보안

토픽 브리핑 | 한국 더이상 '크립토락커' 안전지대 아니다…"탐지와 대응이 유일한 길"

이수경 기자 | ITWorld 2015.04.24

최근 랜섬웨어(Ransomware)의 일종인 크립토락커(CryptoLocker)의 한글 버전이 배포되고 있어 사용자의 각별한 주의가 당부되고 있다.
 

지난 21일 국내 커뮤니티 웹사이트인 클리앙에서는 드라이브 바이 다운로드(Drive by Download, DBD) 공격 방식으로 크립토락커가 배포됐다. 현재는 디씨인사이드, 시코 등 5개의 사이트 광고 서버를 통해 재유포되고 있으며, 해당 악성코드 경유지는 트위터로 리다이렉션되고 있는 상황이다.
 

ITWorld 용어풀이 | 랜섬웨어(Ransom ware)
KISA, 한글버전 랜섬웨어 ‘크립토락커’ 확산 주의 당부


이 악성코드는 감염된 PC의 시스템 파일을 제외한 MS 오피스 및 한글 문서 파일, 압축 파일, 동영상, 사진 등을 암호화한 후, 해당 국가 언어로 작성된 txt, html 파일을 생성해 사용자에게 PC가 감염된 사실을 알리는 것으로 확인됐다. 안내 문구는 좀비 PC의 IP 주소를 기반으로 국가별 또는 언어별로 작성되는 것으로 보인다.
 

해커들은 복호화 키를 주는 조건으로 96시간 이내에 돈을 내도록 유도하는 것으로 알려졌다. 또한, 추적을 피하기 위해 익명의 네트워크인 토르(Tor)를 사용하고 추적이 어려운 전자 화폐인 비트코인으로 돈을 요구하기도 했다.
 

빛스캔은 이번 사태에 대해 전세계를 무대로 활동하는 랜섬웨어 해커 집단이 공격 대상을 한국으로 확대한 것이라고 분석했다. 특히 국내 최초 DBD 공격 방식을 이용한 랜섬웨어 대량 감염이라는 점에서 문제가 있다고 말했다. DBD 공격은 주로 원격통제나 금융정보 탈취를 위한 용도로 발생했으나, 최근 불특정 다수에게 랜섬웨어를 유포하기 위해 사용된다는 점에서 심각한 상황을 일으키고 있다.
 

새로운, 그리고 막장에 이른 소셜 엔지니어링 사기 4가지
“클리앙의 국내 최초 DBD-랜섬웨어 유포 사태, 사전 차단 중요”… 빛스캔
 

특히 이번 크립토웨어 경유지는 다양한 도메인을 사용하며 계속해서 변형되므로 URL 및 URI를 차단하는 것만으로는 공격을 방어할 수 없다는 한계가 있다. 또한, 공격자의 의도에 따라 IP도 쉽게 변경할 수 있다는 점에서, 현재로서는 악성 링크인 경유지를 빠르게 탐지하고 이미 감염된 PC에 조처를 하는 것만이 현재의 위험을 줄이는 최선의 대응 방안으로 제시되고 있다.
 

앞으로의 공격은 이메일이나 파일 다운로드가 아닌, 이와 같은 감염된 웹사이트를 방문하는 것만으로도 피해를 유발하는 형태로 확대될 것으로 예상된다. 인터넷 익스플로러와 플래시의 신규 취약성을 중심으로 국내 주요 웹서비스에 대한 공격으로 악성코드에 감염되는 사태가 커진다는 의미다. 이미 해외에서는 윈도우뿐만 아니라 맥과 모바일 사용자를 대상으로 한 공격 사례가 발견되고 있다.
 

“맥 사용자, PC 사용자와 동일하게 사이버 위협에 노출” 카스퍼스키랩 발표


한편, 이에 대한 방안으로 백신 및 보안 업데이트의 중요성이 부각되고 있으나, 날이 갈수록 정교해지는 악성코드 위협을 효과적으로 방어할 수 없다는 점에서 그 실효성에 대한 의문이 제기되고 있다. 공격자들이 감염 시점에 주요 백신의 탐지 여부를 확인하여 감염에 악용하기 때문에, 실제 인증서가 탈취되어 폐기되거나 금융피해가 발생하기 전까지는 감염 사실을 확인할 수 없어 피해를 효과적으로 예방할 수 없다는 의견이 지배적이다. 또한, 해당 악성코드를 안전하게 제거하더라도 암호화된 데이터를 풀 수 있는 방법이 거의 없어 방어만이 효과적인 대안이 아니라는 지적도 있다.
 

무용지물인 안티바이러스, 계속 사용하는 이유는
보안 문제를 해결하기 어려운 6가지 이유


앞으로 DBD 공격방식은 널리 활용될 것이며, 랜섬웨어를 이용하는 공격 그룹도 국내의 주요 웹서비스에 대한 공격과 악성코드의 감염이 확산될 것으로 예상된다.
 

보안 투자를 늘여야하는 이유
“2018년 대기업의 40%, 사이버공격 대응 방안 마련”…가트너
“지능화되는 악성코드 관리 어려움 증가”…블루코트 2015년 전망


하루 평균 100만 개나 생성되는 최신 악성코드를 100% 완벽하게 차단하는 것은 불가능하다. 유일한 해결책은 보안에 지속해서 투자하고, 취약성을 상시로 확인하며 악성코드의 유통 경로를 즉시 관찰해서 차단하는 것뿐이다. 즉, 사후 진단이 아닌 웹에 대한 사전차단이 필요한 시점이다. 빛스캔의 오승택 과장은 "'탐지와 대응'전략을 기조로, 피해규모를 최소한으로 줄이는 것이 지금으로써는 유일한 대안이다"고 말했다.editor@itworld.co.kr

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.