최근 여러 기업/기관에서 랜섬웨어 공격에 대비해 비트코인을 사들이고 있는 것으로 알려지면서 잘못된 랜섬웨어 대응책으로 인해 랜섬웨어가 더욱 활개를 치고 있다는 지적이 나온다. 기업/기관들은 랜섬웨어 공격으로 중요 데이터가 피해를 입었을 때 신속하게 복구하기 위해 비트코인을 미리 준비하고 있으며, 이로 인해 공격자들은 더 쉽게 돈을 벌 수 있게 된다는 지적이다.
트렌드마이크로 보안블로그에서는 “최근 여러 기관에서 랜섬웨어 공격에 대비해 비트코인을 사들이고 있다는 연구가 있다. 공격 받을 시 빠른 시간 내 중요한 파일을 복구하기 위한 대응책”이라며 “하지만 돈을 지불한다고 해도 파일 복구를 보장받지 못하며, 추가적인 랜섬웨어 공격으로 이어질 수 있다. 그럼에도 불구하고 랜섬웨어 공격으로 인한 기업 손실과 명예 실추로 인해 추가적인 불이익을 예상한다면 기업의 이러한 대처를 비난할 수는 없다”고 지적했다.
보안 시스템 우회하는 랜섬웨어…백업도 무용지물
랜섬웨어는 업무와 연관성이 있는 것으로 위장한 이메일의 첨부파일을 통해 랜섬웨어 악성코드를 유포하거나, 많은 사람들이 방문하는 웹사이트의 취약점 혹은 광고배너를 통해 불특정 다수에게 악성코드를 감염시킨다.
트렌드마이크로는 최근 랜섬웨어 공격에서 또 다른 새로운 수법이 발견되고 있다고 설명한다. 예를 들어 ‘파일과 중요 데이터가 모두 암호화 됐으니, 되찾고 싶다면 돈을 지불하라’는 메시지를 수신하면, IT 운영자는 즉시 감염된 시스템의 네트워크를 차단하고 분리하고, 감염된 컴퓨터를 치료해 파일 복구를 시도한다.
그러나 랜섬웨어는 섀도우 복사본을 삭제해 사용자가 파일을 복구할 수 없도록 백업 파일을 없애버린다. 크립토월, 록키, 서버(CERBER), 크립테슬라(CRYPTESLA) 등 변종 랜섬웨어가 이 기능을 사용한다.
부팅 변경, 감염 확산, 백신 우회 등의 기법도 널리 활용되고 있다. 부팅 변경 기법은 마스터 부트 레코드(MBR)를 재작성하거나 삭제해 시스템 부팅을 불가능하게 만든다. 이를 우회하기 위해 안전모드 부팅을 시도하는 것도 무용지물이다. 페트야(PETYA)는 이러한 공격 수법을 가진 대표적인 랜섬웨어다.
백신·샌드박스 우회하는 지능형 악성코드
랜섬웨어에 의해 감염된 1개의 시스템 복구도 어렵지만, 이동식 드라이브와 네트워크를 통해 감염이 확산된다면 또 다른 중요 데이터가 암호화될 위험에 놓인다. 해당 공격 수법을 사용하는 랜섬웨어는 지크립토(Zcryptor)는 이동식 드라이브와 네트워크의 공유폴더까지 확산해 감염시킨다.
알려지지 않은 악성코드를 탐지해 신변종 랜섬웨어를 차단하기 위해 ‘샌드박스’ 방식이 제안되지만, 샌드박스는 쉽게 무력화된다. 악성코드는 실행되는 환경이 가상환경인지 인지하고 가상환경에서 실행되지 않도록 설계되기 때문이다.
백신을 무력화하는 워치독 프로세스는 멀웨어의 새로운 인스턴스를 부활시키기 위해 svchost.exe로 명명된 regsvr32.exe 또는 rundll32.exe을 복사하고, 하나의 프로세스가 암호화를 실행하면, 나머지 하나의 프로세스는 워치독으로 활동한다.
버록(VIRLOCK)은 다형성 암호 기법을 가진 랜섬웨어로, 감염이 실행될 때마다 코드를 변경해 보안 소프트웨어에서 탐지가 매우 어렵다. 감염 파일에 무작위 가비지 코드와 API 콜을 삽입하기도 한다.
네트워크 드라이브 암호화해 피해 확산
랜섬웨어의 지속적인 공격에서 주목할 만한 기술은 네트워크 드라이브의 데이터를 암호화하고, 이와 더불어 서버 메시지 블록(SMB)을 공유해 발견되는 모든 파일을 암호화 하는 것이다. 2015년 등장한 크립토포트레스(CryptoFortress)가 이 수법을 사용한다. 크립토월 3버전과 4버전도 연결된 모든 드라이브로 확산하여 데이터를 암호화한다.
또 다른 변종인 파워웨어(PowerWare)와 포쉬코더(POSHCODER)는 윈도우 파워쉘 기능을 악용한다. 크립토락커 공격에서는 C&C 서버 연결을 위한 도메인 제너레이션 일고리즘(DGA)도 발견됐다. CryptXXX의 경우, 피해자의 정보를 탈취해 지하시장에서 판매한다.
랜섬웨어 공격자가 취약점을 이용하여 위협을 확산시킬 경우, 감염 피해 복구는 더욱 어려워진다. 샘샘(SAMSAM)은 젝스보스(Jexboss) 익스플로잇을 악용해 네트워크를 통해 취약한 서버에 침투하여 랜섬웨어 공격을 실행한다.
‘돈 지불하는 피해자’, 지속적으로 공격 받아
랜섬웨어 공격을 받은 기업/기관들은 공격자에게 돈을 주고 파일을 복구하고자 하지만, 이것은 매우 위험한 결정이라고 트렌드마이크로는 경고한다. 한 번 랜섬을 지불할 경우, 돈을 지불하는 피해자로 인식되어 더 많은 랜섬웨어 공격의 대상이 될 수 있기 때문이다.
트렌드마이크로는 파일 백업과 보안 정책을 재정비 하는 것이 중요하다고 강조하면서도, 이러한 방법을 우회하는 공격이 등장하고 있으므로 다층 보안설계를 구축해야 한다고 조언한다. 한편 트렌드마이크로는 이메일을 통한 랜섬웨어를 차단하는 ‘딥 디스커버리 이메일 인스펙터’, 엔드포인트를 보호하는 ‘오피스스캔’ ‘맥시멈 시큐리티’, 네트워크에서 랜섬웨어를 감지하는 ‘딥디스커버리 인스펙터’, 서버를 보호하는 ‘딥시큐리티’, 그리고 클라우드 기반 이메일 게이트웨이 보안 서비스 ‘워리프리(Worry-Free) 비즈니스 시큐리티’ 등을 제공한다.
