메뉴
BL
Ars Technica 37일 전

양자 내성 랜섬웨어 최초 확인

IMP
8/10
핵심 요약

최근 등장한 'Kyber(카이버)' 랜섬웨어가 파일 암호화에 양자 컴퓨터 공격에도 뚫리지 않는 내결함성 암호화(PQC) 기술인 ML-KEM을 적용한 최초의 사례로 확인되었습니다. 하지만 보안 전문가들은 이것이 실질적인 해킹 방어 목적이라기보다는, 기술적 지식이 부족한 기업 경영진에게 심리적 압박을 가해 빠르게 몸값을 지불하게 만들려는 '마케팅 및 브랜딩 전략'에 불과하다고 분석했습니다. 향후 양자 컴퓨팅 기술이 악용될 가능성을 시사하는 중요한 보안 이슈입니다.

번역된 본문

텍스트 설정 이야기 텍스트 크기 작게 표준 크게 너비 * 표준 넓게 링크 표준 주황색 * 구독자 전용 자세히 알아보기 탐색 창 최소화

비교적 최근에 등장한 한 랜섬웨어 계열이 파일을 암호화하는 데 사용하는 암호화 방식의 강도를 과시하기 위해 새로운 접근 방식을 취하고 있습니다. 바로 양자 컴퓨터의 공격으로부터 보호된다고 주장하거나 최소한 그렇게 보이게 만드는 것입니다.

'Kyber'라고 불리는 이 랜섬웨어는 작년 9월부터 최소한 활동해 왔으며, ML-KEM(Module Lattice-based Key Encapsulation Mechanism, 모듈 격자 기반 키 캡슐화 메커니즘)라는 미국 국립표준기술연구소(NIST)가 표준화한 알고리즘을 사용한다는 주장으로 빠르게 주목을 받았습니다. Kyber 랜섬웨어의 이름은 ML-KEM의 다른 이름인 'Kyber'에서 따온 것입니다. 혼란을 피하기 위해 이 기사에서는 'Kyber'를 랜섬웨어를 지칭하는 데 사용하고, 알고리즘은 'ML-KEM'으로 지칭하겠습니다.

마케팅일 뿐입니다 ML-KEM은 키 교환을 위한 비대칭 암호화 방식입니다. 이는 '격자(Lattice)'라는 수학적 구조를 기반으로 한 문제를 포함하는데, 양자 컴퓨터조차도 이를 해결하는 데 있어서는 기존 컴퓨터보다 이점이 없습니다. ML-KEM은 충분한 성능을 갖춘 양자 컴퓨터가 해결할 수 있는 타원 곡선 암호(ECC) 및 RSA 암호 시스템을 대체하기 위해 설계되었습니다.

화요일, 보안 기업 Rapid7은 Kyber를 역분석한 결과, 이 랜섬웨어의 윈도우 변형이 PQC(양자 내성 암호화) 표준 중 가장 높은 강도 버전인 'ML-KEM1024'를 사용하고 있다고 밝혔습니다. Kyber는 ML-KEM을 사용하여 피해자의 데이터를 'AES-256(역시 양자 내성을 갖춘 대칭형 암호화 표준)'로 암호화하는 데 사용되는 키를 숨겼습니다. (이전에 보도된 바와 같이, AES-128만으로도 양자 공격을 충분히 방어할 수 있습니다.)

보안 기업 Emsisoft의 위협 분석가인 브렛 캘로우(Brett Callow)는 PQC를 사용하는 랜섬웨어 사례로 확인된 것은 이번이 처음이라고 말했습니다. 하지만 Kyber 개발자가 PQC 키 교환 알고리즘을 선택한 데에는 실질적인 이점이 없습니다. Kyber 랜섬웨어의 협박 메시지는 피해자에게 일주일의 시간을 줍니다. RSA와 ECC를 깨뜨릴 수 있는 수학적 방정식인 '쇼어(Shor) 알고리즘'을 실행할 수 있는 양자 컴퓨터가 등장하려면 최소 3년은 걸릴 것이며, 실제로는 그보다 훨씬 더 오래 걸릴 가능성이 큽니다.

한편, VMware 시스템을 표적으로 하는 Kyber 변형 역시 ML-KEM을 사용한다고 주장합니다. 그러나 Rapid7이 내부를 분석한 결과, 실제로는 4096비트 키를 사용하는 RSA를 적용하고 있었으며, 이는 쇼어 알고리즘으로 해독하는 데 훨씬 더 긴 시간이 걸리는 강력한 수준입니다.

Rapid7의 수석 보안 연구원이자 이번 화요일 보고서의 작성자인 안나 시로코바(Anna Širokova)는 ML-KEM의 사용 (또는 사용 주장)은 단지 브랜딩을 위한 눈속임일 가능성이 높으며, 이를 구현하는 데 개발자들의 노력이 거의 들어가지 않았다고 말했습니다. 시로코바는 이메일 인터뷰에서 다음과 같이 설명했습니다.

"첫째, 피해자를 향한 마케팅입니다. 특히 돈을 지불할지 고민하는 비전문적인 의사결정권자들에게 '양자 후 암호화'라는 단어는 '우리가 AES를 썼다'는 말보다 훨씬 더 무섭게 들립니다. 이는 심리적인 속임수입니다. 해커들은 10년 뒤 누군가 암호화를 해독할까 봐 걱정하는 것이 아닙니다. 그저 72시간 이내에 돈을 받고 싶어 할 뿐입니다. 둘째, 구현 비용이 낮습니다. Kyber1024 라이브러리(현재 ML-KEM으로 개명)는 문서화가 잘 되어 공개되어 있습니다. 랜섬웨어가 Kyber1024로 파일을 직접 암호화한다면 속도가 너무 느릴 것입니다. 대신 다음과 같은 방식을 사용합니다.

  • 무작위 AES 키를 생성합니다.
  • 해당 AES 키로 파일을 빠르게 암호화합니다.
  • 생성된 AES 키를 Kyber1024로 암호화하여 공격자만 복호화할 수 있게 만듭니다."

Rust(프로그래밍 언어) 환경에서는 이미 Kyber1024를 지원하는 라이브러리가 존재합니다. 개발자는 이를 종속 항목에 추가한 뒤 키를 감싸는 함수 하나만 호출하면 됩니다.

이러한 과장된 허풍에도 불구하고, Kyber 랜섬웨어는 PQC(양자 내성 암호화)가 랜섬 요구에 대응하는 방법을 결정해야 하는 기술적 지식이 부족한 변호사나 경영진들의 관심을 끌고 있음을 보여줍니다. Kyber 개발자들은 압도적인 강도의 암호화가 적용되었다는 인상을 주어 피해자들이 지불을 결정하도록 영향을 미리길 바라고 있습니다.

댄 구딘(Dan Goodin) 수석 보안 에디터 댄 구딘은 Ars Technica의 수석 보안 에디터로, 멀웨어, 컴퓨터 에스피오나지, 봇넷, 하드웨어 해킹, 암호화 등에 대한 취재를 감독하고 있습니다.

원문 보기
원문 보기 (영어)
Text settings Story text Size Small Standard Large Width * Standard Wide Links Standard Orange * Subscribers only Learn more Minimize to nav A relatively new ransomware family is using a novel approach to hype the strength of the encryption used to scramble files—making, or at least claiming, that it is protected against attacks by quantum computers. Kyber, as the ransomware is called, has been around since at least last September and quickly attracted attention for the claim that it used ML-KEM , short for Module Lattice-based Key Encapsulation Mechanism and is a standard shepherded by the National Institute of Standards and Technology. The Kyber ransomware name comes from the alternate name for ML-KEM, which is also Kyber. For the rest of the article, Kyber refers to the ransomware; the algorithm is referred to as ML-KEM. It’s all about marketing ML-KEM is an asymmetric encryption method for exchanging keys. It involves problems based on lattices, a structure in mathematics that quantum computers have no advantage in solving over classic computing. ML-KEM is designed to replace Elliptic Curve and RSA cryptosystems, both of which are based on problems that quantum computers with sufficient strength can tackle. On Tuesday, security firm Rapid said it reverse-engineered Kyber and found that the Windows variant used ML-KEM1024, the highest strength version of the PQC (post-quantum cryptography) standard. Kyber was using ML-KEM to conceal the key used to encrypt victims’ data with AES-256, a symmetric cryptographic standard that is also quantum-proof. (As reported previously , AES-128 would have sufficed in withstanding a quantum attack.) Brett Callow, a threat analyst at security firm Emsisoft, said it’s the first confirmed case of ransomware using PQC. There is no practical benefit for Kyber developers to have chosen a PQC key-exchange algorithm. The Kyber ransom note gives victims one week to respond. Quantum computers capable of running Shor’s algorithm —the series of mathematical equations that allow the breakage of RSA and ECC (elliptic curve cryptography)—are, at a minimum, three years away and likely much further. A Kyber variant that targets systems running VMware, meanwhile, claims to use ML-KEM as well. Rapid7 said its look under the hood revealed that, in fact, it uses RSA with 4096-bit keys, a strength that will take even longer for Shor’s algorithm to break. Anna Širokova, a Rapid7 senior security researcher and the author of Tuesday’s post, said the use or claimed use of ML-KEM is likely just a branding gimmick and that implementing it required relatively little work by Kyber developers. In an email, Širokova wrote: First, it’s marketing to the victim. “Post-quantum encryption” sounds a lot scarier than “we used AES,” especially to non-technical decision-makers who might be evaluating whether to pay. It’s a psychological trick. They’re not worried about someone breaking the encryption a decade from now. They want payment within 72 hours. Second, implementation cost is low. Kyber1024 libraries (renamed to ML-KEM ) are available and well-documented. Ransomware doesn’t encrypt your files directly with Kyber1024. That would be slow. Instead, it: Generates a random AES key Encrypts your files with that AES key (fast) Encrypts that AES key with Kyber1024 (so only the attacker can decrypt it) In Rust, there are already libraries that do Kyber1024. The developer just adds it to their dependencies and calls a function to wrap the key. Despite the hype, Kyber suggests that PQC is attracting the attention of less technically inclined attorneys and executives deciding how to respond to ransom demands. Kyber developers are hoping the impression that the encryption has overwhelming strength will sway people to pay. Dan Goodin Senior Security Editor Dan Goodin Senior Security Editor Dan Goodin is Senior Security Editor at Ars Technica, where he oversees coverage of malware, computer espionage, botnets, hardware hacking, encryption, and passwords. In his spare time, he enjoys gardening, cooking, and following the independent music scene. Dan is based in San Francisco. Follow him at here on Mastodon and here on Bluesky. Contact him on Signal at DanArs.82. 6 Comments
랜섬웨어 양자내성암호(PQC) 보안위협 ML-KEM