2020.09.23

“피해 규모는 더 커지고, 잡기는 더 어렵다” 전문가가 전하는 랜섬웨어의 현주소

Cynthia Brumfield | CSO
랜섬웨어는 디지털 네트워크의 가장 고질적이고 일반적인 위협이 됐다. 사이버보안 보험금 청구 건수의 41%가 랜섬웨어 공격에서 나오는 지금, 랜섬웨어가 보안 전문가, 정부 관계자, 법 집행 전문가에게 최우선이라는 사실은 놀랍지 않다. 

NCSC(National Cyber Security Center)의 최고 전략 책임자인 마크 웨더포드는 의회 관계자, 싱크탱크, 언론을 대상으로 국가적 난제에 대한 인식 고취 및 교육을 제공하는 제3회 연례 ‘핵 더 캐피톨(Hack the Capitol)’ 행사에서 참석자에게 “랜섬웨어는 더욱 심각해질 것이다. 안타깝지만 거의 완벽한 범죄다. 성공하기 쉽고 잡아내기도 거의 불가능하다”라고 말했다.

대규모 랜섬웨어 사건이 미디어에서 다뤄지는 가운데, 웨더포드는 소규모 기업의 랜섬웨어 피해에 대해 우려를 표했다. 그는 “중소기업은 그들이 속한 위협 환경을 이해할 수 있는 리소스나 기술적 인사이트가 없다”고 지적했다.

랜섬웨어 공격으로 인한 피해가 불가피해 보일 때도 있다. 웨더포드는 “기업에서 일하고 있는 주변의 많은 친구들은 대규모 랜섬웨어 공격에 당했을 때, 말 그대로 아무런 대책 없이 손을 놓고 있었다”고 밝혔다.
 
ⓒ Getty Images Bank
 

더욱 악화되는 랜섬웨어

미 국토안보부(Department of Homeland Security, DHS) 사이버·인프라보안국(Cyber and Infrastructure Serurity Agency, CISA)의 최고 사이버 위협 애널리스트인 렉스 부스는 CISA의 연례 사이버서밋(Cybersummit)에서 “랜섬웨어는 정말 심각한 문제다. 가장 흥미로운 유형의 공격은 아닐지도 모른다. 항상 가장 정교하지 않을 수도 있다. 때로는 솔직히 쉽게 예방할 수 있다”고 말했다.

이어 “랜섬웨어로 피해를 받고 있다면, 이보다 더 큰 문제는 없다. 정말 심각한 문제다. 데이터에 액세스할 수 없고, 시스템을 사용할 수도 없다. 복구할 수 있을지도 몰라 혼란스럽다”고 설명했다. 

FBI MCCU(Major Cyber Crimes Unit) 소속의 조나단 홈즈에 따르면, 랜섬웨어 공격 발생 건수와 강도, 그리고 발생하는 지역이 증가하고 있다. 그는 DHS 서밋에서 “지난 1년여 동안 랜섬웨어가 폭발적으로 증가했다. 개인을 희생시키는 수많은 랜섬웨어 그룹이 새로 생겼다. 이들이 요구하는 금액은 2015년 수만 달러에서 현재 수십만 달러로 증가했다. 가장 최근에는 수백만 달러 규모까지 나왔다”고 말했다.

공격의 전략도 변화해 방어가 어렵다. 홈즈는 “피해자의 컴퓨터 네트워크 암호화뿐만 아니라 네트워크에서 데이터를 유출하기도 한다. 희생자가 랜섬웨어 공격의 피해 사실을 알게 됐을 때는 데이터가 암호화됐을 뿐만 아니라, 데이터를 전부 또는 거의 잃어버린 후다. 랜섬웨어 공격자는 데이터를 악용할 준비를 하고, 금액을 지불하지 않으면 데이터를 외부에 공개하겠다고 위협한다”고 설명했다. 
 

랜섬웨어 공격자의 카르텔 형성

홈즈는 “랜섬웨어 공격자가 함께 뭉치기 시작한 것은 어찌 보면 당연하다. 이들 중 일부가 서로 카르텔에 들어가는 것을 보았다. 이 카르텔 모델에서는 그룹 구성원 간에 정보뿐만 아니라 지식, 기술을 공유한다. 랜섬웨어 공격자 사이에 큰 변화가 일어나고 있기 때문에 다소 우려스럽다”라고 말했다.

DHS 조사부의 제이슨 콘보이는 “랜섬웨어 카르텔이 작업의 전문화를 통해 기업과 유사한 조직을 갖춰가고 있다. 악성코드를 작성하는 기술을 효과적으로 구축한 악성코드 사무소가 있다. 불법 자금 송금책도 있다. 피해자와 연락해 금액을 협상 시도하는 담당자는 별도로 있다. 이들은 이후 더 큰 조직으로 돈을 옮기는 일을 담당한다. 일부 랜섬웨어 조직에는 공격자에 협조하도록 지원하는 고객 서비스 담당자도 있다”고 설명했다. 
 

글로벌 경기 침체로 랜섬웨어 가속화

미 비밀 수사국(Secret Service)에서 주요 사건 조사를 담당하는 마이크 모란은 CISA 서밋에서 “랜섬웨어는 네트워크에 대한 강력 범죄이기 때문에 매우 흥미롭게 생각한다. 상당히 단순하다고 생각하는 사람도 있지만, 실제로는 매우 정교하다. 둘 다 해당된다. 정교함이 단순함에 있을 수 있다”고 말했다.

대부분의 다른 법 집행 전문가와 마찬가지로, 모란은 갈수록 급속하게 확산되는 랜섬웨어에 종말이 있을 것이라고 보지 않는다. 그는 “은행에 현금이 남아있지 않을 때까지 은행 강도 사건이 끊이지 않는 것처럼, 이런 추세는 계속될 것이다”라고 전망했다. 이어, 사람들이 계속 돈을 지불한다면, 공격자는 이 기회에 수익을 올릴 수 있다고 말했다. 

모란은 “더 심각한 것은, 코로나 바이러스 팬데믹으로 인해 경제 사정이 어려워진 평범한 사람들이 랜섬웨어에 손대기 시작할 수 있다. 코로나 19와 다른 모든 지정학적 문제가 심각한 세계 경제 침체로 이어진다면, 사람들은 더 절박해지고 소득을 얻을 수 있는 곳은 어디든 갈 것이다”라고 경고했다. 

이런 가능성을 부채질하는 것은 서비스형 랜섬웨어(Ransomware as a Service, RaaS)의 출현일 수 있다. 모란은 “기술 전문가가 아니더라도 RaaS를 구입한 다음 액세스할 수 있는 기존 컴퓨터 네트워크에 배포할 수 있다. 랜섬웨어 공격을 지속하기 위한 엘리트 수준의 정교함은 거의 필요 없다”라고 말했다. 
 

랜섬웨어 공격자 검거의 어려움

사법 당국이 랜섬웨어 공격자를 찾는 일은 점점 어려워지고 있다. FBI의 홈즈는 “공격자가 사용하는 도구와 기술은 모두 익명화가 지원된다. 이들은 종종 익명화 토르(Tor) 네트워크를 사용해 서로 그리고 피해자와 연락한다. 이로 인해 사법 당국이 공격자가 사용하는 인프라를 식별하는데 문제가 생긴다”고 말했다. 

홈즈는 “게다가 공격자는 비트코인과 같은 가상 화폐를 사용해 돈을 받으므로 조사가 매우 어렵다. 때때로 이들은 로그 기록을 보관하지 않는 이메일 제공업체에 의존한다. 로그 기록은 사법 당국이 공격자가 사용하는 계정 정보에 액세스하는 데 도움이 되기 때문이다. 이로 인해 공격 사례를 조사하기가 매우 어렵다”고 말했다. 

이러한 장애물에도 불구하고, 피해자는 랜섬웨어 공격을 받으면 사법 당국과 협력해야 한다. 비밀 수사국의 모란은 “우리는 자체 기관 전체에 걸쳐 단서를 모으고 다른 기관과 협력한다. 대부분은 아니지만, 가끔 이전 형태나 정교함이 떨어지는 일부 랜섬웨어에 대해 복호 키를 제공할 수 있다”라고 설명했다. editor@itworld.co.kr
 


2020.09.23

“피해 규모는 더 커지고, 잡기는 더 어렵다” 전문가가 전하는 랜섬웨어의 현주소

Cynthia Brumfield | CSO
랜섬웨어는 디지털 네트워크의 가장 고질적이고 일반적인 위협이 됐다. 사이버보안 보험금 청구 건수의 41%가 랜섬웨어 공격에서 나오는 지금, 랜섬웨어가 보안 전문가, 정부 관계자, 법 집행 전문가에게 최우선이라는 사실은 놀랍지 않다. 

NCSC(National Cyber Security Center)의 최고 전략 책임자인 마크 웨더포드는 의회 관계자, 싱크탱크, 언론을 대상으로 국가적 난제에 대한 인식 고취 및 교육을 제공하는 제3회 연례 ‘핵 더 캐피톨(Hack the Capitol)’ 행사에서 참석자에게 “랜섬웨어는 더욱 심각해질 것이다. 안타깝지만 거의 완벽한 범죄다. 성공하기 쉽고 잡아내기도 거의 불가능하다”라고 말했다.

대규모 랜섬웨어 사건이 미디어에서 다뤄지는 가운데, 웨더포드는 소규모 기업의 랜섬웨어 피해에 대해 우려를 표했다. 그는 “중소기업은 그들이 속한 위협 환경을 이해할 수 있는 리소스나 기술적 인사이트가 없다”고 지적했다.

랜섬웨어 공격으로 인한 피해가 불가피해 보일 때도 있다. 웨더포드는 “기업에서 일하고 있는 주변의 많은 친구들은 대규모 랜섬웨어 공격에 당했을 때, 말 그대로 아무런 대책 없이 손을 놓고 있었다”고 밝혔다.
 
ⓒ Getty Images Bank
 

더욱 악화되는 랜섬웨어

미 국토안보부(Department of Homeland Security, DHS) 사이버·인프라보안국(Cyber and Infrastructure Serurity Agency, CISA)의 최고 사이버 위협 애널리스트인 렉스 부스는 CISA의 연례 사이버서밋(Cybersummit)에서 “랜섬웨어는 정말 심각한 문제다. 가장 흥미로운 유형의 공격은 아닐지도 모른다. 항상 가장 정교하지 않을 수도 있다. 때로는 솔직히 쉽게 예방할 수 있다”고 말했다.

이어 “랜섬웨어로 피해를 받고 있다면, 이보다 더 큰 문제는 없다. 정말 심각한 문제다. 데이터에 액세스할 수 없고, 시스템을 사용할 수도 없다. 복구할 수 있을지도 몰라 혼란스럽다”고 설명했다. 

FBI MCCU(Major Cyber Crimes Unit) 소속의 조나단 홈즈에 따르면, 랜섬웨어 공격 발생 건수와 강도, 그리고 발생하는 지역이 증가하고 있다. 그는 DHS 서밋에서 “지난 1년여 동안 랜섬웨어가 폭발적으로 증가했다. 개인을 희생시키는 수많은 랜섬웨어 그룹이 새로 생겼다. 이들이 요구하는 금액은 2015년 수만 달러에서 현재 수십만 달러로 증가했다. 가장 최근에는 수백만 달러 규모까지 나왔다”고 말했다.

공격의 전략도 변화해 방어가 어렵다. 홈즈는 “피해자의 컴퓨터 네트워크 암호화뿐만 아니라 네트워크에서 데이터를 유출하기도 한다. 희생자가 랜섬웨어 공격의 피해 사실을 알게 됐을 때는 데이터가 암호화됐을 뿐만 아니라, 데이터를 전부 또는 거의 잃어버린 후다. 랜섬웨어 공격자는 데이터를 악용할 준비를 하고, 금액을 지불하지 않으면 데이터를 외부에 공개하겠다고 위협한다”고 설명했다. 
 

랜섬웨어 공격자의 카르텔 형성

홈즈는 “랜섬웨어 공격자가 함께 뭉치기 시작한 것은 어찌 보면 당연하다. 이들 중 일부가 서로 카르텔에 들어가는 것을 보았다. 이 카르텔 모델에서는 그룹 구성원 간에 정보뿐만 아니라 지식, 기술을 공유한다. 랜섬웨어 공격자 사이에 큰 변화가 일어나고 있기 때문에 다소 우려스럽다”라고 말했다.

DHS 조사부의 제이슨 콘보이는 “랜섬웨어 카르텔이 작업의 전문화를 통해 기업과 유사한 조직을 갖춰가고 있다. 악성코드를 작성하는 기술을 효과적으로 구축한 악성코드 사무소가 있다. 불법 자금 송금책도 있다. 피해자와 연락해 금액을 협상 시도하는 담당자는 별도로 있다. 이들은 이후 더 큰 조직으로 돈을 옮기는 일을 담당한다. 일부 랜섬웨어 조직에는 공격자에 협조하도록 지원하는 고객 서비스 담당자도 있다”고 설명했다. 
 

글로벌 경기 침체로 랜섬웨어 가속화

미 비밀 수사국(Secret Service)에서 주요 사건 조사를 담당하는 마이크 모란은 CISA 서밋에서 “랜섬웨어는 네트워크에 대한 강력 범죄이기 때문에 매우 흥미롭게 생각한다. 상당히 단순하다고 생각하는 사람도 있지만, 실제로는 매우 정교하다. 둘 다 해당된다. 정교함이 단순함에 있을 수 있다”고 말했다.

대부분의 다른 법 집행 전문가와 마찬가지로, 모란은 갈수록 급속하게 확산되는 랜섬웨어에 종말이 있을 것이라고 보지 않는다. 그는 “은행에 현금이 남아있지 않을 때까지 은행 강도 사건이 끊이지 않는 것처럼, 이런 추세는 계속될 것이다”라고 전망했다. 이어, 사람들이 계속 돈을 지불한다면, 공격자는 이 기회에 수익을 올릴 수 있다고 말했다. 

모란은 “더 심각한 것은, 코로나 바이러스 팬데믹으로 인해 경제 사정이 어려워진 평범한 사람들이 랜섬웨어에 손대기 시작할 수 있다. 코로나 19와 다른 모든 지정학적 문제가 심각한 세계 경제 침체로 이어진다면, 사람들은 더 절박해지고 소득을 얻을 수 있는 곳은 어디든 갈 것이다”라고 경고했다. 

이런 가능성을 부채질하는 것은 서비스형 랜섬웨어(Ransomware as a Service, RaaS)의 출현일 수 있다. 모란은 “기술 전문가가 아니더라도 RaaS를 구입한 다음 액세스할 수 있는 기존 컴퓨터 네트워크에 배포할 수 있다. 랜섬웨어 공격을 지속하기 위한 엘리트 수준의 정교함은 거의 필요 없다”라고 말했다. 
 

랜섬웨어 공격자 검거의 어려움

사법 당국이 랜섬웨어 공격자를 찾는 일은 점점 어려워지고 있다. FBI의 홈즈는 “공격자가 사용하는 도구와 기술은 모두 익명화가 지원된다. 이들은 종종 익명화 토르(Tor) 네트워크를 사용해 서로 그리고 피해자와 연락한다. 이로 인해 사법 당국이 공격자가 사용하는 인프라를 식별하는데 문제가 생긴다”고 말했다. 

홈즈는 “게다가 공격자는 비트코인과 같은 가상 화폐를 사용해 돈을 받으므로 조사가 매우 어렵다. 때때로 이들은 로그 기록을 보관하지 않는 이메일 제공업체에 의존한다. 로그 기록은 사법 당국이 공격자가 사용하는 계정 정보에 액세스하는 데 도움이 되기 때문이다. 이로 인해 공격 사례를 조사하기가 매우 어렵다”고 말했다. 

이러한 장애물에도 불구하고, 피해자는 랜섬웨어 공격을 받으면 사법 당국과 협력해야 한다. 비밀 수사국의 모란은 “우리는 자체 기관 전체에 걸쳐 단서를 모으고 다른 기관과 협력한다. 대부분은 아니지만, 가끔 이전 형태나 정교함이 떨어지는 일부 랜섬웨어에 대해 복호 키를 제공할 수 있다”라고 설명했다. editor@itworld.co.kr
 


X