2017.03.02

랜섬웨어의 새로운 변형, ‘독스웨어’가 온다

Rishi Bhargava | Network World
랜섬웨어 공격 만으로도 벅찬데, 이제는 독스웨어(doxware)라는 변종이 우리를 괴롭히고 있다. 독스웨어는 해킹한 개인 정보를 온라인에 공개하는 ‘독싱(doxing)’과 ‘랜섬웨어(ransomware)’를 합친 말이다. 독스웨어 공격자는 자신이 훔친 개인정보 중 민감한 사항들을 온라인에 공개하겠다고 피해자를 협박한다. 지인들의 연락처도 함께 절도 당한 상태라면 훔친 정보를 지인들에게 뿌리거나, 정보가 공개된 페이지 링크를 이들에게 보내겠다는 협박도 이들이 흔히 쓰는 수법이다.

독스웨어와 랜섬웨어는 상당한 유사성을 보인다. 두 범죄 모두 피해자의 파일을 암호화 하며, 정보를 공개하지 않는 대가로 금전을 요구하고, 무엇보다 두 공격 모두 고도로 자동화 된 방식으로 이루어진다. 그러나 랜섬웨어의 경우 파일을 완전히 가져가는 것이 아니라 단지 암호화 하는 데서 그치는 반면 독스웨어 공격은 공격자의 시스템 상에 파일이 업로드 된다는 것이 차이점이다. 모든 피해자의 파일을 전부 업로드 하는 것은 상당히 성가신 일이므로 독스웨어 공격자는 타깃 선정에 있어 좀더 신중하며, 특히 보안 유지 대상이 되는 대화, 비밀 정보, 민감하고 사생활에 관련된 정보에 공격력을 집중하는 경향이 있다.

독스웨어 공격은 앞으로 더욱 기승을 부릴 전망이지만, 허점이 없는 것은 아니다.

1. 독스웨어 공격은 상대적으로 적은 용량의 데이터를 타깃으로 이루어진다. 대부분 독스웨어 공격자는 수백만 개의 파일을 저장할 만한 리소스를 갖추고 있지 못하며, 막대한 볼륨의 파일을 업로딩 하는 것은 그 자체만으로도 발각의 위험이 큰 행위이기 때문이다.

2. 공격자는 자신이 투자한 것에서 최대한의 수익을 얻으려 할 것이며, 특히 독스웨어 공격은 돈이 많이 들어가는 공격이다. 때문에 공격자는 사전에 자신이 훔친 정보가 거액의 돈을 요구하기에 충분한 가치가 있는 것인지를 확인하기 위해 피해자에 대해 조사하게 된다. 또한 피해자가 금전 지불을 거부할 경우 해당 데이터를 어떻게 공개할 것인지에 대해서도 계획을 세워 두어야 한다.

3. 독스웨어 공격자들은 일반인보다 독스웨어 공격을 받을 확률이 더 크다. 공격자는 훔친 파일을 호스트하고, 온라인에 공개하기 위한 인프라를 갖춰야 한다. 그러나 이런 인프라는 반대로 이들을 추적하기 위한 단서가 되기도 한다.

하지만 이런 허점에도 불구하고, 독스웨어 공격은 향후 2년간 계속 증가할 것이라고 보안 전문가들은 내다보고 있다. 물론 지금까지 독스웨어 공격은 일반 대중보다는 유명인사나 비즈니스를 그 타깃으로 해왔다. 하지만 스마트폰 및 IoT 기기를 타깃으로 할 수 있는 방법이 생긴다면 일반인들 역시 결코 안전하다고 할 수 없다.

초기 독스웨어 공격자들 중 하나였던 랜삭(Ransoc)은 수중에 지적재산권 침해사실을 증명하는 파일 및 아동 포르노 파일을 확보했음을 알리고 피해자가 돈을 지불하지 않을 경우 이 사실을 관계 당국에 알리겠다고 협박해왔다. 이들이 액세스 할 수 있는 기기가 늘어날 수록 공격 양상 역시 다수의 개개인을 비용 효율적으로 타겟팅 할 수 있도록 정교해져 갈 것이다.

독스웨어 공격 대응 전략
독스웨어 피해자들 가운데 다수가 합의금 지불을 불가피한 것으로 바라보곤 한다. 문제는 해커들이 요구하는 금액을 지불한다고 공격이 끝나는 것은 아니라는 점이다. 자신이 탈취한 정보가 특별히 가치 있는, 혹은 상대방이 감추고 싶어하는 정보임을 인지하게 되면, 공격자들은 기존 합의금 이상의 금액을 요구하기도 한다. 이 추가 지불에까지 응한 후에도, 자신들의 민감한 정보가 대중에 공개될 위험이 완전히 사라진다고 안심하기는 어렵다.

한 번 독스웨어 피해를 입은 데이터는 기업에 지속적인 위협으로 작용한다. 해커들이 탈취한 데이터를 온전히 지웠다는 보장은 어디에도 없기 때문이다. 독스웨어 공격을 예방하는 것이 특히 강조되는 이유가 여기 있다. 그렇다면 어떻게 우리의 데이터를 독스웨어 공격으로부터 보호할 수 있을까? 여기 몇 가지 팁을 소개한다.

• 대부분의 독스웨어 공격은 피싱 공격으로부터 시작된다. 이메일에 포함된 출처가 불분명한 첨부파일이나 링크 등을 사용자가 열어보는 일이 없도록, 피싱에 대한 인식 개선, 예방 교육을 실시하자.

• 민감한 데이터는 되도록 하드 드라이브에 저장하지 말고, 불가피한 경우에는 데이터를 복수 서버에 분산하는 정도의 노력이라도 거치는 것이 좋다.

• 이용하지 않고 있는 파일은 항상 암호화 해두고, 특히 민감한 파일들의 경우에는 그 암호화에 더 신경 쓰자.

• 백신 소프트웨어는 언제나 최신 버전으로 유지해야 한다. 새로운 위협이 쉼 없이 등장하는 것이 오늘날의 시장 상황이다.

• 악성코드 감염 광고(malvertising)의 특성과 그것이 자주 배포되는 사이트들에 대한 교육이 필요하다. 성인 웹사이트, 페이스북, 스카이프, 그리고 영화나 방송 영상이 불법 공유되는 ‘해적’ 사이트들이 악성코드 광고의 주요 배포처다.

오프사이트 백업으로 독스웨어 공격을 예방할 수는 없다 해도, 백업을 아예 하지 않을 수는 없다. 공격자에게 돈을 지불하고 암호 해독 키를 받는다고 해도 해독한 파일이 돌이킬 수 없을 정도로 감염되어 있지 않을 것이라는 보장은 없기 때문이다.

물론 아직까지는 독스웨어 공격보다는 랜섬웨어 공격이 훨씬 더 빈번하게 발생하고 있다. 그러나 보안 전문가들이 지적하듯, 일반 대중을 상대로 수익을 낼 수 있는 구조만 창출된다면 공격자들은 기꺼이 그것을 이용하려 할 것이다. 미스터 로봇(Mr. Robot)도 말했듯, “우리는 지금 전장에 나와 있기 때문”이다. 독스웨어 역시 상대 진영의 병참에 쌓인 수많은 무기들 중 하나에 불과하기 때문이다.

고급 악성코드 공격을 우려한다면, 면 공격 대응 계획, 보안 운영 자동화 솔루션 구축을 고민해볼 필요가 있다. 자동화, 협업 솔루션은 위기 상황에서 보다 체계적인 대응을 가능케 하고, 운영 과정을 유연화하는데 도움을 줄 것이다. 이에 더해 자동화 솔루션은 평균 수리간 시간(MTTR, Mean Time To RePair) 및 공격 노출 시간 감소에 역시 기여할 수 있다. editor@itworld.co.kr


2017.03.02

랜섬웨어의 새로운 변형, ‘독스웨어’가 온다

Rishi Bhargava | Network World
랜섬웨어 공격 만으로도 벅찬데, 이제는 독스웨어(doxware)라는 변종이 우리를 괴롭히고 있다. 독스웨어는 해킹한 개인 정보를 온라인에 공개하는 ‘독싱(doxing)’과 ‘랜섬웨어(ransomware)’를 합친 말이다. 독스웨어 공격자는 자신이 훔친 개인정보 중 민감한 사항들을 온라인에 공개하겠다고 피해자를 협박한다. 지인들의 연락처도 함께 절도 당한 상태라면 훔친 정보를 지인들에게 뿌리거나, 정보가 공개된 페이지 링크를 이들에게 보내겠다는 협박도 이들이 흔히 쓰는 수법이다.

독스웨어와 랜섬웨어는 상당한 유사성을 보인다. 두 범죄 모두 피해자의 파일을 암호화 하며, 정보를 공개하지 않는 대가로 금전을 요구하고, 무엇보다 두 공격 모두 고도로 자동화 된 방식으로 이루어진다. 그러나 랜섬웨어의 경우 파일을 완전히 가져가는 것이 아니라 단지 암호화 하는 데서 그치는 반면 독스웨어 공격은 공격자의 시스템 상에 파일이 업로드 된다는 것이 차이점이다. 모든 피해자의 파일을 전부 업로드 하는 것은 상당히 성가신 일이므로 독스웨어 공격자는 타깃 선정에 있어 좀더 신중하며, 특히 보안 유지 대상이 되는 대화, 비밀 정보, 민감하고 사생활에 관련된 정보에 공격력을 집중하는 경향이 있다.

독스웨어 공격은 앞으로 더욱 기승을 부릴 전망이지만, 허점이 없는 것은 아니다.

1. 독스웨어 공격은 상대적으로 적은 용량의 데이터를 타깃으로 이루어진다. 대부분 독스웨어 공격자는 수백만 개의 파일을 저장할 만한 리소스를 갖추고 있지 못하며, 막대한 볼륨의 파일을 업로딩 하는 것은 그 자체만으로도 발각의 위험이 큰 행위이기 때문이다.

2. 공격자는 자신이 투자한 것에서 최대한의 수익을 얻으려 할 것이며, 특히 독스웨어 공격은 돈이 많이 들어가는 공격이다. 때문에 공격자는 사전에 자신이 훔친 정보가 거액의 돈을 요구하기에 충분한 가치가 있는 것인지를 확인하기 위해 피해자에 대해 조사하게 된다. 또한 피해자가 금전 지불을 거부할 경우 해당 데이터를 어떻게 공개할 것인지에 대해서도 계획을 세워 두어야 한다.

3. 독스웨어 공격자들은 일반인보다 독스웨어 공격을 받을 확률이 더 크다. 공격자는 훔친 파일을 호스트하고, 온라인에 공개하기 위한 인프라를 갖춰야 한다. 그러나 이런 인프라는 반대로 이들을 추적하기 위한 단서가 되기도 한다.

하지만 이런 허점에도 불구하고, 독스웨어 공격은 향후 2년간 계속 증가할 것이라고 보안 전문가들은 내다보고 있다. 물론 지금까지 독스웨어 공격은 일반 대중보다는 유명인사나 비즈니스를 그 타깃으로 해왔다. 하지만 스마트폰 및 IoT 기기를 타깃으로 할 수 있는 방법이 생긴다면 일반인들 역시 결코 안전하다고 할 수 없다.

초기 독스웨어 공격자들 중 하나였던 랜삭(Ransoc)은 수중에 지적재산권 침해사실을 증명하는 파일 및 아동 포르노 파일을 확보했음을 알리고 피해자가 돈을 지불하지 않을 경우 이 사실을 관계 당국에 알리겠다고 협박해왔다. 이들이 액세스 할 수 있는 기기가 늘어날 수록 공격 양상 역시 다수의 개개인을 비용 효율적으로 타겟팅 할 수 있도록 정교해져 갈 것이다.

독스웨어 공격 대응 전략
독스웨어 피해자들 가운데 다수가 합의금 지불을 불가피한 것으로 바라보곤 한다. 문제는 해커들이 요구하는 금액을 지불한다고 공격이 끝나는 것은 아니라는 점이다. 자신이 탈취한 정보가 특별히 가치 있는, 혹은 상대방이 감추고 싶어하는 정보임을 인지하게 되면, 공격자들은 기존 합의금 이상의 금액을 요구하기도 한다. 이 추가 지불에까지 응한 후에도, 자신들의 민감한 정보가 대중에 공개될 위험이 완전히 사라진다고 안심하기는 어렵다.

한 번 독스웨어 피해를 입은 데이터는 기업에 지속적인 위협으로 작용한다. 해커들이 탈취한 데이터를 온전히 지웠다는 보장은 어디에도 없기 때문이다. 독스웨어 공격을 예방하는 것이 특히 강조되는 이유가 여기 있다. 그렇다면 어떻게 우리의 데이터를 독스웨어 공격으로부터 보호할 수 있을까? 여기 몇 가지 팁을 소개한다.

• 대부분의 독스웨어 공격은 피싱 공격으로부터 시작된다. 이메일에 포함된 출처가 불분명한 첨부파일이나 링크 등을 사용자가 열어보는 일이 없도록, 피싱에 대한 인식 개선, 예방 교육을 실시하자.

• 민감한 데이터는 되도록 하드 드라이브에 저장하지 말고, 불가피한 경우에는 데이터를 복수 서버에 분산하는 정도의 노력이라도 거치는 것이 좋다.

• 이용하지 않고 있는 파일은 항상 암호화 해두고, 특히 민감한 파일들의 경우에는 그 암호화에 더 신경 쓰자.

• 백신 소프트웨어는 언제나 최신 버전으로 유지해야 한다. 새로운 위협이 쉼 없이 등장하는 것이 오늘날의 시장 상황이다.

• 악성코드 감염 광고(malvertising)의 특성과 그것이 자주 배포되는 사이트들에 대한 교육이 필요하다. 성인 웹사이트, 페이스북, 스카이프, 그리고 영화나 방송 영상이 불법 공유되는 ‘해적’ 사이트들이 악성코드 광고의 주요 배포처다.

오프사이트 백업으로 독스웨어 공격을 예방할 수는 없다 해도, 백업을 아예 하지 않을 수는 없다. 공격자에게 돈을 지불하고 암호 해독 키를 받는다고 해도 해독한 파일이 돌이킬 수 없을 정도로 감염되어 있지 않을 것이라는 보장은 없기 때문이다.

물론 아직까지는 독스웨어 공격보다는 랜섬웨어 공격이 훨씬 더 빈번하게 발생하고 있다. 그러나 보안 전문가들이 지적하듯, 일반 대중을 상대로 수익을 낼 수 있는 구조만 창출된다면 공격자들은 기꺼이 그것을 이용하려 할 것이다. 미스터 로봇(Mr. Robot)도 말했듯, “우리는 지금 전장에 나와 있기 때문”이다. 독스웨어 역시 상대 진영의 병참에 쌓인 수많은 무기들 중 하나에 불과하기 때문이다.

고급 악성코드 공격을 우려한다면, 면 공격 대응 계획, 보안 운영 자동화 솔루션 구축을 고민해볼 필요가 있다. 자동화, 협업 솔루션은 위기 상황에서 보다 체계적인 대응을 가능케 하고, 운영 과정을 유연화하는데 도움을 줄 것이다. 이에 더해 자동화 솔루션은 평균 수리간 시간(MTTR, Mean Time To RePair) 및 공격 노출 시간 감소에 역시 기여할 수 있다. editor@itworld.co.kr


X