“감염 즉시 암호화…C&C 통신 없는 랜섬웨어 등장”
상태바
“감염 즉시 암호화…C&C 통신 없는 랜섬웨어 등장”
  • 김선애 기자
  • 승인 2016.07.27 09:43
  • 댓글 0
이 기사를 공유합니다

시만텍 “랜섬웨어 패밀리 급증하며 신변종 공격 발생 빈도 높아져…랜섬웨어 비즈니스 모델화 가속”

C&C 통신을 하지 않는 악성코드가 늘어나고 있다. 랜섬웨어 악성코드 중 C&C 통신 없이 단말에 감염된 즉시 파일을 암호화하고 돈을 요구하도록 프로그래밍 돼 있는 경우가 증가하고 있는 것으로 나타났다.

윤광택 시만텍코리아 상무는 “C&C 통신 없이 공격이 시작되는 악성코드가 랜섬웨어 공격에 사용되고 있다”며 “랜섬웨어 패밀리가 급증하면서 변종 랜섬웨어 등장 빈도가 높아지고 있으며, 대응하기가 까다로워졌다”고 말했다.

박희범 시만텍코리아 대표는 “랜섬웨어는 공격자들이 쉽게 돈을 벌 수 있기 때문에 성행하고 있다. 피해를 입어도 돈을 주지 않는 문화가 형성되면 랜섬웨어 공격은 자연스럽게 사라질 것”이라며 “신뢰할 수 있는 보안 솔루션을 사용하고, OS·소프트웨어 보안 패치를 최신 상태로 유지하며, 의심스러운 웹사이트 방문이나 이메일 첨부파일 실행을 자제하는 등 기본 보안 수칙을 잘 지키는 것이 급선무”라고 설명했다.

▲박희범 시만텍코리아 대표는 “랜섬웨어는 공격자들이 쉽게 돈을 벌 수 있기 때문에 성행하고 있다. 피해를 입어도 돈을 주지 않는 문화가 형성되면 랜섬웨어 공격은 자연스럽게 사라질 것”이라며 평소 보안 수칙을 잘 지켜 랜섬웨어 공격을 당하지 않도록 하고, 공격을 당해도 돈을 주지 말 것을 당부했다.

랜섬웨어 패밀리 늘어나며 ‘기발한’ 공격 방식 등장

시만텍의 ‘랜섬웨어 스페셜 보고서 2016’에 따르면 랜섬웨어 종류는 2014년 77개였으나 2015년에는 100개의 새로운 랜섬웨어가 등장했으며, 공격 수법과 경로가 다양해지고 지능화돼 피해를 증가시키고 있다.

공격 대상은 일반 사용자에서 기업으로 확산되고 있는데, 기업은 중요한 데이터가 많아 더 높은 비용을 받아낼 수 있기 때문이다.

서비스 방식의 랜섬웨어(RaaS)가 증가하고 있다는 것도 대응을 어렵게 만드는 요인으로 작용한다. 랜섬웨어는 악성코드 개발그룹은 악성코드를 개발하고, 전문 유통 채널이 악성코드와 공격용 툴킷을 공격그룹은 판매한다. 공격그룹은 해킹 전문지식이 없어도 악성코드와 툴킷을 이용해 공격을 진행할 수 있다.

개발그룹은 악성코드가 보안 솔루션에 탐지되지 않도록 우회기술을 지속적으로 개발해 업데이트한다. 가장 복잡하게 설계된 랜섬웨어 악성코드로 꼽히는 록키는 여러 차례 암호화 해 보안 시스템이 분석하는데 어려움을 겪도록 했다.

새롭게 등장한 C&C 없는 악성코드는 공격 단계를 줄여 탐지되지 않도록 하는 새로운 기법으로 보인다.

일반적으로 악성코드는 사용자 단말 취약점을 이용해 실행되며, 실행 후 C&C 서버와 통신해 페이로드를 받는다. 페이로드가 파일을 암호화하는 실제 랜섬웨어 악성코드다. 보안 시스템은 최초 악성코드가 다운로드 될 때, 의심스러운 외부 통신(C&C 통신)이 발생할 때, 의심스러운 페이로드가 내려오고 실행될 때 3단계에 걸쳐 공격을 탐지할 수 있다.

C&C 없는 악성코드는 단 한번의 감염만으로 랜섬웨어 공격을 당하도록 돼 있어 방어가 어렵다. 이러한 악성코드는 백신 시그니처에 없는 새로운 악성코드로, 공격이 시작도기 전 탐지가 어렵다.

윤광택 상무는 “랜섬웨어 패밀리가 늘어나면서 놀랍도록 정교한 방식으로 설계된 악성코드가 등장하고 있다. 신변종 랜섬웨어는 시그니처 방식의 백신으로는 탐지하기 어려우며, 행위기반 기술, 평판기반 기술, 글로벌 위협 인텔리전스 등 여러 방법을 이용해 방어해야 한다”고 강조했다.

PC 한대당 577만원 요구하는 대담한 공격도 발생

전 세계에서 랜섬웨어 공격에 가장 많이 당하는 국가는 미국으로, 전체 감염 건수의 31%를 차지했다. 우리나라는 28위를 기록했다. 랜섬웨어 몸값은 2014년 43만원 수준이었지만, 올해 상반기는 약 77만원(679달러)에 이르렀다. 1월 등장한 7ev3n-HONE$T (Trojan.Cryptolocker.AD)로 알려진 랜섬웨어가 컴퓨터 1대 당 13개 비트코인인 5083달러(약 577만원)를 요구하면서 최고 몸값을 기록하기도 했다.

랜섬웨어는 대규모로 무차별하게 감염시키는 공격 형태가 여전히 성행하고 있지만, 최근 공격 형태를 살펴보면 기업 사용자를 대상으로 하는 랜섬웨어 패밀리가 발견되는 등 기업이 공격자들의 핵심 표적이 되고 있다.

이번 조사 결과, 기업 사용자가 랜섬웨어 감염의 약 43%를 차지했다. 기업을 겨냥한 공격은 성공 시 수 천대의 컴퓨터를 감염시켜 운영 장애와 매출, 평판에 심각한 타격을 입힘으로써 몸값이 훨씬 늘어날 수 있기 때문이다. 피해를 입은 산업별 통계를 보면, 서비스업(38%)과 제조업(17%), 공공(10%), 금융권 및 부동산(10%) 등이 주로 피해를 입은 것으로 나타났다.

쇼핑몰에서 물건 사듯 랜섬웨어 ‘패키지’ 쇼핑

랜섬웨어는 진화를 거듭하면서 지능형 공격 기법을 사용하고 있다. 표적형 랜섬웨어 공격은 사실상 사이버 스파이 활동이나 APT 공격자들이 사용하는 것과 유사한 기술과 툴을 활용해 높은 수준의 전문성을 보인다. 랜섬웨어 패밀리는 자바스크립트, 파워쉘(PowerShell), 파이썬(Python) 등 다양한 프로그래밍 언어로 사용하고 있으며, 스크립트형 언어를 사용해 보안 제품 탐지를 우회한다. 또한 암호화 기능 외에 새로운 위협을 가하기도 한다. 변종인 키메라(Chimera) 랜섬웨어는 돈을 지불하지 않으면 사진, 동영상 등 개인 데이터를 인터넷에 게시하겠다고 위협한다.

랜섬웨어가 사이버 범죄의 인기 비즈니스 모델로 자리 잡고 있다. 랜섬웨어 서비스(RaaS) 확산은 전문기술 수준이 상대적으로 낮은 공격자도 자체 랜섬웨어를 확보할 수 있도록 해서 더 많은 사이버 공격자를 양산시킨다. 실제로 랜섬웨어 공격을 위한 키트나 공격 대행 서비스 상품은 인터넷 암시장을 통해 마치 쇼핑몰에서 물건을 사듯 쉽게 거래되고 있다.

윤광택 시만텍코리아 CTO는 “랜섬웨어가 사이버 공격자들의 새로운 골드러시가 되면서 비즈니스 모델로 진화하고 있다”며, “랜섬웨어가 기업을 겨냥해 지능형 공격기법을 적용하고 표적 공격을 확대하고 있음을 고려했을 때, 단순히 랜섬웨어라는 악성코드만 대응하는 것이 아니라 신종 위협을 비롯해 기업 내 전방위적인 악성코드 대응 전략을 수립하는 것이 필요하다”고 강조했다.

랜섬웨어 공격 수단은 이메일 내 URL 또는 첨부 파일, 익스플로잇 킷을 통한 감염 등 다양하다. 시만텍은 기업 사용자 및 개인 사용자에게 ▲운영체제(OS)를 비롯한 모든 소프트웨어를 항상 최신으로 업데이트할 것 ▲수상한 이메일, 특히 링크나 첨부 파일을 포함하고 있는 이메일은 주의할 것 ▲콘텐츠 확인을 위해 매크로 실행을 권고하는 MS오피스 이메일의 첨부 파일의 경우 각별히 조심할 것. 이메일의 출처를 신뢰할 수 없다면, 매크로를 실행하지 말고 즉시 삭제할 것 ▲중요한 데이터는 주기적으로 백업할 것 등을 권고하고 있다. 


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.