보안

토픽 브리핑 | "더 악랄하게 돌아왔다" 랜섬웨어 현황과 대응 전략

이대영 기자  | ITWorld 2020.03.13
2010년대 중반에 위험한 수준으로까지 급증했다가 2018년 크립토재킹(cryptojacking)에 밀려 사라지는 듯했던 랜섬웨어가 2019년에 다시 돌아왔다. 그것도 더욱 강력하고 악랄하게 등장했다. 
 
ⓒ Getty Images Bank 

2019년 새로운 랜섬웨어는 57% 감소한데 반해, 랜섬웨어 탐지율은 10% 증가한 것으로 나타났다. 헬스케어 산업은 여전히 공격자의 주요 타깃이었으며, 2019년에만 700개 이상의 미국 기업이 랜섬웨어의 영향을 받았다.

특히 미국의 경우, 연방 정부와 지방 정부, 그리고 관련 기관 117곳이 랜섬웨어로 인한 피해를 입었다. 랜섬웨어가 지방자치단체, 병원, 학교 또는 경찰서와 같은 공공 기관을 공격할 때, 그 충격은 눈에 띄게 커지고 피해 범위는 한층 더 넓어진다. 

보안 업체 엠시소프트(Emsisoft)가 2019년 12월에 발표한 보고서에 따르면, 랜섬웨어 공격은 113개 미국 정부기관, 지방자치단체, 주정부에 영향을 미쳤으며, 764개의 의료 서비스 제공업체와 89개의 대학교 및 단과대학 등이 영향을 받을 가능성이 있다고 한다. 

지난 1년간 랜섬웨어 동향을 요약하면 다음과 같다. 
- 공격 목표, 개인 사용자에서 기업으로 
- 랜섬웨어 피해 현황을 알지 못해 피해 손실이 크게 증가 
- 랜섬웨어, APT 레벨의 위협으로 진화
- 새로운 랜섬웨어, 탐지가 쉽지 않다 
- 풀기가 더 어려워진 랜섬웨어 암호화


2020 랜섬웨어 현황과 방어 전략 “지능화되고 표적화된 공격으로 피해 비용 증가”

보안 전문가는 2019년도 최악의 랜섬웨어로 소디노키비(Sodinokibi)를 선정했다. 그 이유는 소디노키비 컨트롤러가 추가한 공격 방식 때문이다. 

주니퍼 네트웍스 주니퍼 위협 연구소장 무니르 하하드는 "소디노키비가 조금 특별한 한 가지 이유는 이 공격 집단이 사람들에게 ‘몸값을 내지 않으면 데이터를 돌려받을 수 없다’는 말뿐만 아니라 ‘그 비밀 자료를 웹에 공개하거나 지하 포럼에서 최고 입찰자에게 팔아버리겠다’는 참신한 협박 방식을 취한다는 점이다. 그 결과 비즈니스 모델이 랜섬웨어 방식이 새로운 단계로 진전한다”라고 설명했다.

이것이 보통의 랜섬웨어 모델과는 크게 다른 점인데 공격자는 피해자의 데이터를 직접 가져오는 어려운 과정을 거치지 않고도 감금할 수 있다는 장점이 있다. 이 공격자는 위협을 이미 적어도 한번은 실행에 옮겼다. 이처럼 특정 표적을 노린 맞춤형 랜섬웨어의 새로운 위협 방식은 새롭고 위험한 상황에 도달한 것으로 보인다.

또한 지난해, 여러 랜섬웨어 조직이 랜섬웨어 공격 프로세스를 발전시키기 위해 타 사이버범죄 조직과 손을 잡았다. 소디노키비 랜섬웨어 운영자는 미국 텍사스 주 22곳의 지방 정부 기관에 조직적인 공격을 가하며, 대가로 총 250만 달러를 요구했다. 이 행위는 범죄 조직이 기업 네트워크 접근 권한을 대여해주거나 판매하는 ‘서비스형 접근(Access as a Service)’ 트렌드를 나타낸다. 해당 서비스는 기업의 서버 호스트와 VPN(Virtual Private Network)에 대한 접근 권한 전체를 제공하는 고가의 상품이 포함되며, 3,000달러~2만 달러 사이에서 가격이 형성되고 있다.

트렌드마이크로, “2019년 6,100만 건 이상의 랜섬웨어 공격 차단” 

파이어아이의 맨디언트 전문가는 대대적으로 개인 및 신용카드 정보를 표적으로 삼아온 기존의 사이버 범죄 그룹 또한 수익 창출을 보조하는 수단으로 랜섬웨어를 이용하는 사례가 증가했다고 밝혔다. 파이어아이는 랜섬웨어 공격이 쉬우면서도 공격자에게 지속적으로 재정적 이익을 가져다줄 수 있기 때문에 랜섬웨어가 보조 수단으로 지속적으로 이용될 것으로 예상하고 있다.

“아태지역 사이버 공격에 랜섬웨어 비중 상당” 파이어아이 발표

국내 보안업체도 분기별로 랜섬웨어 동향을 발표하면서 나날이 증가하는 랜섬웨어 동향에 촉각을 세웠다. 이스트시큐리티는 지난해 말, ‘2020년 예상 보안이슈 톱 5’와 ‘2019년 주요 보안이슈 톱 5’를 발표하면서 각 기업의 랜섬웨어에 대한 주의를 당부했다.   

이스트시큐리티는 2019년 주요 보안 이슈로 ▲소디노키비(Sodinokibi)와 넴티(Nemty)의 등장과 갠드크랩(GandCrab) 운영 종료 ▲이모텟(Emotet) 악성코드의 급증 ▲다양한 형태로 사용자의 계정정보를 수집하는 피싱 공격 성행 ▲꾸준히 유행하는 몸캠 피싱 ▲윈도우7 운영체제(OS) 지원 종료 대응 이슈 등을 꼽았다. 또한 2020년에는 ▲멀티 플랫폼이 활용된 공격 기법 확대 ▲개인에서 기업으로 랜섬웨어 공격타깃 변화 ▲조직에서 사용하는 관리 도구를 악용하는 공격 지속 ▲문서 파일 취약점을 활용한 스피어 피싱 고도화 ▲공급망 공격과 워터링 홀(Watering Hole) 공격 형태의 결합을 주요 이슈로 꼽았다.

이스트시큐리티 ESRC 센터장 문종현 이사는 “공격자는 주로 홍보나 고객지원, 채용 등 기업의 외부활동을 위해 공개해 놓은 그룹 메일 주소 등을 수집해 랜섬웨어가 포함된 피싱 메일을 발송하고 있다”며, “이러한 기업 메일 주소는 다양한 채널을 통해 이메일을 수신하기 때문에 악성 메일도 아무런 의심 없이 열어볼 수 있어, 첨부파일이나 링크가 포함돼 있는 이메일을 열어 볼 때에는 항상 주의를 기울이고 주기적인 백업을 습관화할 필요가 있다”라고 말했다.

“2020년 기업 타깃 랜섬웨어 공격 증가 예상” 이스트시큐리티 발표
이스트시큐리티 알약, 2019년 4분기 랜섬웨어 공격 총 20만여 건 차단
이스트시큐리티 알약, 2019년 3분기 랜섬웨어 공격 총 23만여 건 차단

안랩 또한 기업에게 매그니베르나 각종 신종 랜섬웨어가 등장할 때마다 경고 메시지를 전파했다. 안랩은 랜섬웨어 감염을 방지를 위해서는 ▲‘알려진 파일형식의 확장명 숨기기’ 설정 해제 ▲안정성이 확인되지 않은 웹사이트 방문 자제 ▲출처가 불분명한 메일의 첨부파일 실행 자제 ▲운영체제 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 애플리케이션(어도비, 자바 등), 오피스 소프트웨어 등 프로그램의 최신 보안 패치 적용 ▲최신 버전 백신 사용 ▲중요한 데이터는 별도의 보관 장치에 백업 등 기본적인 보안 수칙을 지키는 것이 중요하다고 밝혔다.

안랩, “영화 불법 다운로드 사이트로 유포되는 매그니베르 랜섬웨어 주의 당부”
안랩, “윈도우 업데이트로 위장하는 신종 랜섬웨어 주의 당부”
안랩, 상용 판매 중인 동영상 플레이어 위장 ‘블루크랩’ 랜섬웨어 주의 당부

이처럼 랜섬웨어가 더욱 강력해져 돌아온 것에 대해 주니퍼 네트웍스 주니퍼 위협 연구소장 무니르 하하드는 2가지 요인을 들었다. 첫 번째가 암호화폐 가격과 관련이 있다. 2018년 많은 크립토재킹 범죄자는 해킹한 컴퓨터를 이용해 오픈소스 모네로(Monero) 화폐를 채굴하고 있었는데, 모네로 가격이 떨어지면서 어느 순간 암호화폐 채굴이 랜섬웨어만큼 수익성이 없다는 걸 인지한 것이다. 이미 채굴하던 컴퓨터들은 이미 트로이목마로 감염시킨 상태였기 때문에 적절한 때가 왔을 때 간단히 랜섬웨어 공격을 개시할 수 있었다. 하하드는 “솔직히 이런 일이 2년 내지 3년은 걸리기를 바라고 있었는데 1년 반 만에 원래의 공격으로 되돌아왔다”라고 말했다.

두 번째는 범죄자가 개인 PC를 노리는 게 아니라 주요 자료가 들어있는 기업 서버를 집중 공격하게 되면서 공격의 정교함이 더해졌다. 하하드는 “일반 사용자를 대상으로 한 무작위 공격은 투자 대비 효과가 그다지 높지 않다. 고도의 표적 공격에 효과적인 좌우 움직임이 뒷받침되어야 투자 대비 효과가 높아진다. 그리고 그 좌우 움직임은 대부분 자동이 아니다. 초기 침입 지점을 확보한 후에 누군가가 직접 들어가서 네트워크 주변을 샅샅이 살피고, 파일을 이동하고, 권한을 확대하고, 다른 시스템에 원격으로 접속 가능한 관리자 인증 정보를 확보해야 한다”라고 설명했다.

지난 5년 간 규모가 컸던 랜섬웨어 공격 6종
'더 교묘하고 더 악랄해진' 2020 랜섬웨어 공격 5종

이쯤에서 기업은 결정해야 할 것이 있다. 랜섬웨어 공격을 당했을 경우, 범죄자에게 대가를 지불하느냐, 지불하지 않느냐는 판단이다. 일단 미국 FBI나 대부분의 사이버보안 전문가는 랜섬웨어 공격자에게 절대로 대가를 지불해서는 안 된다고 주장한다. 전문가는 "공격자의 요구를 들어주면 악의적인 행위에 대한 보상을 제공하고 더 많은 공격을 부추기는 것"이라고 주장한다.

FBI에서 사이버 부서를 지휘했으며 현재 위험 관리 및 보험 중계 기업 에이온(Aon)의 CSG(Cyber Solutions Group) 수석 부사장인 짐 트레이너에 따르면, 공격자에게 대가를 지불할지 여부를 결정하는 것은 궁극적으로 비즈니스적인 결정이며, 이는 거의 대부분 피해자에게 적절한 백업이 있는지에 달려있다.

트레이너는 "피해자가 대가를 지불하는 주된 이유는 안전한 별도의 백업이 없어 대안이 없기 때문이다. 기업이 안고 있는 더 큰 문제는 이런 유형의 시나리오를 테스트해 본 적이 없다는 점이다"라고 지적했다.

그러나 피해 기업이 대가를 지불한다 하더라도 암호화된 데이터를 돌려받을 것이라는 보장이 없다. FBI는 "대가를 지불해도 피해자가 데이터에 액세스를 회복할 것이라는 보장이 없다"라고 말했다. 트레이너는 "코딩이 너무 형편없어서 암호화 키가 소용없는 랜섬웨어 공격이 많았다. 대부분의 경우에 절대적인 위험이 있다"라고 말했다. 

하지만 많은 기업이 대가를 지불하고 있으며, 대가를 지불하지 않고도 복구할 수 있다고 주장하는 랜섬웨어 복구업체조차도 범죄자에게 대가를 지불하고 비밀리에 암호 해독기를 받은 사태가 벌어졌다.   

"범죄자에게 대가를 지불하느냐, 지불하지 않느냐" 랜섬웨어 딜레마

랜섬웨어 공격을 당한 후 대가를 지불할 것인지 결정하기 전에 다음과 같은 8가지 요소를 고려해야 한다. 더 좋은 것은 랜섬웨어 범죄자가 자신을 공격하기 전에 스스로 어디에 서 있는지 파악하는 것이다. 대가를 지불해야 할지에 대한 결정은 테스트를 잘 수행한 백업 여부에 달려있다고 생각할 수도 있지만 그게 전부는 아니다. 

랜섬웨어 몸값 요구에 대한 지불 여부를 결정하는 8가지 방법을 요약하면 다음과 같다. 

1. 랜섬웨어 정책이 있는가
2. 피해가 얼마나 심한가  
3. 복원 능력이 얼마나 좋은가 
4. 비즈니스 연속성 계획은 수립했는가 
5. 고위 경영진의 지원이 있는가 
6. 필요한 숙련된 직원이 있는가 
7. 몸값을 지불하면 어떤 점이 좋은가 
8. 몸값 지불을 적용할 수 있는 사이버보안 보험이 있는가 


“랜섬웨어에 당했다” 몸값을 지불하기 전 답변해야 할 8가지 질문
"랜섬웨어에 아직 당하지 않은" 조직이 해야 할 일

만약 개인 사용자가 랜섬웨어에 감염됐다면 어떻게 해야하는가? 다시 예전처럼 돌아갈 수 있는 방법은 대가를 지불하거나 작동하지 않을 수도 있는 특수 소프트웨어를 구매해야 한다. 대가를 지불하는 것이 최선의 방법은 아니다. 공격자는 암호 해독기나 해독 프로그램을 보낼 의도가 없을 수 있다. 또한 공격자가 피해자와의 약속을 지키더라도 “호구” 목록에 등록될 위험이 있다. 이로 인해 더 많은 공격자가 방문할 수 있다. 

PC를 잘 아는 사용자라면 시스템 복원 과정이 도움이 될 수 있어도, 대부분의 보안 전문가는 이 방법을 통한 랜섬웨어를 제거하는 방법을 권장하지 않는다. 대신 하드드라이브를 완전히 다시 포맷하거나 깨끗하게 지우고 처음부터 모든 것을 다시 설치하는 것이 좋다. 

무엇보다 중요한 것은 랜섬웨어에 걸리지 않는 것이겠지만, 미래의 공격을 막기 위해 지금 해야 할 일이 있다. ▲파일은 매일 백업하되, 네트워크가 없는 독립 드라이브로 수행해야 한다. ▲안티바이러스 소프트웨어가 없이 절대로 인터넷에 액세스해서는 안된다. ▲항상 최신의 보안 업데이트를 유지하고, ▲비밀번호는 자신과 전혀 관련이 없는 모호한 것을 사용해야 한다. 또한 ▲공유 및 관리 권한을 제한하고 쓰기 권한을 제한하라.    

How To : 랜섬웨어와 온라인 사기로부터 자신을 지키는 방법 editor@itworld.co.kr 

 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.