2016.03.11

토픽 브리핑 | 확산일로의 랜섬웨어, 대응방안은 없는가

이대영 기자 | ITWorld
최근 한국IDG가 국내 기업의 보안 담당자 405명을 대상으로 실시한 설문조사에서 가장 큰 위협을 느끼는 공격은 랜섬웨어, 스파이웨어와 같은 악성코드(45.2%)로 드러났다. 특히 카스퍼스키랩과 B2B 인터내셔널의 한 연구 결과에 따르면, 45%의 기업이 랜섬웨어 악성코드의 심각성을 인식하고 있는 것으로 밝혀졌다.

국내 APT 보안 현황 및 과제 분석을 통한 APT 솔루션 구매 가이드
“기업 공격하는 랜섬웨어 피해 계속” 카스퍼스키랩

랜섬웨어는 피해자의 데이터를 암호화해 인질로 잡고 암호 키를 받으려면 돈을 지불하라는 데이터 인질 악성코드다. 보통 비트코인으로 지급을 요구하며 요구시간 내에 돈을 지불하면 암호화 키를 제공한다. 그러나 돈만 받고 암호화 키를 제공하지 않는 경우도 있다.

ITWorld 용어풀이 | 랜섬웨어(Ransom ware)

지난 수년 전부터 급속도로 성장한 랜섬웨어 공격자는 초기에는 주로 일반인을 대상으로 범죄행위를 해왔다. 그러다가 기업 등으로 대상을 확대한 후, 최근에는 데이터 가격을 비싸게 받을 수 있는 기업이나 단체를 대상으로 한 공격이 주력으로 바뀌었다.

“기업 공격하는 랜섬웨어 피해 계속” 카스퍼스키랩

랜섬웨어의 확산은 공격 대상만이 아니다. PC, 스마트폰, 스마트와치, 스마트 TV 등 기기를 가리지 않고 무차별 공격에 나서고 있다. 뿐만 아니라 80%이상 윈도우 운영체제를 공격했던 랜섬웨어는 리눅스, 안드로이드, 그리고 최근에는 맥 운영체제를 공격하는 랜섬웨어까지 등장함으로써 랜섬웨어 안전지대는 거의 사라진 셈이다.

클릭재킹 이용하는 신규 안드로이드 랜섬웨어 주의보
애플, 맥 사용자 대상 최초의 랜섬웨어 공격 막았다
팔로알토 네트웍스, “애플 맥 OS 노리는 신종 랜섬웨어 등장”

이처럼 랜섬웨어가 급속도록 성장하게 된 이유는 무엇일까. 지금까지 사이버범죄는 공격 성공이후 수익까지는 상당한 시간이 걸렸고, 대가가 그리 크지 않았다. 그러나 피해자에게 바로 수익을 얻을 수 있다는 랜섬웨어의 장점이 사이버범죄자들에게는 강력한 동기 유발로 작용했다.

예를 들어 크립토록커를 활용한 범죄 조직은 단 100일만에 3,000만 달러의 수익을 올렸고, 크립토월(CryptoWall)은 3억 2,500만 달러의 수입을 챙겼다. 랜섬웨어 피해를 입은 상당수의 기업이 대가를 지불했다고 시인한다.

가장 최근 사고 피해자 가운데 하나는 LA 소재 헐리우드 장로 병원(Hollywood Presbyterian Medical Center)이다. 이 병원은 일부 기기의 암호화된 파일에 악성코드를 설치한 해커들이 요구한 1만 7,000달러를 지급해야 했다. 심지어는 경찰도 피해자가 됐다.

사이버 위협 연합, 크립토월 3.0 크라임웨어의 정체 밝혔다...포티넷
랜섬웨어 피해 입은 미국 병원, 끝내 1만 7,000달러 비용 지불

특히 추적이 어려운 비트코인은 사이버범죄자들의 범죄 수익을 쉽게 현금화해 줌으로써 어둠 세계의 공식 화폐(?)로 통용되고 있다.

역사상 가장 성공적인 가상화폐, 비트코인의 이해 - IDG Tech Report

이제 기업은 랜섬웨어 공격의 주된 표적이다. 기업의 규모가 작든 크든 보안 방어 체계가 제대로 갖춰져 있지 않으면 언제든 암호화 악성코드를 침투시킬 수 있다. 다른 악성코드와 마찬가지로 이메일, 악성 첨부파일 또는 감염된 웹사이트의 링크를 매개체로 하며, 아무런 의심 없이 직원 가운데 누군가 이런 콘텐츠를 열거나 다운로드하거나 클릭하면 사내 네트워크에 악성코드가 침입하는 것이다. 실제로 범죄자들이 대가를 요구하기 전에는 시스템이 감염됐다는 경고조차 나타나지 않는다.

랜섬웨어 공격을 막았다는 보안 책임자의 경험담은 남의 일이 아니다. 이 회사는 예전에 이미 한번 피해를 입은 적이 있어 보안을 철저하게 했음에도 침투를 당했다는 점이다. 특히 이 보안 책임자는 악성코드 활동을 중단시키거나 봉쇄할 수 있다고 기대해서는 안된다고 말한다.

"랜섬웨어에 당해보니", 한 기업 보안 책임자의 데이터 구출 경험담

보안 업계에서는 지난 수년동안 지속적으로 랜섬웨어에 대한 우려와 경고를 해왔다. 각 보안업체마다 랜섬웨어 위협을 알리고 이에 대한 대응전략을 제시하고 있다.

데이터 인질극 ‘랜섬웨어’, 대한민국 상륙 ‘선제방어’로 데이터 자산 지키기
렌섬웨어에 대비하고 계십니까? - 랜섬웨어 공격에 대한 실용 지침서
피해가 속출하는 랜섬웨어에 대한 기업의 대응 방안 - IDG Summary

2015년 보안 전망에서도, 2016년 위협 전망에서도 빠지지 않는 것이 바로 랜섬웨어의 위협 확산이었다. 특히 랜섬웨어가 사물인터넷으로 확산될 경우 엄청난 파장이 예상된다. 일부 전문가들은 일반인을 대상으로 하는 랜섬웨어가 공격자들에게 '생활비'의 일부가 될 수도 있다고 예상했다.
예를 들어, 매일 아침 자동차에 시동을 걸고, 현관문이나 창문이 원격으로 잠기지 않게 하고, 전기 요금이 실제 사용량의 2배를 넘어서고, 가전제품이 고장나고, TV가 스파이 카메라가 되지 않도록 사이버 범죄자에게 매달 20~100달러의 '몸값'을 지급하게 될 수 있다. 또한 몸 안에 이식한 의료 기기에 문제가 생겨 생명에 위협을 받는 일이 없도록 몸값을 지불해야 하는 상황도 발생할 수 있다.

“사물 인터넷을 위협하는” 랜섬웨어와 업계 대응 현황

케르베르(Cerber)라는 랜섬웨어은 범죄자들에게 적당한 가격으로 랜섬웨어를 사용해 공격을 할 수 있도록 했다. 이는 코딩 능력이나 자체 랜섬웨어를 만들 자원을 갖추지 못한 저급의 사이버 범죄자를 양산해 해당 범죄의 대량 확산을 가져올 수 있음을 의미한다.

말하는 케르베르 랜섬웨어, 서비스 형태로 범죄자들에게 판다

하지만 랜섬웨어를 진정 두려워해야 하는 것은 그 진화 속도에 있다. 사이버 협박 공격으로의 진화가 바로 그것이다. 사이버 협박 공격은 랜섬웨어처럼 무차별 공격을 가하지 않고 훨씬 철저하고 계획적으로 기업을 골라 데이터를 탈취하고, 훔친 데이터의 가치를 파악한 뒤, 이를 공개하겠다고 협박하는 것이다. 이미 실제로 많은 기업이 입막음 돈을 지불한 것으로 알려져 충격을 주고 있다.

“훔친 데이터 공개한다” 협박하는 사이버 범죄 더욱 늘어…맨디언트 보고서

이렇게 사이버 위협이 확산되고 진화하더라도 사용자나 기업들은 이제 네트워크와 IT를 사용하지 않을 수 없다. 그래서 대응방안이 필요한 것이다. 다만 랜섬웨어에 일단 감염되면 비용을 지불하지 않고는 암호화를 풀 수 없다.
그래서 일단 차단과 예방이 중요하다. 하지만 앞서 보안 책임자의 경험담대로 랜섬웨어를 완벽하게 막는다는 것은 불가능하므로, 감염 이후 대책 방안에 대해서도 충분히 대비해야 한다.

"데이터를 인질로 삼는다", 랜섬웨어의 현황과 대책 - IDG Deep Dive
"차세대 사이버 방어 전략" 사이버 탄력성의 의미와 방법론 - IDG Tech Report

다음은 스파이웨어, 랜섬웨어를 막는 8가지 방법을 요약한 것이다.
1. 2단계 인증 체계를 적용한다
2. 로그인 내역을 확인한다
3. 인증된 장치를 확인한다
4. 안티 악성코드 소프트웨어를 설치한다
5. 즉시 보안 업데이트를 설치한다
6. 절대 비밀번호를 드러내지 않는다
7. 이메일의 링크를 클릭하지 않는다
8. 오프라인 백업을 한다

랜섬웨어에 대해 알아야 할 5가지
스파이웨어, 악성웨어, 랜섬웨어를 막는 8가지 방법
editor@itworld.co.kr


2016.03.11

토픽 브리핑 | 확산일로의 랜섬웨어, 대응방안은 없는가

이대영 기자 | ITWorld
최근 한국IDG가 국내 기업의 보안 담당자 405명을 대상으로 실시한 설문조사에서 가장 큰 위협을 느끼는 공격은 랜섬웨어, 스파이웨어와 같은 악성코드(45.2%)로 드러났다. 특히 카스퍼스키랩과 B2B 인터내셔널의 한 연구 결과에 따르면, 45%의 기업이 랜섬웨어 악성코드의 심각성을 인식하고 있는 것으로 밝혀졌다.

국내 APT 보안 현황 및 과제 분석을 통한 APT 솔루션 구매 가이드
“기업 공격하는 랜섬웨어 피해 계속” 카스퍼스키랩

랜섬웨어는 피해자의 데이터를 암호화해 인질로 잡고 암호 키를 받으려면 돈을 지불하라는 데이터 인질 악성코드다. 보통 비트코인으로 지급을 요구하며 요구시간 내에 돈을 지불하면 암호화 키를 제공한다. 그러나 돈만 받고 암호화 키를 제공하지 않는 경우도 있다.

ITWorld 용어풀이 | 랜섬웨어(Ransom ware)

지난 수년 전부터 급속도로 성장한 랜섬웨어 공격자는 초기에는 주로 일반인을 대상으로 범죄행위를 해왔다. 그러다가 기업 등으로 대상을 확대한 후, 최근에는 데이터 가격을 비싸게 받을 수 있는 기업이나 단체를 대상으로 한 공격이 주력으로 바뀌었다.

“기업 공격하는 랜섬웨어 피해 계속” 카스퍼스키랩

랜섬웨어의 확산은 공격 대상만이 아니다. PC, 스마트폰, 스마트와치, 스마트 TV 등 기기를 가리지 않고 무차별 공격에 나서고 있다. 뿐만 아니라 80%이상 윈도우 운영체제를 공격했던 랜섬웨어는 리눅스, 안드로이드, 그리고 최근에는 맥 운영체제를 공격하는 랜섬웨어까지 등장함으로써 랜섬웨어 안전지대는 거의 사라진 셈이다.

클릭재킹 이용하는 신규 안드로이드 랜섬웨어 주의보
애플, 맥 사용자 대상 최초의 랜섬웨어 공격 막았다
팔로알토 네트웍스, “애플 맥 OS 노리는 신종 랜섬웨어 등장”

이처럼 랜섬웨어가 급속도록 성장하게 된 이유는 무엇일까. 지금까지 사이버범죄는 공격 성공이후 수익까지는 상당한 시간이 걸렸고, 대가가 그리 크지 않았다. 그러나 피해자에게 바로 수익을 얻을 수 있다는 랜섬웨어의 장점이 사이버범죄자들에게는 강력한 동기 유발로 작용했다.

예를 들어 크립토록커를 활용한 범죄 조직은 단 100일만에 3,000만 달러의 수익을 올렸고, 크립토월(CryptoWall)은 3억 2,500만 달러의 수입을 챙겼다. 랜섬웨어 피해를 입은 상당수의 기업이 대가를 지불했다고 시인한다.

가장 최근 사고 피해자 가운데 하나는 LA 소재 헐리우드 장로 병원(Hollywood Presbyterian Medical Center)이다. 이 병원은 일부 기기의 암호화된 파일에 악성코드를 설치한 해커들이 요구한 1만 7,000달러를 지급해야 했다. 심지어는 경찰도 피해자가 됐다.

사이버 위협 연합, 크립토월 3.0 크라임웨어의 정체 밝혔다...포티넷
랜섬웨어 피해 입은 미국 병원, 끝내 1만 7,000달러 비용 지불

특히 추적이 어려운 비트코인은 사이버범죄자들의 범죄 수익을 쉽게 현금화해 줌으로써 어둠 세계의 공식 화폐(?)로 통용되고 있다.

역사상 가장 성공적인 가상화폐, 비트코인의 이해 - IDG Tech Report

이제 기업은 랜섬웨어 공격의 주된 표적이다. 기업의 규모가 작든 크든 보안 방어 체계가 제대로 갖춰져 있지 않으면 언제든 암호화 악성코드를 침투시킬 수 있다. 다른 악성코드와 마찬가지로 이메일, 악성 첨부파일 또는 감염된 웹사이트의 링크를 매개체로 하며, 아무런 의심 없이 직원 가운데 누군가 이런 콘텐츠를 열거나 다운로드하거나 클릭하면 사내 네트워크에 악성코드가 침입하는 것이다. 실제로 범죄자들이 대가를 요구하기 전에는 시스템이 감염됐다는 경고조차 나타나지 않는다.

랜섬웨어 공격을 막았다는 보안 책임자의 경험담은 남의 일이 아니다. 이 회사는 예전에 이미 한번 피해를 입은 적이 있어 보안을 철저하게 했음에도 침투를 당했다는 점이다. 특히 이 보안 책임자는 악성코드 활동을 중단시키거나 봉쇄할 수 있다고 기대해서는 안된다고 말한다.

"랜섬웨어에 당해보니", 한 기업 보안 책임자의 데이터 구출 경험담

보안 업계에서는 지난 수년동안 지속적으로 랜섬웨어에 대한 우려와 경고를 해왔다. 각 보안업체마다 랜섬웨어 위협을 알리고 이에 대한 대응전략을 제시하고 있다.

데이터 인질극 ‘랜섬웨어’, 대한민국 상륙 ‘선제방어’로 데이터 자산 지키기
렌섬웨어에 대비하고 계십니까? - 랜섬웨어 공격에 대한 실용 지침서
피해가 속출하는 랜섬웨어에 대한 기업의 대응 방안 - IDG Summary

2015년 보안 전망에서도, 2016년 위협 전망에서도 빠지지 않는 것이 바로 랜섬웨어의 위협 확산이었다. 특히 랜섬웨어가 사물인터넷으로 확산될 경우 엄청난 파장이 예상된다. 일부 전문가들은 일반인을 대상으로 하는 랜섬웨어가 공격자들에게 '생활비'의 일부가 될 수도 있다고 예상했다.
예를 들어, 매일 아침 자동차에 시동을 걸고, 현관문이나 창문이 원격으로 잠기지 않게 하고, 전기 요금이 실제 사용량의 2배를 넘어서고, 가전제품이 고장나고, TV가 스파이 카메라가 되지 않도록 사이버 범죄자에게 매달 20~100달러의 '몸값'을 지급하게 될 수 있다. 또한 몸 안에 이식한 의료 기기에 문제가 생겨 생명에 위협을 받는 일이 없도록 몸값을 지불해야 하는 상황도 발생할 수 있다.

“사물 인터넷을 위협하는” 랜섬웨어와 업계 대응 현황

케르베르(Cerber)라는 랜섬웨어은 범죄자들에게 적당한 가격으로 랜섬웨어를 사용해 공격을 할 수 있도록 했다. 이는 코딩 능력이나 자체 랜섬웨어를 만들 자원을 갖추지 못한 저급의 사이버 범죄자를 양산해 해당 범죄의 대량 확산을 가져올 수 있음을 의미한다.

말하는 케르베르 랜섬웨어, 서비스 형태로 범죄자들에게 판다

하지만 랜섬웨어를 진정 두려워해야 하는 것은 그 진화 속도에 있다. 사이버 협박 공격으로의 진화가 바로 그것이다. 사이버 협박 공격은 랜섬웨어처럼 무차별 공격을 가하지 않고 훨씬 철저하고 계획적으로 기업을 골라 데이터를 탈취하고, 훔친 데이터의 가치를 파악한 뒤, 이를 공개하겠다고 협박하는 것이다. 이미 실제로 많은 기업이 입막음 돈을 지불한 것으로 알려져 충격을 주고 있다.

“훔친 데이터 공개한다” 협박하는 사이버 범죄 더욱 늘어…맨디언트 보고서

이렇게 사이버 위협이 확산되고 진화하더라도 사용자나 기업들은 이제 네트워크와 IT를 사용하지 않을 수 없다. 그래서 대응방안이 필요한 것이다. 다만 랜섬웨어에 일단 감염되면 비용을 지불하지 않고는 암호화를 풀 수 없다.
그래서 일단 차단과 예방이 중요하다. 하지만 앞서 보안 책임자의 경험담대로 랜섬웨어를 완벽하게 막는다는 것은 불가능하므로, 감염 이후 대책 방안에 대해서도 충분히 대비해야 한다.

"데이터를 인질로 삼는다", 랜섬웨어의 현황과 대책 - IDG Deep Dive
"차세대 사이버 방어 전략" 사이버 탄력성의 의미와 방법론 - IDG Tech Report

다음은 스파이웨어, 랜섬웨어를 막는 8가지 방법을 요약한 것이다.
1. 2단계 인증 체계를 적용한다
2. 로그인 내역을 확인한다
3. 인증된 장치를 확인한다
4. 안티 악성코드 소프트웨어를 설치한다
5. 즉시 보안 업데이트를 설치한다
6. 절대 비밀번호를 드러내지 않는다
7. 이메일의 링크를 클릭하지 않는다
8. 오프라인 백업을 한다

랜섬웨어에 대해 알아야 할 5가지
스파이웨어, 악성웨어, 랜섬웨어를 막는 8가지 방법
editor@itworld.co.kr


X