보안

확산일로의 랜섬웨어, 서비스화가 주요 원인

Taylor Armeding | CSO 2016.12.07
"누구나 사이버 범죄자가 될 수 있다! 아주 쉽다. 많은 돈이 필요하지 않다. 몇 시간만 투자해도 큰 돈을 '갈취'할 수 있다! 코딩이나 소프트웨어 개발 방법을 학습하기 위해 몇 년이라는 시간을 낭비할 필요 없다. 간단히 랜섬웨어 툴킷을 다운로드 받아, 사무실에서 또는 집 지하실에서 몇 시간 정도만 실행시키면 해외에서 수천, 수만 달러를 갈취할 수 있다. 편하게 앉아 비트코인이 들어오는 것만 지켜보면 된다!"

물론 랜섬웨어 개발자가 실제 이런 식으로 광고를 하는 것은 아니다. 그러나 악성코드 제작자가 감염을 확산시킨 후 부당이익을 나눠 챙기기 위해 '배포자'를 모집하는 비즈니스 모델인 'RaaS(Ransomware as a Service)'가 확산되면서, 랜섬웨어가 홈쇼핑에서 판매되는 듯한 트렌드가 이어지고 있다.

트렌드 마이크로(Trend Micro)는 최근 블로그 게시글에서 "배포자는 자본이나 기술 없이도, 또 코딩 경험이 없어도 랜섬웨어 공격을 실행에 옮길 수 있다”고 지적했다. 실제 일부 랜섬웨어 패키지 가격은 100달러 미만이다.

다시 말해, 누구나 랜섬웨어 공격을 할 수 있다.

최근 샌프란시스코 MTA(Municipal Transportation Agency)를 표적으로 삼은 랜섬웨어 공격이 알려지기 전까지, RaaS의 파급이 경시된 것으로 보인다. 인터넷 백본 공급자인 Dyn DDoS 공격 등 DDoS 공격에만 관심이 쏠렸다. 이런 이유로 랜섬웨어가 줄어들고 있다고 생각하는 사람들도 있다.

그러나 여러 전문가와 연구 보고서는 실상은 반대라고 경고한다.

오스터만 리서치(Osterman Research)의 백서는 '유행 전염병' 수준이라고 지적한다. 지난 한 해, 미국 기업의 약 50%가 랜섬웨어 공격을 경험했다. 트렌드 마이크로가 지난 8월 발표한 보고서에 따르면, 2016년 상반기에만 172%가 증가한 80개의 새로운 랜섬웨어 '패밀리(Families)'가 등장했다. 2015년에 오래 된 CryptoWall 패밀리가 초래한 피해가 3억 2,500만 달러로 추정되고 있다.

트렌드 마이크로의 최고 사이버보안 책임자 에드 카브레라는 보고서 발표 이후 상황이 더 악화됐다고 지적했다. 9월 말 기준 400%가 증가한 것이다. 그는 "2015년에 발견한 랜섬웨어 패밀리는 29개였다. 그런데 9월 기준 145개 패밀리를 발견해 차단했다"고 말했다.
랜섬웨어는 본질적으로 변화무쌍하기 때문에, 제때 제대로 된 인텔리전스를 획득해 공유하는 것이 가장 큰 도전과제이다.

데이터그래비티(DataGravity)의 앤드류 헤이 CISO는 "DDoS 공격에 더 많은 관심이 쏠리는 것은 당연하다. 모든 제품과 서비스 사용자에게 영향을 주기 때문이다. 따라서 이에 대한 뉴스가 빠르게 전파된다. 반면 랜섬웨어 공격은 공격자나 피해를 입은 고객이 공개하기 전까지 회사 밖으로 알려지지 않는 때가 많다"고 설명했다.

에일리언볼트(AlienVault)의 보안 컨설턴트 자바드 말릭도 여기에 동의했다. 그는 "DDoS 공격은 일반에 공개되도록 설계된다. 그러나 랜섬웨어 공격의 경우, 이를 보고하지 않는 기업들이 많다"고 말했다.

그러나 랜섬웨어가 '성장 산업'이 되고 있다는 데는 모두 동의한다. 소셜-엔지니어(Social-Engineer)의 CHH(Chief Human Hacker) 크리스토퍼 해드나지는 "아직 정점에 도달하지 않았다고 생각한다. 이제 막 시작됐을 뿐이다. 몸값을 지불하거나 포기하는 고객사가 많다고 들었다"고 덧붙였다.

시만텍(Symantec)의 보안 인텔리전스 디렉터 올라 콕스는 공격은 물론이고 요구하는 '몸값'도 증가하고 있다고 강조했다. "요구 몸값이 2배가 증가했다. 2015년 말에는 294달러였지만, 지금은 679달러이다. 2016년에는 7ev3n-HONE$T (Trojan.Cryptolocker.AD)이 몸값 '기록'을 세웠다. 컴퓨터 1대당 13 비트코인을 요구했다. 이 랜섬웨어가 발견된 1월 기준 5,083달러에 해당한다"고 설명했다.

랜섬웨어가 폭증하고 있는 이유는 (지속적인 경고와 언론의 보도에도 불구하고) 대부분이 여전히 끔찍할 정도로 취약하기 때문이다. 방어책이 있지만, 이를 이용하지 않는 개인과 기업이 많다.

최근 샌프란시스코 MTA(일명 Muni) 공격이 이를 입증한다. 보안 전문가 겸 블로거인 브라이언 크렙스의 최근 게시글에 따르면, 랜섬웨어 공격자들은 피해자에게 "서버를 인터넷에 다시 연결하기 전에 이 글을 읽고 패치를 설치하라"고 충고했다. 그리고 오라클이 발표한 오라클 웹로직 서버의 취약점에 대한 경고문을 링크로 제시했다. 그런데 오라클은 1년 전인 2015년 11월 10일에 패치를 배포했었다.

랜섬웨어 공격이 성공할 수 있는 또 다른 이유는 보안 전문가가 파일을 해독, 이를 차단할 솔루션을 제공하기까지 시간이 소요되기 때문이다. 말리크는 소프트웨어로 들어가야 감염을 알리는 지표나 서명을 만들 수 있다고 설명했다.

랜섬웨어에 서로 협력해 대처하는 노력이 시작됐다. 보안 업체들인 포티넷(Fortinet), 인텔 시큐리티(Intel Security), 팔로 알토 네트웍스(Palo Alto Networks), 시만텍(Symantec)은 위협 인텔리전스를 공유하는 CTA(Cyber Threat Alliance)를 설립했다. 그리고 "CTA의 리소스를 협력적으로 활용, CryptoWal 패밀리를 추적, 분석하는 노력을 경주했다"고 강조했다.

CTA에 따르면, 이를 통해 각 회원사의 개별 제품에 초래되는 위협을 방어하는 능력을 강화했고, 보고서를 통해 인식을 제고했다.

다른 전문가들도 이런 위협 데이터 공유 노력을 높이 평가한다. 그러나 위협이 상당한 피해를 초래한 후에야 악성코드를 차단할 수 있는 도구나 패치, 업데이트가 배포되는 문제가 남아있다고 지적했다.

헤이는 안티바이러스와 안티 악성코드 제품은 저수준 위협에 효과가 있지만, 위협이 급속도로 발전하고 있어, 100% 보호를 제공할 수 있는 도구는 단 하나도 없다고 말했다.

그는 CTA의 사명을 지지하지만, CTA는 '회원 전용 클럽'이라고 지적했다. 그런데 CTA에 가입하기 위해서는 바이러스토탈(VirusTotal)에서 중복되지 않는 고유의 악성코드 실행 파일을 매일 1,000개 이상 제공해야 한다.

그는 "CTA의 사명은 가치가 있지만, 진입 장벽이 높아 모든 관계자에게 도움을 주지 못한다. 더 나은 방법은 문호를 개발, 조직과 연구원들이 기여를 하고, 샘플을 연구하도록 만드는 것이다"고 말했다.

카브레라는 모든 사이버 위협에 대응하기 위해서 위협 정보를 공유해야 한다고 강조했다.
그는 "랜섬웨어는 본질적으로 변화무쌍하기 때문에, 제때 제대로 된 인텔리전스를 획득해 공유하는 것이 가장 큰 도전과제이다. 이것이 현실이다"라고 설명했다.

그를 비롯한 전문가들은 모든 위협을 차단하는 '묘책'은 존재하지 않는다고 강조했다. 그러나 "계층화되고 연결된 위협 방어책으로 엔드포인트와 네트워크, 클라우드 인프라를 보호해야 한다. 이렇게 해야 랜섬웨어 위협을 관리할 수 있다"고 말했다.

그렇지만 최고의 솔루션은 '예방'이다.

• 그 즉시 소프트웨어 패치와 업데이트를 설치한다.
• 피싱 이메일의 희생자가 되지 않도록 지식과 전문성을 획득한다. 콕스는 "특히 링크와 첨부 파일이 있는 출처 불명 이메일을 경계해야 한다. 또 내용을 확인하기 위해 매크로를 실행시켜야 하는 마이크로소프트 오피스 이메일을 주의해야 한다. 신뢰할 수 있는 출처의 이메일이 아닐 경우, 매크로를 실행시켜서는 안 된다."고 말했다.
• 정기적으로 백업을 하고, 이에 추가 보호책을 도입하거나, 오프라인으로 저장한다.
그는 가장 중요한 데이터에 대한 액세스를 제한하고, 네트워크에 이상 동작이 있는지 엄격히 감시해야 한다고 강조했다.

그는 "이상 동작을 감지했을 때 안전한 장소에 파일 사본을 자동으로 생성해 보관하는 방법이 좋다. 그러나 백업 복구 테스트를 실시해야 한다. 사고가 발생했을 때 백업이 기능을 하지 않으면 큰 문제가 되기 때문이다"고 말했다.

몸값 지불에 대해서는 의견이 엇갈렸다. 하드나기와 콕스는 강경했다. 하드나기는 "절대 지불해서는 안 된다. 몸값을 지불해도 파일을 되찾을 수 없는 때가 많다. 랜섬을 지불하면, 범죄자가 앞으로도 랜섬웨어 공격을 계속하게 된다"고 말했다.

콕스 또한 몸값을 지불해도 파일을 되찾지 못하는 경우가 많고, 랜섬웨어 공격 증가에 일조하는 문제가 있다고 말했다. 카브레라는 공격자가 암호 키를 제공하는 경우에도 빼낸 데이터를 딥 웹(Deep Web)에서 판매할 수 있다고 지적했다.

그러나 몸값 지불이 좋은 생각은 아니지만, 불가피한 경우도 있다고 말한 전문가도 있다.
말리크는 “몸값은 절대적으로 최후의 수단이 되어야 한다"고 강조했고, 헤이는 "보안만 생각하면 몸값을 지불해서는 안 된다. 또 다른 랜섬웨어 공격을 장려할 수 있기 때문이다.
그러나 비즈니스 측면에서는 몸값을 지불하지 않을 경우 기업 활동을 전혀 할 수 없다면 랜섬을 지불하게 될 것이다"고 말했다. editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.