[2017 랜섬웨어⑤] 랜섬웨어 안전지대 없다
상태바
[2017 랜섬웨어⑤] 랜섬웨어 안전지대 없다
  • 김선애 기자
  • 승인 2017.05.04 13:29
  • 댓글 0
이 기사를 공유합니다

2016년 랜섬웨어 80% 증가…오픈소스 랜섬웨어 코드 등장하면 공격 시장 진입장벽 낮춰

지난해 서비스형 랜섬웨어(RaaS)가 등장하면서 랜섬웨어 공격을 쉽게 만들더니 올해는 오픈소스 랜섬웨어 코드까지 등장하고 있다. 올해 들어 맞춤형 랜섬웨어는 더욱 정교한 사회공학기법을 사용해 사용자가 구분하지 못하도록 만들었으며, 복구비용을 아주 저렴하게 하거나 매우 비싸게 하는 등 수익성도 다양하게 만들고 있다. 현재 상태의 랜섬웨어는 장기적으로 지속가능할 것으로 보이지 않지만 향후 다른 공격과 결합해 위험수위를 더욱 높인 공격으로 발전할 가능성이 있다.<글 김수영 한국맥아피 이사>

랜섬웨어는 2000년도 중반부터 본격적으로 알려지기 시작했으며, 2013년부터 급증하는 추세다. 아울러 랜섬웨어의 감염으로 인해 개인과 기업 뿐만 아니라 의료, 공공기관까지 그 피해는 매년 증가하고 있다.

맥아피 연간보고서에 따르면, 랜섬웨어는 2016년에 약 80% 정도 증가했으며, 2017년 하반기 까지 매우 중요한 위협이 될 것으로 예상한다. 블랙마켓에 판매되고 있는 서비스형 랜섬웨어(RaaS), 맞춤형 랜섬웨어, 오픈소스 랜섬웨어 코드의 창조적 파생물들은 올해 상반기에 보안 업계를 바쁘게 만들 것이다.

랜섬웨어가 사이버 범죄의 새로운 경제체계라고 해도 놀랄만한 일은 아니다. 지난 2월 미국 샌프란시스코에서 열린 ‘2017 RSA 컨퍼런스’에서는 이례적으로 랜섬웨어 전문 세션이 진행됐다. 이 세션에서는 주로 랜섬웨어 공격 대상, 요구 금액, 차단 및 방어 방법에 대해서 자세히 다뤄졌다.

라즈 사머니 맥아피 유럽·중동·아프리카(EMEA) CTO에 따르면, 현재 발견된 랜섬웨어의 종류는 약 400여종이다. 윈도우는 물론이고, 최근에 발견된 킬디스크(KillDisk)와 같이 리눅스 시스템을 대상으로 한 랜섬웨어도 있으며, 맥OS도 안전하지 않다.

<그림 1>전체 랜섬웨어 (자료: 맥아피랩, 2016)

다크넷서 랜섬웨어 판매 활동 활발하게 전개돼

1월과 2월에 발견된 킬디스크 랜섬웨어는 변종까지 발견된 상태이다. 감염 후 지불금액만 222비트코인(약 3억원)에 이르며, 복구가 어렵다. 킬디스크는 리눅스 데이터를 삭제하는 멀웨어로, 다른 악성 프로그램에서 일반적으로 감염된 시스템에서 종적을 숨기는 데 사용된다. 감염되고 나면 별도로 키를 서버로 전송하거나 저장하지 않아 복구비용을 지불하더라도 복구가 불가능하다.

최근 독스웨어(Doxware)라는 랜섬웨어가 발견되고 있는데, 데이터를 암호화 한 후 돈을 요구하는 것이 아니라, 감염된 데이터에서 사진, 이메일 등 개인정보를 탈취해 온라인 등에 공개하겠다고 협박하는 형태다.

또 다른 종류의 랜섬웨어로 스포라(Spora)가 눈에 띄는데, 기존의 랜섬웨어보다 낮은 79달러의 복구비용을 요구하며, 추가로 지불할 경우 다시 감염하지 않는다는 면제 혜택도 주어진다.

스포라는 파일을 암호화 한 이후 원본 파일명으로 바로가기 .lnk 파일을 생성한다. 이 파일을 실행할 경우 네트워크 등 다른 경로를 통해서 감염이 전파되며, 파일명이나 확장자의 변조는 없다. 주요 감염대상은 유명인사, 기업의 주요요직의 임원이 될 수 있다. 감염경로는 실행 시 감염파일을 서버에서 드롭퍼 형태로 다운 받아서 실행한다. 주로 가짜 사이트를 통해서 다운로드 받게 하거나 크롬 브라우저 업데이트를 위장해서 실행을 유도한다.

3월에는 다크넷 포럼에서는 직소(Jigsaw) 랜섬웨어 판매를 위한 활동이 활발하게 일어났다. 일부 사람들은 비트코인 블랙메일러(BitcoinBlackmailer), 크립토히트맨(CrytoHitMan), 인비저블 엠파이어(Invisible Empire), 비트코인 스틸러(BitcoinStealer), 또는 에픽(Epic)으로 직소를 알 수 있다.

다크넷 포럼의 한 판매자는 자신의 버전이 100% 완전감지불가(FUD)이며 이번 달에 업데이트됐다고 주장하기도 한다. 또한 판매자는 몸값이 지불되지 않으면 희생자가 컴퓨터를 끄거나 파일을 24 시간마다 파일을 삭제하도록 프로그래밍 할 수 있다고 주장했다. 판매자는 또한 소스 코드를 포함하고 대가로 파일의 몸값의 삭감을 요구할 것으로 예상된다.

▲다크넷 포럼에서 판매되는 직소 랜섬웨어. 판매자는 자신의 버전이 완전감지불가한 상태이며, 가장 최근 업데이트 됐다고 소개한다.

랜섬웨어가 IoT, ICS/SCADA 망 까지 노리고 있다는 전망이 제기되면서 더욱 심각한 경고가 제기된다. 지난해 블랙햇 컨퍼런스에서 차량의 인포테인먼트 시스템을 목표를 한 랜섬웨어 뿐만 아니라 랜섬웨어가 자동차의 브레이크 및 시동까지 제어 할 수 있다는 사실이 시연을 통해 증명됐다.

ICS/SCADA는 패쇄망이지만 여전히 위험하다. 운영중인 장비 중 노후화 된 장비도 있고, 특성상 각종 취약점을 그대로 지낸체 운영되는 장비도 여전히 많다. 작년에 우크라이나 발전소 정전 사건을 일으킨 킬디스크 악성코드가 랜섬웨어 공격에 이용될 수 있다는 지적도 나온 바 있다. 랜섬웨어에 대한 피해를 최소화 하기 위해서는 ICS/SCADA에 맞는 보안의 설계가 이루어져야 하며, 화이트리스팅 기반의 임베디드 엔드포인트 솔루션이 필요하다.

국가·기업간 공조로 랜섬웨어 위협 완화

랜섬웨어는 계절과 기간 그리고 사이버범죄조직의 목적에 따라 기존의 랜섬웨어에서 카피캣과 변종이 계속 나오고 있고, 요구하는 금액도 종류에 따라 천차만별로 다르다. 그러나 민간기업과 공공기관이 협력하는 랜섬웨어 방어 캠페인과 조직을 통해 랜섬웨어 공격을 완화시키는 사업이 전개되고 있다.

글로벌 보안기업들이 협력해 운영하는 비영리법인 사이버 위협 얼라인스(CTA)와 네덜란드 경찰와 유로폴, 보안기업들이 참여하는 ‘노 모어 랜섬(No More Ransom)’ 등의 캠페인으로 정부사법기관과 민간 기업 공조로 랜섬웨어유포 집단에 대한 대대적인 색출 및 제제가 이뤄 지고 있다. 또한 안티 랜섬웨어 기술의 개발과 발전으로 2017년 말까지 랜섬웨어 공격의 규모와 효과를 감소 시킬것으로 예상된다.

랜섬웨어의 성장의 문을 열어놓은 가상화폐의 미래도 생각해 볼 문제다. 비트코인 컨퍼런스에서 비트코인의 일부 서비스에 의한 ID를 노출 시킬 수 있는 수퍼노드의 안전하지 않은 접근에 대해 불평이 있었다. 결과적으로 모네로나 제로코인, 제로캐쉬 등의 대체 화폐로의 전환으로 인한 감소가 예상된다.

최근 출시되는 랜섬웨어 방어 제품은 랜섬웨어 킬체인을 잘 이해하고 만든 것으로, 랜섬웨어 행위를 연구하고 이를 화이트 리스팅기법으로 적용하고 있다. 이러한 솔루션으로 감염을 최소화 할 수 있을 것이다. 또한 감염이후에 다른 쪽으로 전파를 방지하고 원천을 찾아서 교정하고 자동화가 된다면 금상첨화일 것이라고 본다.

랜섬웨어에 대한 대응 방안으로 가장 안전한 방법은 결국 소프트웨어의 보안 업데이트이며 주요 데이터에 대한 백업은 기본이라고 할 것 이다. 하지만 감염에 대한 최소화를 위해 상식적인 조치로 진화된 랜섬웨어에 대해서 대비 할 수 있다. 예를 들면 PC에 사용 중인 방화벽이나 HIPS 등을 가동하고 웹브라우저에 어도비 플래쉬를 차단하며, 오피스의 경우 매크로기능 설정을 끈다.

대부분의 감염 경로가 웹사이트와 이메일에서 부터 진행되므로 의심스러운 파일은 열지 않고 전파하지도 말아야 한다. 주의가 필요한 악성사이트는 차단하고 방문하지 않도록 한다. 보안의 강도가 높다고 생각할지 모르겠지만 해외 글로벌 기업의 경우 허용된 애플리케이션이외의 제품은 정책 허용없이 인스톨조차 불가능하다. 마지막으로 랜섬웨어 전용 보안 솔루션으로 감염을 최소화 시킬수 있도록 해야 한다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.