보안 기술과 전략을 개발하여 이러한 위협에 효과적으로 대응해야 합니다.

맺음말

DeadLock 랜섬웨어는 폴리곤 스마트 컨트랙트를 악용한 혁신적인 공격 방식으로, 기존의 사이버 보안 위협과는 차별화된 양상을 보입니다. 이러한 새로운 위협에 대응하기 위해서는 지속적인 연구와 기술 개발, 그리고 사용자들의 보안 인식이 중요합니다. 앞으로도 블록체인 기술의 발전과 함께 더욱 정교하고 지능적인 사이버 공격이 등장할 것으로 예상되는 만큼, 사이버 보안에 대한 지속적인 관심과 투자가 필요합니다.