관리자 권한으로 윈도우 PC를 사용하는 습관 때문에 랜섬웨어 공격에 취약하다는 보고서가 발표됐다.
이셋코리아(대표 김남욱)가 29일 발표한 랜섬웨어 분석 보고서에 따르면 윈도우 사용자들은 관리자 권한으로 사용하기 때문에 악성스크립트 코드가 자동으로 실행된다. 웹사이트 혹은 웹사이트 광고에 숨어있는 악성 스크립트가 사용자 단말에 설치되면, C&C 통신으로 페이로드를 받아 시스템에 설치하고, 파일을 무단으로 암호화 하게 된다.
이셋코리아 보고서에서는 이메일 첨부파일로 유포되는 악성코드는, 사용자들의 보안인식 수준이 높아지면서 예방이 가능한 상황이지만, 웹사이트에 숨겨놓은 악성스크립트는 사용자들이 알 수 없기 때문에 매우 위험하다고 설명했다.
악성 스크립트는 보안이 취약한 합법적인 웹 사이트에 숨기는 것이 가능한 코드의 조각을 말하는데, 대부분 사용자들이 이러한 사이트를 신뢰할 수 있는 사이트로 생각하고 사이트 접속시 별다른 의심을 하지 않기 때문에 악성코드 감염을 위한 완벽한 미끼로 동작하게 된다.
악성 스크립트가 실행되면 시스템 자체의 취약점, 브라우저의 취약점 및 기타 애플리케이션의 취약점을 이용하여 랜섬웨어나 기타 악성코드를 추가적으로 다운로드하고 이를 실행시킬 수 있다.
최근 공격자들은 이러한 감염 프로세스를 위해 널리 알려진 자동화된 익스플로잇 킷을 자주 사용하는데, 합법적인 웹 사이트의 보안 취약점을 이용하여 익스플로잇 킷을 직접 설치하거나, 별도로 제작된 악성 웹 사이트로 자동 리디렉션 되도록 한다. 이 후 해당 웹 사이트를 방문하는 모든 사용자 시스템의 취약점을 탐지하고, 취약점이 발견되면 자동으로 공격이 수행된다.
이 공격은 웹사이트 광고를 통해서도 진행되는데, ‘멀버타이징(malvertising)’이라고 부른다. 최근 인터넷 커뮤니티를 통해 진행된 랜섬웨어 공격이 이에 속한다.
웹사이트 혹은 광고에 포함된 난독화된 자바 스크립트 코드가 사용자 단말에 감염되면 C&C 통신을 통해 악성코드를 다운로드하며, 이 코드가 파일을 암호화 하는 등 랜섬웨어 공격을 시작한다.
김남욱 이셋코리아 대표는 “악성 스크립트에 의한 랜섬웨어 공격을 예방하기 위해서는, 인터넷에서 100% 안전한 웹 사이트는 존재하지 않는다는 것을 기억해야 하며, 동시에 자신을 스스로 보호하기 위한 조치를 취할 필요가 있다”며 “운영체제, 브라우저, 플래시 플레이어와 자바 등 악성코드 공격에 자주 이용되는 취약한 애플리케이션의 최신 업데이트 적용이 매우 중요하며, 중요한 데이터를 보유하고 있는 기업 환경 등에서는 윈도우의 보안 수준을 높이고 보안 솔루션을 적절히 사용하며, 악성 스크립트 등의 유입이나 실행을 감지할 수 있는 추가적인 보안 조치가 필요할 수 있다”고 말했다.
그는 이어 “경우에 따라서는, 약간의 불편을 감수하더라도 스크립트에 의한 파일 다운로드나 파일 실행 등의 행위를 아예 차단시키거나 사용자의 동의를 받도록 하는 등의 보다 적극적인 방어 조치가 필요할 수도 있는데, 이셋 등 현재 사용 중인 보안 솔루션에서 이러한 조치를 적용할 수 있습니다. 이는 자바 스크립트 뿐만 아니라 파워 쉘을 사용하는 사용자들에게도 매우 중요하다”고 덧붙였다.
