랜섬웨어가 128KB 이상의 모든 파일을 실수로 파괴하여 복호화 방지 — 보안 연구원들은 VECT 코드가 AI로 부분적으로 생성되었거나 구형

2025 년 12 월부터 온라인으로 유통되기 시작한 랜섬웨어-as-a-service(RaaS)인 VECT 에 프로그래밍 중 치명적인 버그가 존재하는 것으로 발견되었습니다. *체크포인트 리서치 (CPR)*에 따르면, 이 랜섬웨어는 프로그램이 128KB 이상의 파일을 복호화하기 위해 필요한 일부 비스 (nonce) 를 실수로 버리면서 우연히 와이어 (wiper) 로 변질되었습니다. 이는 피해자가 공격자에게 데이터를 잠금 해제하는 대금을 지불하더라도, 암호화를 해제하는 데 필요한 코드가 더 이상 존재하지 않아 손상을 되돌릴 수 없음을 의미합니다. 수많은 다른 문제들도 이 코드를 괴롭히고 있으며, CPR 은 해당 코드가 AI 를 사용하여 'vibe coded'되었거나 구형 코드베이스를 사용했을 것으로 추정하고 있습니다.

이 랜섬웨어는 128KB 보다 큰 파일은 자동으로 네 개의 서로 다른 조각으로 분할한 다음, 단일 공유 출력 버퍼 (shared output buffer) 에 기록된 무작위 12 바이트의 비스 (nonce) 로 각각 암호화합니다. 불행히도 피해자에게 이 네 개의 비스는 동일한 버퍼 주소를 공유하므로, 각 새로운 비스가 이전 비스를 덮어씁니다. 따라서 프로세스가 완료되면 최신 비스 (또는 네 조각 중 마지막 조각) 만 파일에 붙박이로 남게 됩니다. 이는 공격자가 피해자에게 데이터를 복호화하는 열쇠를 제공하더라도, 128KB 이상의 각 파일의 마지막 비스만 여전히 첨부되어 있어 해당 열쇠가 작동하지 않음을 의미합니다.

연구진이 이 랜섬웨어에서 발견한 결함은 이것만이 아닙니다. 프로그램이 CPU 스레드를 사용하는 방식, 서로 상쇄되는 문자열 오브퍼셔이션 (obfuscation) 루틴, 그리고 자체 공개 보고서에 실식된 암호화 알고리즘 등도 문제가 있었습니다. VECT 운영자는 빠름, 보통, 안전 세 가지 암호화 방법 중 하나를 선택할 수 있지만, 이 선택지는 코드에 파싱되기는 하지만 실제로 구현되지 않았습니다. 이 멀웨어의 또 다른 드문 특징은 우크라이나를 2022 년 러시아가 우크라이나를 침공한 후 대부분의 조직이 목록에서 제거한 독립국가연합 (CIS) 회원국으로 포함하고 있다는 점입니다.

아래에 이어지는 기사에서는 이 멀웨어가 정교한 도구로 소개되고, 이를 운영하는 그룹도 정교한 해커처럼 보인다고 설명합니다. 실제로 이 그룹은 Windows, Linux, 심지어 ESXi 가상 머신을 공격할 수 있는 다중 플랫폼 기능을 갖추고 있으며, TeamPCP 와 같은 다른 위협 행위자와 협력했으며, BreachForums 를 통해 자체 제휴 네트워크를 구축하기도 했습니다. 그러나 VECT 에 영향을 미치는 주요 문제들 때문에 CPR 은 이 조직이 일부 코드를 생성하기 위해 AI 도구를 사용했거나, 랜섬웨어의 시작점으로 구형 코드베이스에 의존했을 것으로 이론화했습니다.

이것이 대형 랜섬웨어 그룹이 프로그래밍에서 실수를 한 첫 번째 사례는 아닙니다. 올해 초에만 Nitrogen 랜섬웨어가 암호화 공개 열쇠의 일부를 영영 (zeros) 으로 덮어쓰는 실수를 저질렀습니다. 이는 개인 열쇠를 소지하더라도 왜곡된 공개 열쇠로 인해 아무도 암호화를 되돌릴 수 없음을 의미합니다. 보고에 따르면 이는 개발자의 실수 (fat-finger mistake) 와 관련된 일반적인 오프바이원 (off-by-one) 문제 때문이었을 가능성이 높다고 합니다.

그럼에도 불구하고, 이는 전체 커뮤니티가 여전히...