사이버 보안 연구진이 새로운 랜섬웨어 패밀리 ‘오시리스(Osiris)’의 세부 내용을 공개했다.

이 랜섬웨어는 지난해 11월 동남아시아의 한 대형 외식 프랜차이즈 운영사를 공격했으며, 보안 소프트웨어를 무력화하기 위해 푸어트리(POORTRY)라는 악성 드라이버를 활용했다. 푸어트리 악성 드라이버는 윈도 환경에서 보안 솔루션을 무력화하기 위해 제작된 악성 드라이버를 말한다.

푸어트리 악성 드라이버는 ‘취약 드라이버 가져오기(Bring Your Own Vulnerable Driver, BYOVD)’ 기법의 변형으로, 기존의 취약 드라이버 대신 권한 상승과 보안 툴 종료를 위해 특별히 제작된 드라이버를 사용한 것이 특징이다.

연구진에 따르면, 오시리스는 2016년 등장했던 ‘Locky’ 계열 변종과는 전혀 관련 없는 완전히 새로운 랜섬웨어로 평가된다. 개발자가 누구인지, 혹은 랜섬웨어 서비스(Ransomware as a Service, RaaS) 형태로 유통되는지는 아직 확인되지 않았다.

다만 브로드컴(Broadcom) 산하 보안 부서는 공격자들이 과거 INC 랜섬웨어와 연관된 정황을 포착했다고 밝혔다. 공격 과정에서 데이터 탈취에 Rclone(Go 언어로 만든 클라우드 스토리지 특화 업로드·다운로드 프로그램)을 사용해 와사비(Wasabi) 클라우드 저장소로 민감 정보를 유출했다. 과거 INC 공격에서 사용된 동일 파일명(kaz.exe)의 미미카츠(Mimikatz) 버전도 발견됐다.

오시리스는 하이브리드 암호화 방식을 사용해 파일마다 고유한 암호화 키를 적용하며, 서비스 중단·폴더 및 확장자 지정·프로세스 종료·랜섬 노트 배포 등 다양한 기능을 갖춘 것으로 분석됐다.

기본적으로 MS 오피스(Microsoft Office), 익스체인지(Exchange), 파이어폭스(Firefox), 워드패드(WordPad), 노트패드(Notepad), 빔(Veeam), 볼륨 섀도우 복사본 등 주요 프로세스를 종료하도록 설계돼 있다. 또한 Netscan, Netexec, MeshAgent, 맞춤형 Rustdesk 원격 데스크톱 소프트웨어 등 다수의 이중 용도 툴이 활용됐으며, 공격자는 RDP(Remote Desktop Protocol)를 활성화해 원격 접근을 확보한 것으로 보인다.

보안 업계는 이번 사례를 경험 많은 공격자들이 제작한 강력한 암호화 페이로드로 평가하며, 랜섬웨어 위협이 여전히 기업 환경에서 심각한 수준임을 경고했다.

한편, 시만텍과 카본블랙의 분석에 따르면, 지난해 랜섬웨어 공격 건수는 총 4737건으로, 2024년 4701건 대비 소폭 증가했다. 이는 일부 그룹이 사라지더라도 새로운 조직이 빠르게 등장해 위협 지형을 재편하고 있음을 보여준다.

전문가들은 "이번 오시리스 랜섬웨어 사례는 BYOVD 기법의 진화를 보여주는 동시에, 기업들이 보안 솔루션 무력화할 수 있다"고 분석하며 "기업들이 이 공격에 대비한 다층적 방어 체계를 강화해야 한다"고 말했다.