데이터를 암호화 한 후 돈을 요구하는 랜섬웨어 공격이 10월말부터 급격히 증가했으며, 윈도우7 사용자에게 특히 피해가 많았던 것으로 나타났다. 공격 방법은 이메일 첨부파일에 숨기거나 웹사이트 방문시 자동으로 감염시키는 방법을 사용하는 것으로 분석됐다.
안랩의 최근 랜섬웨어의 현황과 분석 정보, 대응 방안을 분석한 보고서에 따르면 10월부터 랜섬웨어에 감염된 PC가 크게 증가했는데, 복호화 대가로 돈을 지불한 사용자가 증가했거나, 국내 사용자 PC에 설치된 멀버타이징 애드웨어가 이용됐을 가능성이 높은 것으로 보인다.
멀버타이징은 멀웨어(Malware)와 광고(Advertising)의 합성어로, 광고 또는 애드웨어의 정상적인 네트워크를 이용해 악성코드를 감염 시키는 방법이다. 애드웨어는 백그라운드로 실행되며 사용자의 웹 관련 정보를 동의 또는 동의 받지 않고 받고 수집·변경한다.
보안이 취약한 웹 브라우저 또는 플래시 플레이어, 아크로뱃 리더, 실버라이트, 자바가 설치된 웹브라우저에서는 웹 플러그인 애플리케이션 취약점을 이용해 악성코드를 감염시킬 수 있다. 악성코드 제작자가 애드웨어의 설치파일, 업데이트 서버 등에 악성코드를 숨기거나 업로드해 감염시킬 수도 있다.
랜섬웨어, 암호화 트래픽 이용해 공격 진행
랜섬웨어는 대규모의 불특정 다수를 감염시키며, 공격 성공시 빠르게 금전 결제를 유도한다. 공격자가 노출되지 않도록 HTTPS 암호화 트래픽 및 토르(Tor) 등의 네트워크 기술과 함께 비트코인을 사용한다.
랜섬웨어가 가장 많이 보고되는 시간은 오전 8시~9시, 오후 4시~6시, 밤 10시~0시였으며, PC 운영체제는 윈도우7이 압도적(82%)으로 많았고 그 뒤를 이어 윈도우XP, 윈도우8.1이 많았다. 윈도우10 탐지 건수는 1%에 불과했다.
애플리케이션의 취약점은 최신 버전의 윈도우와 상관 없이 동작하기 때문에 최신 버전의 윈도우를 사용하고 있다고 해서 안심해서는 안 되며, 각 애플리케이션의 최신 패치를 반드시 적용해야 한다.
국내에서 가장 많이 발견되는 랜섬웨어는 ▲크립토락커 Trojan/Win32.Cryptolocker ▲크립토월 Trojan/Win32.CryptoWall ▲테슬라크립트 Trojan/Win32.Teslacrypt 등 3종이며, 기업 PC보다 개인 PC에서 탐지된 비중이 높았다.
크립토락커는 지난 4월 국내 유명 커뮤니티 사이트를 통해 유포돼 많은 피해를 입혔다. 크립토월은 RSA 키로 파일을 암호화하며, 사이버위협연합(CTA)를 통해 전 세계 3억2500달러의 피해를 입힌 것으로 분석됐다. 테슬라크립트는 최근 국내에서 가장 많은 피해를 입히는 랜섬웨어로, AES 키를 사용해 암호화한다. 암호화 후 확장자를 ‘.ccc’로 설정해 ‘CCC 랜섬웨어’로 불리기도 한다.
한 번 공격 당하면 다시 공격당할 가능성 높아
랜섬웨어 피해를 예방하기 위해서는 중요자료를 백업하고 보안패치를 철저히 실행해야 한다. 랜섬웨어 피해를 입었을 때 돈을 송금하고 복호화 키를 받았다고 해서, 그것으로 공격이 끝나는 것은 아니다. 보고서는 랜섬웨어에 한번 감염된 PC를 다시 감염시키는 것은 매우 쉬운 일이다. 따라서 랜섬웨어 피해를 입지 않도록 예방하는 것이 중요하다.
안랩은 랜섬웨어 대응을 위한 이상적인 기술로 네트워크 레벨에서의 샌드박스를 통해 랜섬웨어 악성코드가 시스템 내부로 유입되지 않도록 차단해야 한다고 설명했다. 또한 엔드포인트에서 정상적인 파일 검색·암호화 행위와 랜섬웨어에 의한 의심스러운 행위를 구분하고 차단하는 기술이 필요하다고 설명했다.
랜섬웨어의 잠재 위협을 피해자 개인의 문제가 아닌 조직으로 확장시켜 본다면, ‘랜섬웨어 피해자’가 소속된 기업·기관은 ‘패치·취약점 관리에 대한 부실한 관리’ 또는 ‘인터넷·이메일 사용 보안 수칙과 같은 보안 정책의 현행화가 미흡’하다는 약점에 간접적으로 노출될 수 있다. 보고서는 더 나아가 향후 해당 기업·기관에 대한 ‘지능형 위협 공격’으로 이어질 가능성이 높다고 경고한다.
