PC나 PC의 데이터를 암호화 한 후 금전을 요구하는 랜섬웨어 공격이 기업 임직원을 대상으로 빠르게 확산되고 있다. 특히 최근 발생하고 있는 랜섬웨어는 업무와 연관성이 있는 것처럼 위장한 이메일을 통해 진행되거나(스피어피싱), 웹사이트 방문자 PC에 악성코드를 감염시키는 방법(워터링홀, 드라이브 바이 다운로드)을 사용하고 있으며, 기업의 중요한 데이터를 암호화하고 있어 피해가 심각한 상황이다. 그러나 기업에서 실제로 랜섬웨어의 위협을 제대로 인지하지 못해 더욱 심각한 피해가 예상된다.
기업 37%만 랜섬웨어 심각성 인지
카스퍼스키랩이 6일 발표한 보고서에 따르면, 코인볼트(CoinVault), 크립토락커(CryptoLocker) 등 랜섬웨어 공격이 빠르게 퍼지고 있지만, 기업의 37%만이 랜섬웨어를 심각한 사이버 위협으로 인지하고 있는 것으로 나타났다.
보고서에서는 대표적인 랜섬웨어 악성코드로 코인볼트, 크립토락커, 크립토월(CryptoWall), 코인볼트(CoinVault), 토르락커(TorLocker), CTB락커 등을 들었다.
랜섬웨어 악성코드는 이메일을 통해 진행되는데, 이메일에는 실행 파일, 압축 파일, 또는 이미지 등이 첨부돼 있다. 첨부 파일을 열면 악성 코드가 사용자 시스템에 배포되거나 사용자의 컴퓨터에서 악성 코드를 심어 놓은 웹사이트를 방문했을 때 랜섬웨어가 실행되기도 한다.
사용자 컴퓨터가 감염된 후 즉시 공격이 일어나는 것은 아니며, 시스템 또는 데이터 잠금 메커니즘이 구축되고 연계될 때까지 백그라운드에서 조용히 동작한다. 사이버 범죄자는 눈에 띄지 않게 동작할 수 있는 랜섬웨어를 점점 더 능숙하게 개발하고 있으며, 랜섬웨어가 피해자에게 발각되지 않도록 하는 많은 도구와 기술을 자유자재로 사용한다.
그러다가 대화 상자가 나타나 사용자에게 데이터가 잠겼음을 알리고 데이터에 액세스하려면 몸값을 지불하라고 요구한다. 사용자가 이 대화 상자를 봤을 때는 보안 대응책으로 데이터를 보존하기에 너무 늦어버린 상황이다. 사이버 범죄자가 이러한 공격을 통해 요구하는 금액은 천차만별이며, 피해자 데이터에 걸린 암호를 해독하는 데 수백 때로는 수천 달러에 이르는 금액을 요구하기도 한다.
수백달러에서 수천달러까지 요구하기도
랜섬웨어 공격 중 ‘토르락커’는 해독이 거의 불가능에 가까운 암호화 메커니즘인 256비트 AES 키를 사용해 데이터 섹션을 복호화한 뒤 사용자 시스템에서 이를 실행한다. 이 키의 첫 4 바이트는 고유 샘플 ID로 사용되며, 암호화된 파일의 끝에 추가된다.
그리고 나서 악성 코드가 임시 폴더에 복사되고, 그 복사 파일을 자동으로 실행하는 레지스트리 키가 생성된다. 그후 taskmgr.exe, regedit.exe, procexp.exe 및 procexp64.exe 프로세스를 찾아서 종료시킨 다음 모든 시스템 복구 포인트를 삭제한다.
사용자의 하드 디스크 및 네트워크 드라이브에 있는 오피스 문서, 비디오 및 오디오 파일, 이미지, 압축 파일, 데이터베이스, 백업 복사본, 가상 컴퓨터의 암호화 키, 인증서 및 기타 파일 모두를 암호화한다. 데이터 복호화를 원하면 몸값을 지불하라고 요구하는 대화 상자를 실행시킨다.
토르락커는 시스템마다 각기 고유한 방식으로 감염되기 때문에 한 데이터를 복호화하는 키가 발견됐다 해도 그 키는 다른 시스템의 데이터 복호화에는 쓸 수 없다. 사이버 범죄자는 돈을 지불하고 데이터 복호화 키를 받을 수 있는 특정 시한(보통 72시간)을 사용자에게 제시하게 된다. 이들은 대개 다양한 지불 방법을 제안하는데, 여기에는 비트코인이나 타사 사이트를 통한 결제 등이 포함된다.
공격자에게 돈 줘도 암호화 데이터 풀어주지 않아
랜섬웨어 공격의 핵심 동기는 피해자로부터 돈을 갈취하는 것이다. 그런데 기업에 대한 전반적인 랜섬웨어 공격 사례를 보면 공격 목표가 대부분 회사의 지적재산권이기 때문에 타격이 매우 크다.
그러나 카스퍼스키랩의 설문조사에서는 응답한 기업의 37%만이 랜섬웨어를 심각한 위험으로 간주하고 있었으며, 대부분의 기업들이 적절한 보안 조치를 취하고 있지 않아 이러한 공격에 취약할 수밖에 없다는 사실을 보여준다.
사이버 범죄자들은 피해자들이 대개 자신의 파일을 되찾기 위해 돈을 지불할 의사가 있음을 깨닫고 있고, 랜섬웨어 및 그 변종 악성 코드는 갈수록 확산되며 정교해지고 있다. 예를 들어 처음 등장한 암호화 악성 코드는 대칭 키 알고리즘을 사용했고 암호화 및 복호화 키가 동일했습니다. 이 경우 보통 백신 업체의 도움을 조금 받으면 손실된 정보를 성공적으로 해독할 수 있다. 그러다가 사이버 범죄자들이 비대칭 암호 알고리즘을 구현하기 시작했는데, 이 알고리즘은 파일 암호화용 공개키와 복호화용 개인키가 다르다.
크립토락커 트로이목마는 가장 최근 출현한 가장 위험한 랜섬웨어 중 하나로, 공개 키 알고리즘을 사용한다. 이 랜섬웨어에 감염된 컴퓨터는 명령통제 서버에 접속해 공개키를 다운로드하며, 다른 개인 키는 크립토락커의 작성자만 액세스할 수 있게 된다.
피해자는 개인키가 영원히 삭제되기 전에 몸값을 지불할 수 있는 최대 72시간의 말미를 얻게 된다. 이 키 없이 파일을 복호화할 수 있는 방법은 없다. 카스퍼스키랩 등 백신 제품은 트로이목마 프로그램을 문제없이 탐지하고 감염을 차단한다. 하지만 시스템이 이미 감염된 후라면 손상된 파일을 복구할 방법은 없다.
모바일 랜섬웨어 피해는 더욱 심각
모바일 랜섬웨어 공격 역시 강력하다. 더 많은 사이버 범죄자들이 돈을 훔치고 갈취할 수 있는 악성 코드를 생성하고 있다. 카스퍼스키랩 1분기 보안 위협 보고서에 따르면 새롭게 발견된 악성 코드의 23%가 돈을 훔치거나 갈취하기 위해 생성된 것이었다.
트로이목마 랜섬웨어 악성 코드는 모든 모바일 위협 중에서 가장 가파른 성장세를 보이고 있다. 1분기에 탐지된 새로운 사례는 1113건이며모바일 랜섬웨어 사례의 수치가 65%나 증가한 것이다. 랜섬웨어는 돈을 갈취하고 개인 데이터를 파괴하고 감염된 기기를 차단하기 위해 설계되었기 때문에 이는 위험한 추세다.
랜섬웨어 공격을 당해 강력한 암호로 암호화된 파일을 복호화하는 것은 불가능하다. 따라서 가장 좋은 방법은 건전한 사이버 보안 전략의 일환으로 강력한 백업 솔루션과 함께 포괄적인 보안 조치를 취하는 것이다.
일부 랜섬웨어 변종은 모든 백업본의 위치를 찾기만 하면 네트워크상에서 공유되는 것까지도 암호화할 수 있을 만큼 똑똑하다. 이 때문에 랜섬웨어가 삭제할 수 없는 오프라인 백업(읽기 및 쓰기만 가능, 삭제/모든 제어 권한 없음)을 하는 것이 중요하다.
카스퍼스키랩은 시스템 감시기 모듈이라 불리는 대응책을 개발했다. 시스템 감시기는 파일 사본을 로컬에 보호해 보관할 수 있으며 랜섬웨어 악성 코드가 변경한 것도 감염 전 상태로 되돌릴 수 있다. 이 모듈은 자동 복구가 가능하고 관리자의 백업 복구 문제 및 업무 중지 부담을 덜어준다.
신뢰할 수 없는 보안 솔루션, 공격도구일 가능성 있어
적절한 백업이나 예방 기술이 없는 상태에서 랜섬웨어가 실행되면 사용자가 할 수 있는 것은 거의 없다. 그러나 때로는 몸값을 지불하지 않고도 랜섬웨어로 잠긴 데이터를 복호화하는 데 도움을 받을 수 있다. 카스퍼스키랩은 최근 네덜란드 국립 고급기술범죄 경찰수사대와 협력해 코인볼트랜섬웨어 피해자를 위한 복호화 키 저장소 및 복호화 애플리케이션을 만들었다.
또한 피해를 당한 후에 암호화된 데이터를 고칠 수 있다고 주장하는 신뢰할 수 없는 소프트웨어를 인터넷에서 찾아 사용하는 것은 피해야 한다. 이런 소프트웨어는 쓸모없는 솔루션일 뿐이며 최악의 경우 이 소프트웨어 자체가 또 다른 악성 코드일 수도 있다.
기업은 데이터에 높은 가치를 두기 때문에, 많은 경우 돈을 지불해서 데이터를 찾기를 원한다. 켄트대 사이버 보안 협동연구소의 2014년 2월 설문 조사에 따르면 크립토락커 피해 회사의 40% 이상이 지불에 동의했다. 크립토락커의 경우 수만 대의 컴퓨터를 감염시켰고 배후의 사이버 범죄자들은 수백만 달러의 수익을 올렸다. 뿐만 아니라 ‘델 시큐어웍스’ 보고서에 따르면 동일한 악성 코드가 100일마다 최대 3000만 달러를 벌어들이고 있는 것으로 나타났다.
“공격자에게 몸값 지불하면 공격 더욱 극성 부릴 것”
하지만 몸값 지불은 현명하지 못한 일이다. 가장 큰 이유는 지불한다고 해서 손상된 데이터가 복호화될지 확실치 않기 때문이다. 또한 회사가 몸값을 지불하기로 결정한다고 해도 많은 것들이 잘못될 가능성이 있다.
그 예로 악성 코드 자체 버그로 인한 암호화 데이터 복구 불능, 시스템 관리자의 조치로 인한 데이터 복구 불능, IT 인프라 손상 및/또는 정지 시간, 정보 손실로 인한 법적 파장, 협력 회사 및 소비자와의 관계 손상 등을 들 수 있다.
또 몸값을 지불하면 이는 랜섬웨어가 효과적이라는 것을 사이버 범죄자에게 입증해주는 셈이 된다. 결과적으로 사이버 범죄자들은 시스템을 악용하는 새로운 방법을 계속 찾아낼 것이고 몸값을 지불한 개인 사용자 및 회사를 노리고 추가 감염을 시도하게 될 것이다.
한편 카스퍼스키랩은 ‘기업용 카스퍼스키 엔드포인트 시큐리티’를 통해 랜섬웨어 등 고급 사이버 위협에 대해 안전한 보호 기능을 제공한다고 강조했다.
