[2016년 정보보호 핫이슈 10] ①랜섬웨어

APT 처럼 진행되는 지능형 랜섬웨어 성행 … IoT 기기로 확장하며 최대 보안위협으로 부상

2016년 새해에도 사이버 공격은 끝없이 진화하고 있다. 특히 잘 관리된 게이트웨이가 아니라 사람, 단말, 웹 등 관리되지 않는 취약점을 공격한다. 2016년 정보보호 분야에서 가장 뜨거운 이슈 10개를 선정해 집중 분석하면서 대응 방안을 찾아본다.<편집자>

지능형 랜섬웨어, 비트코인 가치 상승으로 더욱 극성

불법 도박, 성인사이트, 불법 파일을 공유했다며 ‘인터폴 경고장’을 위장한 메시지로 사용자를 속이는 전통적인 랜섬웨어 공격이 국내에서도 발견됐다. 하우리가 4일 발표한 이 공격은 웹사이트 방문시 랜섬웨어 악성코드에 감염되며, 인터폴의 경고장이 띄워지고 PC 파일이 암호화돼 사용할 수 없게 된다.

랜섬웨어 공격은 올해 정보보안 시장에서 가장 뜨거운 이슈다. 랜섬웨어는 APT 공격과 마찬가지로, 보안시스템을 우회하는 악성코드를 이용해 공격하며, 보안에 취약한 사용자를 노리고, 공격 성공률이 높으며, 공격자들은 즉시 수익을 얻을 수 있다.

글로벌 보안회사의 정보공유 협력체인 사이버위협연합(CTA)이 ‘크립토월(CryptoWall) 3.0’을 분석해 2015년 10월 발표한 보고서에 따르면 ‘크립토월3.0’은 단 6개월만에 약 3억2500만 달러(약 3700억 원)의 수익을 올린 것으로 분석됐다. 그런데 이 보고서가 발표된지 4일만에 ‘크립토월 4.0’이 발견됐으며, 더욱 진화된 우회공격 기술로 보안 시스템을 무력화하는 것으로 드러났다.

랜섬웨어는 비트코인 가치 상승으로 더욱 창궐하게 됐는데, 비트코인 가격은 2015년 3월 약 20만원에서 10월 약 60만원으로 무려 3배나 올랐다. 랜섬웨어 공격자들은 사법당국의 추적을 피하기 위해 현금 대신 비트코인을 요구하는데, 그 가격이 상승하면서 공격 수익성이 더욱 높아지게 된 것이다.

IoT 기기로 확장하는 랜섬웨어

2016년은 랜섬웨어가 한층 더 지능적으로 발전할 것으로 보인다. 초기 랜섬웨어는 P2P 사이트, 포르노 사이트 등 악성코드 감염 위험도가 높은 사이트를 이용했지만, 이제는 신뢰할 수 있는 사이트 혹은 사이트의 광고배너를 이용해 더 많은 사람과 기업에게 피해를 입힌다. 정상 이메일로 위장한 스피어피싱도 여전히 많은 비중을 차지하며, 스마트폰 문자메시지를 이용한 스미싱으로 스마트폰을 감염시키는 랜섬웨어도 증가하고 있다.

웨어러블 기기를 이용한 랜섬웨어 감염 위혐도 높다. 시만텍이 실험한 바에 따르면 안드로이드 기반 웨어러블 기기의 랜섬웨어 공격이 가능하며, 웨어러블 기기와 연결된 스마트폰의 데이터가 암호화돼 피해를 입게 되는 것으로 나타났다.

시만텍은 이 공격이 더욱 진화해 헬스케어 장비, 스마트TV, 냉장고 등 고가의 인터넷 연결장비들이 랜섬웨어 공격을 당하게 될 것이며, 나아가 스마트카까지 공격당할 가능성이 있다고 경고했다. 고가의 디지털 가전기기나 자동차가 암호화돼 작동이 안된다면, 사용자들은 돈을 주고서라도 기기를 살리고자 노력할 것이다.

랜섬웨어를 서비스 방식으로 제공하는 ‘RaaS(Ransom-as-a-Service)’도 등장했다. ‘Ransom32’라는 랜섬웨어는 토르를 통해 공격자 툴킷을 다운받을 수 있으며, 공격에 성공했을 때 제작자가 25%의 커미션을 받는 구조로 설계됐다. 랜섬웨어에 대한 지식이 없는 사람도 공격을 진행할 수 있을 만큼 랜섬웨어는 사이버 범죄 시장에서 하나의 수익사업으로 자리 잡았으며, 더 효과적으로 기기와 데이터를 감염시켜 더 큰 돈을 요구하는 수법을 개발해 나갈 전망이다.

“공격자에게 돈 줘서는 안돼”

랜섬웨어는 APT와 똑같은 방법으로 진행된다. 보안 시스템을 우회하는 신변종 악성코드로 사용자 단말을 감염시키고, 단말에 랜섬웨어 악성코드가 실행될 수 있는 취약점이 있으면 실행시켜 단말의 중요 파일을 찾아 암호화 한 후 키를 공격자 서버에 둔다. 그리고 비트코인을 요구하는 메시지를 띄우고, 정해진 시간 내에 돈이 들어오지 않으면 암호화 키를 삭제해 데이터를 복구할 수 없게 만든다.

랜섬웨어 악성코드는 사용자 단말에 취약점이 있어야 실행될 수 있기 때문에 취약점 제거를 위한 노력을 성실히 이행해야 한다. OS와 응용프로그램의 보안 패치를 최신으로 유지하고, 백신 등 보안 솔루션의 최신 시그니처를 업데이트하며 실시간 감시 기능을 활성화한다. 데이터를 정기적으로 백업하며, 신뢰할 수 없는 사이트 방문이나 이메일 클릭을 자제해야 한다.

그러나 랜섬웨어 악성코드는 수많은 신변종이 나타나기 때문에 사용자 주의만으로 완벽하게 차단하기 어렵다. 많은 보안 솔루션 기업들이 악성코드 탐지 기술로 랜섬웨어 공격을 방어할 수 있다고 주장하지만, 100% 안전한 방어기술은 없다. 공격자에게 돈을 주지 않는 환경을 만들어 공격자에게 유리한 환경을 깨는 것이 중요하다.

한편 일각에서는 랜섬웨어 공격자 집단과 기존 악성코드 유포 집단간의 갈등이 심화되고 있으며, 악성코드 유포 집단이 랜섬웨어 유포를 거부하고, 랜섬웨어 집단은 다른 방식으로 공격을 진행하게 될 것이라는 전망도 나왔다.

시만텍의 ‘2016년 주목해야 할 보안시장 전망’ 보고서에서는 랜섬웨어는 탐지가 어렵지 않아 컴퓨터에서 랜섬웨어가 발견되면 백신 솔루션은 컴퓨터 파일을 말끔히 정리한다. 이때 모든 악성코드를 제거하는 과정에서 기존에 악성코드 유포자들이 심어놓은 악성코드들도 함께 삭제돼 악성코드 유포 집단의 비즈니스에도 영향을 주게 된다. 따라서 2016년에는 랜섬웨어 유포를 거부하는 악성코드 유포 네트워크가 증가해 랜섬웨어 집단이 자신들만의 유포 방식을 고안해낼 가능성이 있다.

김선애 기자 다른기사 보기