“비트코인 거래 금액의 1.5%, 랜섬웨어 공격자에게 지급”
상태바
“비트코인 거래 금액의 1.5%, 랜섬웨어 공격자에게 지급”
  • 김선애 기자
  • 승인 2017.02.02 12:52
  • 댓글 0
이 기사를 공유합니다
한국랜섬웨어침해대응센터 “지난해 랜섬웨어 공격 16가지…스피어피싱·멀버타이징 통해 유포”

지난해 국내 비트코인 거래 금액의 약 1.5%가 랜섬웨어 공격자에게 지급된 것으로 분석됐다.

한국랜섬웨어침해대응센터에 따르면 지난해 랜섬웨어 피해를 입은 사람이 13만명이고 이로인해 3000억원의 피해가 발생했으며, 이 중 10% 가량이 100억원 이상의 비트코인을 지불한 것으로 나타났다. 이는 작년 국내 비트코인 거래규모인 6500억원의 약 1.5%에 해당하는 금액이다.

센터가 분석한 바에 따르면 랜섬웨어 침해 피해 신고가 3255건이었으며, 랜섬웨어 공격이 전년 8가지에서 2016년 16가지로 2배 증가했다. 가장 많은 피해를 입힌 랜섬웨어는 상반기 록키와 울트라크립트, 하반기에는 록키와 케르베르가 가장 많은 피해를 입혔다. 5월초까지 피해의 43%로 큰 비중을 차지했던 테슬라크립트 복호화 마스터키가 공개된 후 공격이 종료됐다.

한국, 인터넷 통한 감염 가장 많아

감염경로는 인터넷를 통한 감염이 70%였으며, 이메일은 25%이다. 미국과 유럽은 위장 이메일을 통한 감염이 70%로 우리나라와 다른 양상을 보인다. 외국은 업무시간에 인터넷 서핑을 엄격하게 제한하고 있지만, 우리나라는 대체로 자유롭게 허용되는 근무환경 때문에 인터넷을 통한 감염이 많은 것으로 보인다고 센터는 분석했다.

위장 이메일을 통한 침해 방식인 록키(Locky)와 후속 변종은 자바스크립트(JS)방식을 도입해 해외사업을 하는 거의 모든 기업에 뿌려 큰 피해를 입혔다. 특이할 사항은 C&C 서버 운영 능력이 다른 해커그룹보다 크게 발전됐고, 네트워크에 의한 감염능력이 매우 강했다는 것이다.

암호화 후 비트코인 거래시 복호화키 수신 신뢰도가 거의 100%에 육박했고, 러시아IP는 감염시키지 않았다. 그 외 랜섬웨어 유포자와 실시간 메신저가 가능한 하반기 최고 위협인 케르베르를 비롯한 랜섬웨어는 주로 인터넷을 통해 감염시켰다.

개발그룹-공격그룹, 4:6으로 수익 배분

랜섬웨어 해커는 개발그룹과 유포그룹으로 그룹핑되고 개발자의 노출을 최소화하는 구조이며수익은 개발그룹 40%, 유포그룹 60%로 분배된다. 국내를 대상으로 공격하는 랜섬웨어는 러시아와 그 주변국에서 개발됐고 유포는 중국이며 한국과 중국 사용자를 대상으로 유포되고 있는 것으로 추정된다. 그 이유는 공격대상 PC의 IP가 러시아일 경우 감염에서 제외하고 있고 한글을 잘 이해하는 해커가 가담된 것으로 분석되기 때문이다.

지난 3년간 랜섬웨어의 공격대상은 백업이 미비하고 보안이 취약한 PC데이터를 주로 노렸고4GB보다 큰 사이즈 파일을 감염시키지 못했으나, 2016년부터는 4GB이상 파일도 암호화 시키고 서버의 DB를 감염시키기 시작했다.

특히 신고 건수가 많지 않았지만 XTBL과 Glove3와 같은 랜섬웨어는 주로 병원의 EMR DB와 같은 민감한 데이터를 감염시켜 1000만원 이상의 복구비용과 업무진행의 애로를 겪었다.

DB를 공격한 대표적인 사례로, 작년 7월 월 1억원 정도 거래하는 꽃거래 플랫폼의 DB가 XTBL에 의해 감염돼 2번에 걸쳐 해커와의 거래를 시도한 끝에 24일 만에 재가동됐으나 매출이 30%가 감소되는 등의 경영상의 큰 위험에 처하게 됐다. 이 사이트는 외장형 하드디스크에 매일 백업을 받았으나 동시에 암호화되어 무용지물이 되었다.

제조기업, 생산설계도 감염돼 큰 피해입어

랜섬웨어 피해는 다양한 분야에서 일어난다. 병원의 임상실험 데이터, 8년 동안 찍어둔 아기 사진, 과목별로 정리한 파일이 암호화된 수험생, 인쇄 직전의 광고회사, 생산설계도가 감염된 기계 제조회사, 클라우드와 문서중앙화 시스템을 도입한 중견회사, 인사자금 기밀파일이 암호화된 대기업과 외국계 회사, 업무 관련 파일이 암호화된 대형 공공기관, 산하기관과 지자체 등 개인으로부터 대중소 회사, 정부기관, 지자체 등 대한민국 전체가 망라되어 있다.

피해자들은 대부분 최소 백신을 사용하고 있었고, 50% 이상의 기업과 기관이 방화벽 등 보안솔루션을 도입하고 있었다. 이 피해자들의 공통점은 PC데이터에 대한 보호 및 관리정책이 없어서 백업을 전혀 하지 않았거나 외장하드와 같은 곳에 부실하게 백업하여 피해를 당했다.

한편으로는 감염 사실이 알려지면 조직 내의 감사 혹은 대외적인 보안의 신뢰 문제가 발생되기 때문에 이를 보고하지 않고 개인적으로 처리하고 있어 조직적이고 체계적인 침해 대응을어렵게 만들고 있다.

복구비용과 데이터 유출 2차 피해발생

랜섬웨어 감염자에 대한 피해는 총 3단계로 구분된다. ▲1단계(1차 피해): 감염 후 데이터 사용 중지, 업무 중지 또는 비정상적 업무 진행, 회사·기관의 유무형적 손실 발생 ▲2단계(2차 피해): 복구 과정에서 금전적 피해 발생과 중요·기밀 데이터 유출 가능성 상존 ▲3단계(3차 피해): 비트코인 송금 후 복호화 키를 접수하지 않았거나, 오류로 복구가 불가능한 경우도 있다.

비트코인이 약 120만원까지 상승해 복호화 비용이 증가했고, 랜섬웨어 악성코드를 이용한 범죄가 발생하고 있다. 무엇보다도 복구하는 과정에서 개인정보 및 회사와 기관의 중요정보가 유출될 가능성이 매우 높아 세심한 주의가 요구된다.

한국 표적형 공격 증가

센터는 글로벌 기업이 분석하는 랜섬웨어 동향과 국내에서 발생하는 공격 동향이 다르다고 강조하며, 한국 표적형 공격이 증가하고 있다고 밝혔다. 글로벌 기업이 추적하는 공격그룹과 한국에서 나타나는 공격그룹이 다르며, 중국의 유포자가 한국인만을 특정해 공격하는 공격이 집중되고 있다고 설명했다.

올해 랜섬웨어 위협은 사용자의 인식 증가와 보안 기업들의 대응 노력으로 공격 빈도는 한층 꺾일 것으로 보인다. 그러나 공격자들은 기술수준을 높여 다시 공격을 진행할 것으로 보인다. MS 오피스와 PDF로 만든 파일에 매크로를 숨겨 보안 소프트웨어를 피해 가는 방법과 사회공학적인 기법이 적용된 지능화된 랜섬웨어가 기승을 부릴 것으로 전망하고 있다.

기존 해킹의 주대상이었던 개인정보(주민등록번호, 휴대폰번호, 의료기록, 신용카드번호, 이메일 주소)를 거래하는 시장은 붕괴되었기 때문에 이를 판매해서 금전적 보상을 받기까지 장시간이 걸리고 가격도 낮아졌다.

랜섬웨어 해킹은 특별한 기술 없이 시작할 수 있고 유포 후 3일 이내에 비트코인이 들어오고 지속적인 수입을 보장한다. 따라서 해커들은 랜섬웨어를 포기할 이유가 없고 더욱 교묘하고 지능적이며 사회공학적인 기법을 접목하여 발전할 것이다.

예를 들어 작년에 인터파크에서 빼간 해외여행 결제정보를 이용해 결제 당사자들에게 ‘Flight Schedule’이라는 첨부파일의 위장 이메일을 송부한다면 20~30%는 감염될 것으로 추정된다. 이는 APT공격을 통한 정보수집과 랜섬웨어 공격이 결합되면 그 피해와 파장이 매우 크다는 사실을 의미한다.

병원DB·클라우드 스토리지 공격 늘어날 것

지난 2년간 랜섬웨어 위협에 대한 경험과 인식의 확산으로 데이터를 백업하는 사용자가 증가하고 랜섬웨어를 차단하는 보안기술이 발전했기 때문에 올해 랜섬웨어 해커들은 기존 랜덤방식의 지능형 공격을 강화하면서 동시에 병원 DB, 클라우드 스토리지, 중앙화 시스템을 공격하는 표적형 공격으로 진화할 것으로 전망된다.

또한 많은 인원이 동원된 콜센터 운영을 기반으로 강력한 오프라인 파일 암호화 실행과 100달러 정도의 낮은 금전요구, 차후 감염되지 않는 비용을 선불로 받는 새로운 랜섬 지불 모델의 도입 등을 특징으로 하는 스포라(Spora)와 같은 신종 랜섬웨어 그룹이 다수 출현할 것으로 보인다.

센터는 해커와 방어자 간 ‘기술정보의 비대칭’ 문제로 진화하는 공격을 차단하는데 한계를 보인다고 설명한다. 해커는 시장의 모든 백신 엔진과 차단 엔진을 테스트 후 랜섬웨어를 침투시킬 수 있는 기술을 보유하고 있으나 보안회사들은 백신 혹은 차단제품을 공개하기 때문에 랜섬웨어를 100% 차단할 수 없다. 특히 실행파일 형태를 갖추지 않고 메모리 상에서 직접 파일을 암호화시키는 기술이 해킹에 접목되면 기존 보안기술은 무용지물이 될 것이다.

사용자·정부, 랜섬웨어 피해 예방 수칙 지켜야

센터는 랜섬웨어 방어를 위한 수칙을 다음과 같이 권고했다.

1. 랜섬웨어가 침해하지 못하는 전문 백업제품을 사용해 사전에 백업 받을 것

2. 랜섬웨어 차단 가능한 백신으로 업데이트할 것

3. 이메일 첨부파일 열람에 주의를 기울일 것

4. 윈도우 업데이트로 보안취약점을 없앨 것

5. 이메일 링크로 접속 말고, 직접 접속할 것

6. 회사와 기관은 데이터 보호관리 정책수립 후 사용자에게 교육할 것

센터는 정부가 다음과 같은 노력을 기울여야 한다고 권고했다.

1. 해커를 살찌우는 비트코인 송금을 불법화 정책수립

2. 부득이 복호화가 필요한 경우 신고제 통해 감염-복호화-비트코인 송금 등 전과정에 대한 추적을 DB화

3. 사전 예방이 최선의 방어라는 인식을 확산시켜 데이터를 백업하여 IT재해 상황 대비

4. 기업 혹은 공공기관 중 랜섬웨어 감염이 발생할 경우 언제든지 사이버테러 혹은 APT공격을 받을 수 있다는 사실을 주지시키고 반드시 시정조치

저작권자 © 데이터넷 무단전재 및 재배포 금지
김선애 기자
김선애 기자 다른기사 보기
댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사