> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[2017 랜섬웨어①] “사물 랜섬웨어(RoT) 시대 온다”
인터넷 연결된 모든 곳에 랜섬웨어 공격 가능…다른 수법 연계해 더 고도화된 타깃 공격 가능
     관련기사
  [2017 랜섬웨어②] 방어 기술 우회하는 랜섬웨어
2017년 04월 20일 15:44:26 김선애 기자 iyamm@datanet.co.kr

랜섬웨어가 더 강력해져서 돌아왔다. APT 기법을 적용해 타깃 사용자에게 정교하게 맞춘 공격 방식을 택하고 있으며, IoT와 산업제어시설을 노려 심각한 피해를 입힐 수 있게 한다. 서비스형 랜서웨어(RaaS), 오픈소스 랜섬웨어가 등장하면서 누구나 쉽게 공격을 할 수 있는 환경이 조성됐으며, 비트코인과 같은 암호화 화폐가 다양하게 나오고 있어 돈세탁과 추적 방지도 쉬워졌다. 새로운 국면을 맞은 랜섬웨어 공격 동향을 살펴본다.<편집자>

지난해 하반기 잠시 주춤했던 랜섬웨어가 더 강력해진 모습으로 돌아왔다. 올해 등장한 랜섬웨어는 더 정교하게 한국 상황에 맞게 위장됐다. 국내 유명 단체의 공지로 위장한 메일을 보내는가 하면, 1~2월 연말정산 시기에는 이와 관련한 안내문으로 위장하고, 정기인사 시기에는 인사이동 관련 사내 공지로 위장하고 있다.

한국어로 복호화 키를 받는 방법과 비트코인 송금 방법을 안내하는 상담코너도 운영한다. 자동번역기를 이용한 것처럼 어색한 표현이 아니라, 자연스러운 한국어를 사용한다.

이스트시큐리티가 쫓고 있는 ‘비너스락커(Venus Locker)’는 한국 상황에 정교하게 맞춘 공격을 진행한다. 신뢰도 높은 기관에서 발송하는 공식 안내문, 프로젝트 입찰 관련 안내 등으로 위장하고 있으며, 국내에서 널리 사용하는 압축프로그램과 한글로 된 정교한 파일명을 사용한다.

추적을 피하기 위해 공격자는 다양한 국가에 C&C 서버를 두고 운영하고 있으며, 공격에 활용한 문서파일도 다양한 국가 언어를 이용하고 있다.

   

▲랜섬웨어의 변화(자료: 시스코)

경쟁 치열해지는 랜섬웨어 산업

올해 나타난 새로운 랜섬웨어 중 ‘독스웨어(Doxware)’는 데이터를 암호화하는 것이 아니라 탈취해 그 중에서 사진, 연락처 등 민감한 개인정보를 온라인에 공개한다고 협박한다. 공격자는 피해자의 연락처 정보를 훔쳐 정보가 공개된 페이지 링크를 지인에게 보낸다고 협박한다.

독스웨어는 랜섬웨어보다 추적당할 가능성이 높다. 공격자가 훔친 데이터를 온라인상에 올리면 이를 토대로 추적해 공격자를 찾을 수 있기 때문이다. 그럼에도 불구하고 보안 전문가들은 독스웨어가 2년간 증가할 것이라고 내다보고 있다. 스마트폰, IoT 기기를 타깃으로 한다면 추적을 당하기 전 충분한 돈을 받고 사라질 수 있다고 판단하기 때문이다.

랜섬웨어 시장이 커지면서 개발자간의 가격경쟁도 치열하게 진행되고 있다. 서비스형 랜섬웨어(RaaS)로 비용을 줄이고 수익을 높이는 방법이 제안되는가 하면, 단돈 45만원의 저렴한 가격으로 이용할 수 있는 랜섬웨어도 등장했다. 공격에 성공한 것 중 지금까지 알려진 가장 저렴한 랜섬웨어는 ‘필라델피아’ 랜섬웨어로 45만원이면 블랙마켓에서 살 수 있다. 이 랜섬웨어는 2월 춘천 시내버스 정류장 버스정보 안내기가 감염된 바 있다.

랜섬웨어 시장의 경쟁이 활발해지면서 다른 공격자의 공격코드를 훔쳐 사용하는 초유의 사태도 발생했다. 카스퍼스키랩이 발견한 페트랩(PetrWrap)은 RaaS의 대표적인 모델인 ‘페트야(Petya)’ 모듈을 무단으로 사용한다.

정식 소프트웨어를 무단으로 사용할 수 없게 락을 걸듯, RaaS 역시 무단사용을 막기 위한 락을 걸어두었지만, 페트랩 공격자들이 이를 풀고 사용하고 있는 것이다. 페트랩 공격자들은 자체 개발한 암호화 알고리즘을 사용해 공격을 진행하며, 공격에 성공했을 때 자신들에게 비트코인을 보내도록 조작해두었다.

랜섬웨어 시장에서 혈투가 벌어지면서 랜섬웨어 시장도 곧 사라질 것이라고 예측하는 전문가도 있지만, 이는 너무 성급한 생각이라는 것이 중론이다. 일부 공격조직들이 시장 장악력을 높이기 위해 경쟁조직의 소스코드를 공개하거나암호화키를 풀어 공격을 무력화하는 일이 벌어지고 있지만, 공격자들은 쉽게 돈을 벌 수 있는 랜섬웨어를 절대 포기하지 않을 것이며, 더욱 더 정교한 방법으로 공격을 진행할 것이다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  랜섬웨어, 사물인터넷, RoT, 사물 랜섬웨어, 비너스락커, 독스웨어
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr