[보안 Q&A] 랜섬웨어 확산을 더 경계해야 하는 이유
[보안 Q&A] 랜섬웨어 확산을 더 경계해야 하는 이유
  • 김문구 기자
  • 승인 2015.07.06 17:51
  • 댓글 0
이 기사를 공유합니다

[아이티비즈] 랜섬웨어 문제가 호전되지 않고 있다. CoinVault 및 CryptoLocker 등 널리 퍼지고 있는 최근의 랜섬웨어 공격 사례를 보면 이러한 유형의 공격 방식을 사용하는 사이버 범죄가 증가하고 있음을 알 수 있다.

그러나 이러한 랜섬웨어 공격의 증가세에도 불구하고 최근 카스퍼스키랩의 설문 조사에 따르면, 37%의 기업만이 랜섬웨어를 심각한 위험으로 인지하고 있었다.

카스퍼스키랩의 사이버 보안 전문가로부터 랜섬웨어 공격의 작동 방식, 몸값 지불 후 결과, 기업이 취할 수 있는 피해 방지 조치 등, 증가 추세에 있는 랜섬웨어 공격에 대한 전문가 의견을 들어봤다.

Q: 랜섬웨어란 무엇입니까?
A: 랜섬웨어는 악성 코드의 한 종류로, 돈을 갈취하는 디지털 메커니즘입니다. 몸값이 지불될 때까지 컴퓨터 시스템, 또는 사용자 및/또는 회사 데이터에 액세스할 수 없게 만드는 소프트웨어입니다. CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, CTB-Locker 등이 모두 랜섬웨어입니다.

Q: 랜섬웨어의 피해자는 누구입니까?
A: 평범한 소비자, 대기업, 중소기업 등 모두가 랜섬웨어의 피해자가 될 수 있습니다. 사이버 범죄자들은 이를 구분하지 않으며 최대한의 경제적 이득을 얻기 위해서라면 가능한 한 많은 사용자에게 피해가 미치기를 원합니다.

Q: 랜섬웨어는 어떤 방식으로 공격을 합니까?
A: 랜섬웨어 공격은 보통 이메일을 통해 이루어집니다. 이메일에는 실행 파일, 압축 파일, 또는 이미지 등이 첨부되어 있습니다. 첨부 파일을 열면 악성 코드가 사용자 시스템에 배포됩니다. 또는 사용자의 컴퓨터에서 악성 코드를 심어 놓은 웹사이트를 방문했을 때 랜섬웨어가 실행되기도 합니다. 사용자가 이런 사이트에 들어가서, 링크를 클릭하거나 파일을 다운로드하는 등의 방식으로 안전하지 않은 스크립트를 알지 못한 채 실행하면 악성 코드가 시스템에 감염됩니다.

사용자 컴퓨터가 감염된다고 해서 바로 가시적인 현상이 일어나지는 않습니다. 이 악성 코드는 시스템 또는 데이터 잠금 메커니즘이 구축되고 연계될 때까지 백그라운드에서 조용히 동작합니다. 사이버 범죄자는 눈에 띄지 않게 동작할 수 있는 랜섬웨어를 점점 더 능숙하게 개발하고 있으며, 랜섬웨어가 피해자에게 발각되지 않도록 하는 많은 도구와 기술을 자유자재로 사용합니다. 그러다가 대화 상자가 나타나 사용자에게 데이터가 잠겼음을 알리고 데이터에 액세스하려면 몸값을 지불하라고 요구합니다.

사용자가 이 대화 상자를 봤을 때는 보안 대응책으로 데이터를 보존하기에는 이미 너무 늦어버린 상황입니다. 사이버 범죄자가 이러한 공격을 통해 요구하는 금액은 천차만별이며, 우리가 목격한 바로는 피해자 데이터에 걸린 암호를 해독하는 데 수백 때로는 수천 달러에 이르는 금액을 요구하기도 합니다.

Q: 랜섬웨어 공격 사례를 말씀해 주시겠습니까?
A: TorLocker를 예로 들어보겠습니다. 이 랜섬웨어는 해독이 거의 불가능에 가까운 암호화 메커니즘인 256비트 AES 키를 사용해 데이터 섹션을 복호화한 뒤 사용자 시스템에서 이를 실행하여 감염을 시작합니다. 이 키의 첫 4 바이트는 고유 샘플 ID로 사용되며, 암호화된 파일의 끝에 추가됩니다. 그리고 나서 악성 코드가 임시 폴더에 복사되고, 그 복사 파일을 자동으로 실행하는 레지스트리 키가 생성됩니다.

이후 이 악성 소프트웨어의 동작 순서는 다음과 같습니다.
① taskmgr.exe, regedit.exe, procexp.exe 및 procexp64.exe 프로세스를 찾아서 종료합니다.
② 모든 시스템 복구 포인트를 삭제합니다.
③ 사용자의 하드 디스크 및 네트워크 드라이브에 있는 Office 문서, 비디오 및 오디오 파일, 이미지, 압축 파일, 데이터베이스, 백업 복사본, 가상 컴퓨터의 암호화 키, 인증서 및 기타 파일 모두를 암호화합니다.
④ 데이터 복호화를 원하면 몸값을 지불하라고 요구하는 대화 상자를 실행합니다.

문제는 TorLocker가 시스템마다 각기 고유한 방식으로 감염된다는 것입니다. 따라서 한 데이터를 복호화하는 키가 발견되었다 해도 그 키는 다른 시스템의 데이터 복호화에는 쓸 수가 없습니다. 사이버 범죄자는 돈을 지불하고 데이터 복호화 키를 받을 수 있는 특정 시한(보통 72시간)을 사용자에게 제시합니다. 이들은 대개 다양한 지불 방법을 제안하는데, 여기에는 비트코인이나 타사 사이트를 통한 결제 등이 포함됩니다.

Q: 사이버 범죄자가 기업에 랜섬웨어 공격을 실행하는 이유는 무엇입니까?
A: 랜섬웨어 공격의 핵심 동기는 피해자로부터 돈을 갈취하는 것입니다. 그런데 기업에 대한 전반적인 랜섬웨어 공격 사례를 보면 공격 목표가 대부분 회사의 지적재산권이기 때문에 타격이 매우 큽니다.

Q: 기업에 대한 랜섬웨어 공격이 증가하고 있습니까?
A: 그렇습니다. 조직이 몸값을 지불할 가능성이 더 높다는 것을 사이버 범죄자들이 인지했기 때문입니다. 보통 포획한 데이터가 사업 지속에 민감하고 중요하니까요. 또한 기업들이 랜섬웨어의 위험을 과소평가하고 있는 것도 문제입니다. 최근 카스퍼스키랩의 설문 조사에 따르면, 응답한 회사의 37%만이 랜섬웨어를 심각한 위험으로 간주하고 있습니다. 이는 놀라울 정도로 낮은 수치이며 회사들이 적절한 보안 조치를 취하고 있지 않아 이러한 공격에 취약할 수밖에 없음을 보여줍니다.

또한 사이버 범죄자들은 피해자들이 대개 자신의 파일을 되찾기 위해 돈을 지불할 의사가 있음을 깨닫고 있고, 랜섬웨어 및 그 변종 악성 코드는 갈수록 확산되며 정교해지고 있습니다. 예를 들어, 처음 등장한 암호화 악성 코드는 대칭 키 알고리즘을 사용했고 암호화 및 복호화 키가 동일했습니다. 이 경우 보통 백신 업체의 도움을 조금 받으면 손실된 정보를 성공적으로 해독할 수 있었습니다. 그러다가 사이버 범죄자들이 비대칭 암호 알고리즘을 구현하기 시작했는데, 이 알고리즘은 파일 암호화용 공개 키와 복호화용 개인 키가 다릅니다.

앞서 언급한 CryptoLocker 트로이목마는 가장 최근에 출현한 가장 위험한 랜섬웨어 중 하나로, 공개 키 알고리즘을 사용합니다. 이 랜섬웨어에 감염된 컴퓨터는 명령통제 서버에 접속해 공개 키를 다운로드하며, 다른 개인 키는 CryptoLocker의 작성자만 액세스할 수 있게 됩니다. 보통 피해자는 이 개인 키가 영원히 삭제되기 전에 몸값을 지불할 수 있는 최대 72시간의 말미를 얻게 됩니다. 이 키 없이 파일을 복호화할 수 있는 방법은 없습니다. 카스퍼스키랩의 제품들은 이러한 트로이목마 프로그램을 문제 없이 탐지하고 감염을 차단합니다. 하지만 시스템이 이미 감염된 후라면 손상된 파일을 복구할 방법은 없습니다.

Q: 모바일 랜섬웨어 공격의 전파력은 어느 정도입니까?
A: 모바일 랜섬웨어 공격은 점점 더 강력하게 퍼지고 있습니다. 모바일 랜섬웨어는 수익성을 지향합니다. 점점 더 많은 사이버 범죄자들이 돈을 훔치고 갈취할 수 있는 악성 코드를 생성하고 있습니다.

실제로, 카스퍼스키랩 1분기 보안 위협 보고서에 따르면 새롭게 발견된 악성 코드의 23%가 돈을 훔치거나 갈취하기 위해 생성된 것이었습니다. 게다가 트로이목마 랜섬웨어 악성 코드가 모든 모바일 위협 중에서 가장 가파른 성장세를 보이고 있습니다. 1분기에 탐지된 새로운 사례는 1,113건이며 이는 우리가 수집한 모바일 랜섬웨어 사례의 수치가 65%나 증가한 것입니다. 랜섬웨어는 돈을 갈취하고 개인 데이터를 파괴하고 감염된 기기를 차단하기 위해 설계되었기 때문에 이는 위험한 추세입니다.

Q: 랜섬웨어 공격을 예방하는 방법은 무엇입니까? 백업을 하면 사이버 범죄로부터 데이터를 충분히 보호할 수 있습니까?
A: 강력한 암호로 암호화된 파일을 복호화하는 것은 불가능합니다. 따라서 가장 좋은 방법은 건전한 사이버 보안 전략의 일환으로 강력한 백업 솔루션과 함께 포괄적인 보안 조치를 취하는 것입니다.

또한 일부 랜섬웨어 변종은 모든 백업본의 위치를 찾기만 하면 네트워크상에서 공유되는 것까지도 암호화할 수 있을 만큼 똑똑합니다. 이 때문에 랜섬웨어가 삭제할 수 없는 오프라인 백업(읽기 및 쓰기만 가능, 삭제/모든 제어 권한 없음)을 하는 것이 중요합니다.

카스퍼스키랩은 또한 시스템 감시기 모듈이라 불리는 대응책을 개발했습니다. 시스템 감시기는 파일 사본을 로컬에 보호하여 보관할 수 있으며 랜섬웨어 악성 코드가 변경한 것도 감염 전 상태로 되돌릴 수 있습니다. 이 모듈은 자동 복구가 가능하고 관리자의 백업 복구 문제 및 업무 중지 부담을 덜어줍니다. 카스퍼스키랩의 이 보안 기술이 설치되어 있고 이 모듈이 실행 중인지 확인하는 것이 중요합니다.

Q: 시스템이 이미 감염된 경우 어떻게 해야 합니까?
A: 불행하게도, 적절한 백업이나 예방 기술이 없는 상태에서 랜섬웨어가 실행되면 사용자가 할 수 있는 것은 거의 없습니다. 그러나 때로는 몸값을 지불하지 않고도 랜섬웨어로 잠긴 데이터를 복호화하는 데 도움을 받을 수 있습니다. 카스퍼스키랩은 최근 네덜란드 국립 고급기술범죄 경찰수사대와 협력하여 CoinVault 랜섬웨어 피해자를 위한 복호화 키 저장소 및 복호화 애플리케이션을 만들었습니다.

또한 피해를 당한 후에 암호화된 데이터를 고칠 수 있다고 주장하는 신뢰할 수 없는 소프트웨어를 인터넷에서 찾아 사용하는 것은 피해야 합니다. 이런 소프트웨어는 쓸모 없는 솔루션일 뿐이며 최악의 경우 이 소프트웨어 자체가 또 다른 악성 코드일 수도 있습니다.

Q: 공격 당한 기업은 몸값을 지불해야 합니까?
A: 기업은 데이터에 높은 가치를 두기 때문에, 많은 경우 돈을 지불해서 데이터를 찾기를 원합니다. 켄트대 사이버 보안 협동연구소의 2014년 2월 설문 조사에 따르면 CryptoLocker 피해 회사의 40% 이상이 지불에 동의했습니다. CryptoLocker의 경우 수만 대의 컴퓨터를 감염시켰고 배후의 사이버 범죄자들은 수백만 달러의 수익을 올렸습니다. 뿐만 아니라 Dell SecureWorks 보고서에 따르면 동일한 악성 코드가 100일마다 최대 3천만 달러를 벌어들이고 있는 것으로 나타났습니다.

하지만 몸값 지불은 현명하지 못한 일입니다. 가장 큰 이유는 지불한다고 해서 손상된 데이터가 복호화될지 확실치 않기 때문입니다. 또한 회사가 몸값을 지불하기로 결정한다고 해도 많은 것들이 잘못될 가능성이 있습니다. 그 예로 악성 코드 자체 버그로 인한 암호화 데이터 복구 불능, 시스템 관리자의 조치로 인한 데이터 복구 불능, IT 인프라 손상 및/또는 정지 시간, 정보 손실로 인한 법적 파장, 협력 회사 및 소비자와의 관계 손상 등을 들 수 있습니다.

또 몸값을 지불하면 이는 랜섬웨어가 효과적이라는 것을 사이버 범죄자에게 입증해주는 셈이 됩니다. 결과적으로, 사이버 범죄자들은 시스템을 악용하는 새로운 방법을 계속 찾아낼 것이고 몸값을 지불한 개인 사용자 및 회사를 노리고 추가 감염을 시도하게 될 것입니다.

Q: 회사를 랜섬웨어 공격으로부터 보호해주는 Kaspersky Lab의 솔루션은 무엇입니까? 또 어떻게 보호합니까?
A: 기업용 주력 제품인 Kaspersky Endpoint Security for Business는 랜섬웨어 공격을 포함해 알려지거나 알려지지 않은 고급 사이버 위협에 대응해 안정적인 보호 기능을 제공합니다. 이 솔루션에는 카스퍼스키랩의 시스템 감시기가 포함되어 있습니다. 앞서 말한 대로, 기업은 이 모듈이 실행되면서 가장 관련 있는 시스템 이벤트 데이터를 스캔하고 있는지 확인하는 것이 중요합니다. 이 모니터는 파일 생성 및 변경, 시스템 서비스 활동, 시스템 레지스트리 변경 사항, 시스템 호출 및 네트워크를 통한 데이터 전송에 대한 정보를 추적합니다.

또한, 시스템 감시기는 악성 행위의 증거를 찾기 위해 TCP를 통해 전송된 패킷의 내용을 분석합니다. 시스템 감시기는 스스로 분석한 데이터에 기반해 악성 코드 여부를 독립적으로 판단합니다. 결과적으로 이 보안 솔루션은 전반적인 랜섬웨어 및 보안 정책 위반을 더 잘 탐지하며, 이러한 유형의 감염으로 이어지는 일련의 행위를 더 잘 파악합니다.

카스퍼스키랩 보안 솔루션은 랜섬웨어 감염의 위험을 획기적으로 줄여주지만, 사람의 실수가 개입될 여지는 언제든지 있습니다. 중요한 회사 데이터가 랜섬웨어 사고로 인해 없어지지 않도록 하려면 포괄적인 백업 솔루션을 함께 사용해야 합니다. 기업은 신뢰할 수 있는 사이버 보안 및 백업 전략을 채용하여 랜섬웨어 공격에 대응해 언제나 한 발 앞설 수 있습니다.

Q: 카스퍼스키랩의 솔루션은 알려지지 않은 위협으로부터 어떤 방식으로 보호합니까?
A: 앞서 언급했듯이, Kaspersky Endpoint Security for Business는 알려지거나 알려지지 않은 고급 사이버 위협으로부터 조직을 보호합니다. 또 이 솔루션은 의심되는 위협에 전통적인 보호 방식보다 훨씬 빠르게 대응하는 Kaspersky Security Network(KSN)를 포함하고 있습니다. 전 세계의 Kaspersky Security Network의 자발적 정보 제공자는 6천만 명에 달합니다. 이 보안 클라우드는 매초 60만 건의 요청을 처리합니다. 전 세계 카스퍼스키 사용자들이 자발적으로 탐지 및 제거된 위협에 대한 정보를 실시간으로 제공하고 있으며, 보안 분석 그룹에서 이 데이터를 비롯한 여러 자료를 분석합니다. 이를 통해 새로운 보안 위협을 발견 및 분석하고, 이와 동시에 새로운 유형의 위협을 예측하는 데 있습니다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.