2016.12.28

“랜섬웨어에서 랜섬웜으로” 2017년 더 악랄해질 랜섬웨어

Ryan Francis | CSO
데이터를 인질로 잡고 돈을 요구하는 것이 그렇게 악랄해 보이지 않는가? 보안 전문가들은 내년에 랜섬웨어가 더욱더 악랄해질 것이라고 경고한다.

모바일 보안 업체인 사이버 애드APT(Cyber adAPT)의 CTO 스콧 밀리스는 랜섬웨어가 내년에 제어 불능 상태가 되리라 전망한다. 2016년에 매일 4,000건 이상의 랜섬웨어 공격이 있었다는 시만텍의 통계를 생각하면 믿기 어렵다.

워치가드 테크놀로지(WatchGuard Technologies)의 CTO인 코레이 나크라이너는 2017년에는 랜섬웨어가 더 빠르게 퍼지게 할 첫 랜섬웜(ransomworm)을 목격하게 될 것이라고 예상했다.

랜섬웨어의 한 종류인 크립토-랜섬웨어는 파일을 암호화하고 요구하는 몸값을 낼 때까지 인질로 삼는다. 크립토라커(Cryptolocker)가 2013년 말에 배포된 이후, 크립토-랜섬웨어는 널리 퍼지기 시작했다. FBI에 따르면, 사이버 범죄자들은 랜섬웨어를 이용해서 2016년 1분기 미국 기업에서만 2억 900만 달러를 벌었다. 또한, 최근 트렌드 마이크로(Trend Micro)의 랜섬웨어 보고서에 따르면, 2016년 1분기의 랜섬웨어가 2015년 전체보다 172% 증가했다.

나크라이너는 “간단히 말해, 범죄자들은 랜섬웨어가 돈이 된다는 것을 깨달았으며, 2017년엔 수익이 2배 증가할 것으로 기대하고 있다”고 지적했다.

이어 사이버범죄자들이 랜섬웨어를 네트워크 웜과 결합시켜 상황을 더욱 악화시킬 것이라고 지적했다. 몇 년 전 코드레드(CodeRed)나 SQL 슬래머(SQL Slammer), 더 최근에는 컨피커(Conficker) 같은 네트워크 웜이 상당히 흔했다. 해커들은 네트워크의 취약점을 악용해서 악성코드가 이 네트워크를 타고 자동으로 퍼지도록 만드는 수법을 사용했다.

나크라이너는 “이제 랜섬웨어에 네트워크 웜이 결합되는 것을 상상할 수 있다. 시스템을 하나만 감염시키면 로컬 네트워크에 있는 모든 컴퓨터에 끊임없이 자가복제된다”라면서, “이런 시나리오를 상상하기 싫어도, 사이버 범죄자들은 이미 이것을 상상하고 있다”라고 말했다.

사용자 행동 분석 서비스 제공업체인 이그제빔(Exabeam)의 공동 창업자이자 CEO인 니르 폴락은 랜섬웨어가 일회성 문제에서 네트워크 침입 문제로 진화하게 되리란 것에 동의했다. 그는 “랜섬웨어는 이미 해커들에게 큰 비즈니스이지만, 랜섬웜은 이런 비즈니스의 ‘반복’을 보장한다”고 설명했다.

올해 초, 마이크로소프트는 이동식 디스크를 통해 배포되는 지크립토(ZCryptor)라는 랜섬웨어를 경고한 바 있다. 모든 USB 드라이브에 코드를 심어서 직원들이 프레젠테이션 파일을 여기에 담아 회의실에 가져가는 경우 랜섬웜을 나르게 되는 것이다.

사이버 보안 전문가인 알렉스 베이스티크 역시 이와 비슷한 생각이다. 그는 랜섬웨어가 더 똑똑해지고 정보 탈취 악성코드와 결합될 것으로 전망했다. 이렇게 되면, 랜섬웨어로 돈을 빠르게 벌면서도 디바이스를 암호화하기 전에 일부 정보를 탈취할 수도 있다.

베이스티크는 “이런 시나리오에서 만일 피해자가 ‘그거 알아? 파일을 백업해놨어’라면서 복호화 키를 위해서 돈을 내지 않는다면, 해커는 정보를 모두 유출하겠다고 협박할 수 있다. 병원 같은 정보에 민감한 환경이 랜섬웨어 공격을 받았다는 사례를 봤는데, 지금까지는 큰 타격을 주진 않았다. 하지만 랜섬웨어가 환자의 정보를 탈취한 다음 암호화한다면 굉장히 큰 타격이 될 수도 있다”고 설명했다.

카보나이트(Carbonite)의 에반젤리스트인 노만 가다그노는 서비스화된 랜섬웨어(Ransomware as a service, RaaS)가 계속 확산될 것이라고 예상했다. RaaS 비즈니스 모델은 최소한의 노력과 비용으로 공격을 할 수 있다는 점에서 매우 매력적이다. 고급 기술, IT 전문가, 혹은 큰 비용이 필요 없다. 필요한 것은 표적 이메일 목록뿐이며, 나머지는 RaaS가 모두 제공한다.

가다그노는 “2016년에만 10억 달러 규모를 이룬 성과를 봤을 때, RaaS가 계속 확산될 것임은 분명하다. 다행히 RaaS가 클라우드를 활용한 것인만큼, 클라우드 백업으로 이런 공격에 대비할 수 있다”고 말했다.

팔로알토 네트워크의 CISO인 루카스 무디는 랜섬웨어가 사라지지 않을 것이라고 말했다. 미국에서 비트코인 ATM이 폭발적으로 늘어나게 된 경제적 동기가 무엇인지 궁금해한 적이 있는가? 그는 랜섬웨어 공격을 받은 소규모 사업체가 늘어난 것과도 관련이 있다고 생각한다. 랜섬웨어는 2016년 심각한 문제였고, 2017년에도 결코 멈추지 않을 것이라는 게 그의 전망이다. 그는 로컬의 비트코인 ATM을 찾지 않을 최선의 방법은 비즈니스 회복 및 복구 역량을 갖추는 것이라고 말했다.

베이스티크는 클라우드 데이터센터를 노린 랜섬웨어의 등장을 에고한다. 심각한 다운타임을 초래하는 데이터베이스를 암호화해버리는 것이다. 현재는 랜섬웨어로 기업 네트워크를 공격하는 해커가 별로 없으며, 주로 정보 탈취 악성코드를 사용한다.

그러나 그는 “내년에는 랜섬웨어가 백업 파일이 없을 가능성이 높은 장소를 목표로 하게 될 것이다. 예를 들어서, 일반적으로 파일을 클라우드로 옮기고 백업이 없고 복구 방법을 모르는 SMB가 타깃이 될 것이다. 이러한 클라우드 기반 데이터를 암호화해버린다면, 클라우드 제공업체와 인프라에 상당한 영향을 끼칠 수 있다”고 지적했다. editor@itworld.co.kr


2016.12.28

“랜섬웨어에서 랜섬웜으로” 2017년 더 악랄해질 랜섬웨어

Ryan Francis | CSO
데이터를 인질로 잡고 돈을 요구하는 것이 그렇게 악랄해 보이지 않는가? 보안 전문가들은 내년에 랜섬웨어가 더욱더 악랄해질 것이라고 경고한다.

모바일 보안 업체인 사이버 애드APT(Cyber adAPT)의 CTO 스콧 밀리스는 랜섬웨어가 내년에 제어 불능 상태가 되리라 전망한다. 2016년에 매일 4,000건 이상의 랜섬웨어 공격이 있었다는 시만텍의 통계를 생각하면 믿기 어렵다.

워치가드 테크놀로지(WatchGuard Technologies)의 CTO인 코레이 나크라이너는 2017년에는 랜섬웨어가 더 빠르게 퍼지게 할 첫 랜섬웜(ransomworm)을 목격하게 될 것이라고 예상했다.

랜섬웨어의 한 종류인 크립토-랜섬웨어는 파일을 암호화하고 요구하는 몸값을 낼 때까지 인질로 삼는다. 크립토라커(Cryptolocker)가 2013년 말에 배포된 이후, 크립토-랜섬웨어는 널리 퍼지기 시작했다. FBI에 따르면, 사이버 범죄자들은 랜섬웨어를 이용해서 2016년 1분기 미국 기업에서만 2억 900만 달러를 벌었다. 또한, 최근 트렌드 마이크로(Trend Micro)의 랜섬웨어 보고서에 따르면, 2016년 1분기의 랜섬웨어가 2015년 전체보다 172% 증가했다.

나크라이너는 “간단히 말해, 범죄자들은 랜섬웨어가 돈이 된다는 것을 깨달았으며, 2017년엔 수익이 2배 증가할 것으로 기대하고 있다”고 지적했다.

이어 사이버범죄자들이 랜섬웨어를 네트워크 웜과 결합시켜 상황을 더욱 악화시킬 것이라고 지적했다. 몇 년 전 코드레드(CodeRed)나 SQL 슬래머(SQL Slammer), 더 최근에는 컨피커(Conficker) 같은 네트워크 웜이 상당히 흔했다. 해커들은 네트워크의 취약점을 악용해서 악성코드가 이 네트워크를 타고 자동으로 퍼지도록 만드는 수법을 사용했다.

나크라이너는 “이제 랜섬웨어에 네트워크 웜이 결합되는 것을 상상할 수 있다. 시스템을 하나만 감염시키면 로컬 네트워크에 있는 모든 컴퓨터에 끊임없이 자가복제된다”라면서, “이런 시나리오를 상상하기 싫어도, 사이버 범죄자들은 이미 이것을 상상하고 있다”라고 말했다.

사용자 행동 분석 서비스 제공업체인 이그제빔(Exabeam)의 공동 창업자이자 CEO인 니르 폴락은 랜섬웨어가 일회성 문제에서 네트워크 침입 문제로 진화하게 되리란 것에 동의했다. 그는 “랜섬웨어는 이미 해커들에게 큰 비즈니스이지만, 랜섬웜은 이런 비즈니스의 ‘반복’을 보장한다”고 설명했다.

올해 초, 마이크로소프트는 이동식 디스크를 통해 배포되는 지크립토(ZCryptor)라는 랜섬웨어를 경고한 바 있다. 모든 USB 드라이브에 코드를 심어서 직원들이 프레젠테이션 파일을 여기에 담아 회의실에 가져가는 경우 랜섬웜을 나르게 되는 것이다.

사이버 보안 전문가인 알렉스 베이스티크 역시 이와 비슷한 생각이다. 그는 랜섬웨어가 더 똑똑해지고 정보 탈취 악성코드와 결합될 것으로 전망했다. 이렇게 되면, 랜섬웨어로 돈을 빠르게 벌면서도 디바이스를 암호화하기 전에 일부 정보를 탈취할 수도 있다.

베이스티크는 “이런 시나리오에서 만일 피해자가 ‘그거 알아? 파일을 백업해놨어’라면서 복호화 키를 위해서 돈을 내지 않는다면, 해커는 정보를 모두 유출하겠다고 협박할 수 있다. 병원 같은 정보에 민감한 환경이 랜섬웨어 공격을 받았다는 사례를 봤는데, 지금까지는 큰 타격을 주진 않았다. 하지만 랜섬웨어가 환자의 정보를 탈취한 다음 암호화한다면 굉장히 큰 타격이 될 수도 있다”고 설명했다.

카보나이트(Carbonite)의 에반젤리스트인 노만 가다그노는 서비스화된 랜섬웨어(Ransomware as a service, RaaS)가 계속 확산될 것이라고 예상했다. RaaS 비즈니스 모델은 최소한의 노력과 비용으로 공격을 할 수 있다는 점에서 매우 매력적이다. 고급 기술, IT 전문가, 혹은 큰 비용이 필요 없다. 필요한 것은 표적 이메일 목록뿐이며, 나머지는 RaaS가 모두 제공한다.

가다그노는 “2016년에만 10억 달러 규모를 이룬 성과를 봤을 때, RaaS가 계속 확산될 것임은 분명하다. 다행히 RaaS가 클라우드를 활용한 것인만큼, 클라우드 백업으로 이런 공격에 대비할 수 있다”고 말했다.

팔로알토 네트워크의 CISO인 루카스 무디는 랜섬웨어가 사라지지 않을 것이라고 말했다. 미국에서 비트코인 ATM이 폭발적으로 늘어나게 된 경제적 동기가 무엇인지 궁금해한 적이 있는가? 그는 랜섬웨어 공격을 받은 소규모 사업체가 늘어난 것과도 관련이 있다고 생각한다. 랜섬웨어는 2016년 심각한 문제였고, 2017년에도 결코 멈추지 않을 것이라는 게 그의 전망이다. 그는 로컬의 비트코인 ATM을 찾지 않을 최선의 방법은 비즈니스 회복 및 복구 역량을 갖추는 것이라고 말했다.

베이스티크는 클라우드 데이터센터를 노린 랜섬웨어의 등장을 에고한다. 심각한 다운타임을 초래하는 데이터베이스를 암호화해버리는 것이다. 현재는 랜섬웨어로 기업 네트워크를 공격하는 해커가 별로 없으며, 주로 정보 탈취 악성코드를 사용한다.

그러나 그는 “내년에는 랜섬웨어가 백업 파일이 없을 가능성이 높은 장소를 목표로 하게 될 것이다. 예를 들어서, 일반적으로 파일을 클라우드로 옮기고 백업이 없고 복구 방법을 모르는 SMB가 타깃이 될 것이다. 이러한 클라우드 기반 데이터를 암호화해버린다면, 클라우드 제공업체와 인프라에 상당한 영향을 끼칠 수 있다”고 지적했다. editor@itworld.co.kr


X