랜섬웨어란?

랜섬웨어는 사용자 디바이스 또는 네트워크 스토리지 디바이스의 파일을 암호화하는 멀웨어의 한 가지 유형입니다. 암호화된 파일에 대한 접속 권한을 복구하려면 사용자가 일반적으로 추적이 어려운 비트코인과 같은 전자 결제 방식을 통해 ‘랜섬(몸값)’을 사이버 범죄자에게 지불해야 합니다. 보안 전문가들이 비트코인 거래의 트래픽 흐름을 매핑하는 방법을 파악했지만, 비트코인 계정의 소유자를 식별하기는 거의 불가능합니다.

랜섬웨어의 감염 방식은?

랜섬웨어는 대부분 스팸 이메일 공격을 통해 배포됩니다. 스팸 이메일에는 정상적인 파일을 가장한 첨부 파일이 들어 있거나 이메일 본문에 URL 링크가 포함되어 있습니다. 전자의 방법이 사용되는 경우, 첨부 파일이 열리자마자 랜섬웨어 프로그램이 활성화되고 몇 초 내에 디바이스에서 파일 암호화를 시작합니다. 공격 벡터가 링크인 경우, 해당 링크를 클릭하면 사용자가 모르는 사이에 랜섬웨어를 디바이스로 전송하는 웹 페이지로 이동합니다. 악성 프로그램 또는 사이트는 주로 익스플로잇 키트(exploit kit)를 사용하여 디바이스의 운영 체제 또는 애플리케이션에서 랜섬웨어를 전송하고 활성화하는 데 사용할 수 있는 취약점이 있는지 탐지합니다. 또한 사이버 범죄자들은 최근 WannaCry 공격처럼 EternalBlue로 널리 알려진 Windows 취약점을 파고드는 기존의 악용 사례를 활용할 수 있습니다.

랜섬웨어 확산

지난 몇 년간 기업을 표적으로 성공을 거둔 대규모 랜섬웨어 공격은 급격히 증가했습니다. Cybersecurity Ventures는 2017년에 전세계적으로 랜섬웨어로 인해 발생하는 비용이 2015년의 15배 이상인 50억 달러를 넘을 것으로 추산합니다.1 이와 동시에 랜섬웨어 변형의 숫자도 3배로 늘어났습니다.2

Ransomware Stats

랜섬웨어 공격 때문에 기업이 입는 피해는 실제로 ‘랜섬(몸값)’으로 지불되는 금액보다 훨씬 큽니다. 기업들은 데이터 손실, 감소하거나 손실된 생산성, 포렌식 조사, 데이터 및 시스템 복원, 매출 손실, 기업 이미지 손상 등과 관련된 비용은 공개하지 않았습니다. 예를 들어, 한 대표적인 다국적 건강 및 소비재 기업은 최근 발생한 Petya 랜섬웨어의 영향으로 송장 발행과 상품 선적에 타격을 입어 매출 성장률이 2% 하락했다고 보고했습니다.3

2013년, CryptoLocker는 최초로 널리 사용된 랜섬웨어 중 하나였습니다. 멀웨어는 주로 혼란스럽게 구성된 이메일 첨부 파일로 전송되거나 이전에 감염된 적이 있는 디바이스에 설치되었습니다. 멀웨어가 활성화되면 로컬 및 네트워크 드라이브에서 특정 파일이 암호화되었습니다. 희생자는 지정된 기한 내에 400달러 또는 몸값에 상응하는 비트코인을 송금해야만 했으며, 그렇지 않으면 암호화 해제 키가 삭제되었습니다. 하지만, 몸값을 송금했음에도 암호화 해제 키를 받지 못하는 경우가 상당히 많았습니다. 랜섬웨어를 배포하는 데 사용된 Gameover Zeus 봇넷은 ‘Operation Tovar’라는 작전명으로 업계, 사법 기관 및 정부 기관에 의해 퇴치되었습니다.

하지만, 몸값을 송금했음에도 암호화 해제 키를 받지 못하는 경우가 상당히 많았습니다.

세간의 이목을 끄는 랜섬웨어 공격

CryptoWall은 동일한 방식으로 작동하는 CryptoLocker의 최신 변형입니다. 가장 심각한 공격은 2014년 말에 호주에서 일어났으며, ‘보낸 사람’을 정부 기관으로 표시하고 악성 링크가 포함된 피싱 이메일을 사용하여 멀웨어를 배포했습니다.4 보안 제품에 의한 차단을 피하기 위해 악의적 공격자들은 멀웨어가 다운로드되기 전에 Captcha 양식을 사용했습니다.

Locky는 2016년 초에 최초로 발견되었으며, 일반적으로 ‘송장’ 첨부 파일이 포함된 이메일을 통해 배포되었습니다. 일단 Word 또는 Excel 파일이 열리면, 송장을 보기 위해 매크로를 사용해야 한다는 메시지가 사용자에게 표시되었습니다. 매크로를 사용하는 경우 파일이 실제 랜섬웨어를 다운로드하는 실행 파일을 가동했습니다. 그러면 로컬 및 네트워크 파일이 암호화되고 확장자가 .locky로 바뀌었습니다. 피해자가 파일 암호화를 해제하려면 웹사이트를 방문하여 나중에 악의적 공격자의 결제 웹사이트에 접속하는 데 사용되는 브라우저를 다운로드해야만 했습니다. 일반적으로 결제금은 0.5-1비트코인이었습니다. Locky는 미국 소재 병원에서 환자 데이터가 암호화되어 파일을 복구하기 위해 몸값을 지불했기 때문에 언론과 매체의 관심을 끌었던 최초의 랜섬웨어 중 하나였습니다.5

WannaCry는 2017년 5월에 전 세계 40만 대의 컴퓨터를 감염시키면서 주요 뉴스의 헤드라인을 장식했습니다.6 영국의 국민건강보험공단, 스페인의 통신사, 독일의 주요 은행 등 공공 기관과 민간단체를 막론하고 막대한 피해를 입었습니다. 다행스럽게도, 멀웨어의 킬 스위치를 발견한 보안 전문가 덕분에 이 공격은 며칠 만에 중단되었습니다. 이 공격은 Windows의 잘 알려진 보안 취약점(EternalBlue)을 통해 시작되고 확산되었습니다. 몇 개월 동안 보안 패치가 제공되었지만 아직 많은 기업에서 패치를 설치하지 못했습니다.

WannaCry는 2017년 5월에 전 세계 400,000대의 컴퓨터를 감염시킨 후에 헤드라인을 일제히 장식했습니다.

Petya 랜섬웨어의 변형인 NotPetya는 2017년 6월에 WannaCry의 바로 뒤를 이어 우크라이나에서 처음 모습을 드러냈습니다. PDF 이메일 첨부 파일로 배포되는 이 멀웨어는 WannaCry와 마찬가지로 EternalBlue 취약점을 사용하여 확산되었습니다. 미국의 주요 제약사, 다국적 법무법인, 영국의 대형 광고 회사 등 전 세계 공공 기관과 민간단체들이 다시 피해를 입었습니다. 다른 랜섬웨어와 달리 Petya는 컴퓨터의 마스터 파일 테이블을 감염시킵니다. 이 공격은 금전적 이득보다는 우크라이나 내에서 혼란을 일으킬 목적으로 가해진 것으로 추정됩니다.7

비즈니스에 영향을 미치는 랜섬웨어의 리스크 감소

가장 취약한 부분을 교육합니다. 대부분의 랜섬웨어는 페이로드를 활성화할 수 있는 사람을 필요로 합니다. 직원들에게 사이버 공격을 인지하고 방어하는 방법을 교육하는 것이 중요합니다. 다수의 공격들은 이메일 및 소셜 엔지니어링 기법을 통해 직원을 속여 멀웨어를 다운로드하거나 사용자 이름 및 암호를 유출하도록 유도합니다. 따라서 이런 공통 공격 벡터에 주안점을 두고 교육을 진행해야 합니다. 직원들에게 가짜 피싱 이메일을 보내 연습을 시키면 제목 줄에 ‘송장 첨부 - 반드시 열어서 확인 요망’이라는 제목의 피싱 이메일과 진짜 공급업체와의 커뮤니케이션 이메일을 구분하는 데 효과가 있습니다.

패치를 적용하고, 지속적으로 업데이트 패치를 적용합니다. 최근 WannaCry 및 Petya 공격에서 알 수 있었듯이, 알려진 취약점의 패치를 적용하는 적극적 대응에 나서지 못하면 기업이 위험에 노출된 상태로 유지될 수밖에 없습니다. WannaCry 및 NotPetya 랜섬웨어 공격에서 EternalBlue 취약점이 악용된지 몇 달이 지난 후에도 3,800만 대 이상의 PC에 패치가 아직 적용되지 않은 것으로 추측됩니다.8 사이버 범죄자가 기업 네트워크에서 패치가 적용되지 않은 디바이스 및 소프트웨어를 식별하는 것은 상대적으로 쉬우며, 일단 식별되면 알려진 취약점을 쉽게 활용할 수 있습니다.

3,800만 대 이상의 PC에 패치가 아직 적용되지 않은 것으로 추측됩니다.

데이터를 지속적으로 백업합니다. 누군가에게 이 지침은 말할 필요도 없겠지만, 랜섬웨어는 네트워크 서버에 저장된 백업을 암호화할 수 있습니다. 따라서 기업은 백업과 관련된 현재 접근 방식을 검토해야 합니다. 직원들이 중요한 파일을 네트워크 드라이브에 백업하고 있습니까? 이런 디바이스의 백업과 파일 서버가 그 이후에 클라우드 백업 서버에 보관됩니까? 백업을 복원할 수 있는지 테스트하고 있습니까? 이 방식에서는 랜섬웨어가 모든 로컬 파일 및 백업을 암호화하는 경우에도 비즈니스에 최소한의 영향을 주면서 신속하게 복원할 수 있습니다.

단일 보안 레이어만으로 빠르게 발전하는 공격에 대비하는 것은 무모하다고 할 수 있습니다.

여러 방어 레이어를 구축하여 공격자들이 쉽게 침투할 수 없게 만듭니다. 사이버 범죄자들은 회사의 보안 방어막을 우회하도록 설계된 보다 교묘한 형태의 첨단 멀웨어를 개발하는 데 막대한 시간과 돈을 들입니다. 단일 보안 레이어만으로 빠르게 발전하는 공격에 대비하는 것은 무모하다고 할 수 있습니다. 여러 보안 레이어를 사용하면, 한 레이어에서 공격을 방어하지 못해도 위협을 차단할 수 있는 다른 오버레이가 있기 때문에 훨씬 안전합니다. 그렇다면, 지금 회사는 어떤 보안 방어 레이어를 배포했습니까? 공격의 모든 단계에서 리스크를 차단하도록 지원하는 서로 다른 솔루션을 구비하고 있습니까? 악의적 공격자들이 악용할 수 있는 취약점이 보안 환경에 존재합니까?


1 http://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
2 https://www.proofpoint.com/sites/default/files/q4_threat-summary-final-cm-16217.pdf
3 http://www.zdnet.com/article/petya-ransomware-companies-count-the-cost-of-massive-cyber-attack/
4 https://www.communications.gov.au/what-we-do/internet/stay-smart-online/alert-service/fake-auspost-phishing-emails-lead-ransomware
5 http://www.bbc.com/news/technology-35880610
6 https://blog.barkly.com/wannacry-ransomware-statistics-2017
7 https://www.theverge.com/2017/6/28/15888632/petya-goldeneye-ransomware-cyberattack-ukraine-russia
8 http://www.ibtimes.com/eternalblue-exploit-thousands-machines-still-not-patched-against-wannacry-petya-2565606
9 https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/
10FBI, 2016년 6월, https://www.justice.gov/criminal-ccips/file/872771/download
11PhishMe 2016년 3분기 보고서
12https://securelist.com/it-threat-evolution-q1-2017-statistics/78475/13https://blog.barkly.com/ransomware-statistics-2017