2020 랜섬웨어 현황과 방어 전략 “지능화되고 표적화된 공격으로 피해 비용 증가”

랜섬웨어가 진화하고 공격자가 더 나은 도구를 사용하고 과거의 실수로부터 배우면서 위협 수준이 APT와 동등한 수준에 이르렀다. 
 

지난 수년동안 랜섬웨어 공격은 더욱 정교하고 은밀한 기술을 적용함과 동시에 이전에 갖고 있었던 많은 구현 오류를 수정했다. 게다가 일부 공격은 이제 새로운 데이터 유출 방법을 획득했는데, 이로 인해 기업은 기존의 랜섬웨어로 인한 전통적인 데이터 손실보다 더 많은 피해를 입을 수 있다. 

지난 1년 동안 관찰된 바에 따르면, 이런 공격은 사라지지 않고 더 증가할 가능성이 높다. 

공격 목표가 이동하고 있다 

랜섬웨어는 개인 사용자 위협으로 시작했다. 이는 사람들에게 가짜 벌금을 내거나 존재하지 않은 문제를 해결하기 위해 악성 소프트웨어를 구매하도록 속이는 스케어웨어(scareware)의 공격적인 진화다. 

초기 캠페인은 사이버 범죄 조직에게 수익을 안겼지만 날이 갈수록 개인 사용자 랜섬웨어의 공격 환경은 복잡해졌다. 개인 사용자 안티바이러스 업체가 랜섬웨어 탐지 기능을 개선함에 따라 가능한 한 많은 피해자를 확보하기 위해 광범위한 네트워크에 전송하는 것이 효과적이지 못하게 됐다. 

2019년 8월에 발표한 보고서에서 멀웨어바이트(Malwarebytes)는 2018년 2분기와 2019년 2분기 사이의 랜섬웨어 진화를 살펴보면서 “한때는 위험했지만 최근 잠잠했던 이 위협이 대규모 개인 사용자 캠페인에서 고도로 표적화되고 지능적인 공격으로 전환되면서 다시 살아났다”고 언급했다. 

분석 기간 동안 비즈니스 환경에서 랜섬웨어 탐지 수는 365% 증가한 반면 일반 사용자 탐지는 감소했다. 멀웨어바이트 연구소장 애덤 쿠자와에 따르면, 이런 추세는 1년 동안 지속됐다. 쿠자와는 본지와의 인터뷰에서 “우리는 기업에 초점을 맞추고 있는데, 모든 종류의 감염 방법이 증가하고 있다”면서, “몇 년 전보다 오늘날에는 감염이 더 쉬워졌고 이터널블루(EternalBlue)와 기타 익스플로잇들이 확실히 이것과 관련이 있다”라고 말했다. 

이터널블루는 마이크로소프트의 SMB(Server Message Block) 프로토콜 구현 취약점을 악용해 모든 윈도우 버전에 영향을 주는 공격으로 2017년 3월에 패치됐다. 2017년 전 세계 많은 조직을 마비시킨 워너크라이(WannaCry), 낫페트야(NotPetya) 등 많은 랜섬웨어 웜의 주요 전파 방법은 기업 네트워크를 통해서였다. 

쿠자와는 “기업을 대상으로 하는 이런 유형의 공격이 증가한 절대적인 이유는 아니지만, 워너크라이와 낫페트야가 기업 보안의 바닥을 보여준 것이라 생각한다. 이전에는 많은 사람이 대기업에는 보안팀이 있고 해커들이 침입하기 힘들다고 생각했었다. 하지만 이런 공격이 성공해 엄청나고 방대한 피해를 줄 수 있는 것은 구성이 잘못된 것 때문이 아니라 제때 패치하지 않고 대응하지 않기 때문이라는 것을 알아차렸다. 많은 사이버 범죄자가 기업에 눈을 돌렸으며, 이들은 기업 또한 많은 사용자 가운데 하나라고 생각한다”라고 설명했다. 

피해 현황을 알지 못한다는 것에 대한 영향

민간기업이 랜섬웨어 피해 사건을 공개하는 것이 법적으로 요구되는 것이 아니기 때문에 랜섬웨어 공격이 비즈니스 부문에 미치는 영향을 비용과 빈도 측면에서 정량화하기 어렵다. 또한 이런 피해 기업이 얼마나 자주 몸값을 지불하기로 결정했는지도 말하기 어렵지만, 사이버 범죄자들이 이런 위협에 계속 투자한다는 것은 명백하다. 
 
FBI의 IC3(Internet Crime Complaint Center)는 2019년 10월에 발표한 경보에서 “IC3와 FBI 사례 정보 접수 내용에 따르면, 2018년 초 이후 광범위한 무차별 랜섬웨어 캠페인 발생은 급격히 줄었지만, 랜섬웨어 공격으로 인한 손실은 크게 증가했다”라고 밝혔다.
 
IC3는 “랜섬웨어 공격은 전체적인 공격 빈도가 일정하게 유지되고 있음에도 불구하고 점점 더 표적화되고 정교해지며 피해 비용이 증가하고 있다”라고 말했다. 

미국 상장 기업들은 주주들에게 중대한 사이버 공격을 공개해야 하는 의무의 일환으로, 미 증권거래위원회(Securities and Exchange Commission, SEC)에 랜섬웨어 공격에 당한 피해 상황에 대한 정보를 공개한다. 기업은 고객과 파트너에게 심각한 비즈니스 차질을 설명해야 할 때 피해 사건을 공개해야 할 수도 있다.
 
예를 들어, 2017년 낫페트야 공격의 결과로, 대형 운송업체인 머스크(Maersk)는 17개 항구 터미널에서 운영을 중단해야 했고, 이로 인해 화물 적재 대기 라인이 크게 늘어나 이를 해결하는 데에만 수 개월이 걸리는 물류 악몽에 시달렸다. 이 사건으로 인해 머스크는 2억 달러 이상의 손실을 입었지만, 고객 비즈니스에도 심각한 영향을 미쳤다.

랜섬웨어가 지방자치단체, 병원, 학교 또는 경찰서와 같은 공공 기관을 공격할 때, 그 충격에 대한 가시성이 커지고 피해 여파가 우려된다. 보안 업체 엠시소프트(Emsisoft)가 2019년 12월에 발표한 보고서에 따르면, 랜섬웨어 공격은 113개 미국 정부기관, 지방자치단체, 주정부에 영향을 미쳤으며, 764개의 의료 서비스 제공업체와 89개의 대학교 및 단과대학 등이 영향을 받을 가능성이 있다고 한다.  

예산 제약과 오래된 IT 인프라 때문에 공공 기관은 대기업과 동일한 수준의 보안을 갖추지 못한다는 주장을 제기할 수 있다. 미국 미시시피 주 감사원이 2019년 10월 발표한 보고서에서 “일부 주 기관, 이사회, 위원회, 대학들이 주 사이버보안법을 지키지 않아 미시시피주의 개인 데이터가 해커들에게 취약해졌다”면서, “많은 주 기관이 마치 연방 및 주 사이버보안 법이 적용되지 않는 것처럼 운영하고 있다”라고 밝혔다. 엠시소프트에 따르면, 미시시피 주는 실제로 2019년 랜섬웨어의 영향을 가장 적게 받은 주 가운데 하나였다.  

랜섬웨어, APT 레벨의 위협으로 진화 

공공기관이 더 쉬운 대상이라 하더라도, 민간 기업이 랜섬웨어 감염 위험에서 벗어난 것은 아니다. 지난 몇 년간 랜섬웨어 범죄자는 표적형 전달 매커니즘, 관리도구 및 유틸리티를 사용한 매뉴얼 해킹(manual hacking), 은밀한 네트워크 정찰, 그리고 이와 관련된 다른 공격 프로세스 등 정교한 기술을 채택해왔다. 이런 기술은 원래 사이버 스파이 그룹 및 국가 주도의 행위자와 연관이 있었다. 이는 기존 사이버 범죄자들이 APT(Aadvanced Persistent Threat) 기법을 채택하고 있는 더 큰 트렌드의 일부다.  

쿠자와는 “매뉴얼 감염(manual infections)이라 부르는 공격이 증가했다. 이는 인터넷에 연결된 서버와 프로토콜에 취약점이 있는 공격이나 공격자가 시스템 터미널에 액세스해 백도어로 사용할 수 있는 공격 방법이다. 이를 통해 사이버 범죄자들은 기능상 제약이 있는 자동화된 악성코드에 의존하는 대신, 보안 소프트웨어를 비활성화하고 다양한 작업을 수행하면서 특정 대상에 랜섬웨어를 배포할 수 있다”라고 설명했다.  

이런 방식으로 배포한 것으로 알려진 랜섬웨어 샘샘(SamSam)의 시작은 2016년까지 거슬러 올라간다. 류크(Ryuk), 로빈후드(RobinHood) 및 소디노키비(Sodinokibi)와 같은 지난 해동안 관찰된 새로운 랜섬웨어들도 같은 전술을 채택했다.
 
더욱이 랜섬웨어가 사이버 범죄자들이 데이터를 암호화하는 것뿐만 아니라 데이터를 도용해 인터넷에 공개하려고 위협하는 새로운 유형의 위협으로 진화하고 있다는 징후도 포착됐다. 이를 통해 피해 조직은 공공 데이터 유출과 관련한 규제와 재정 및 평판에 영향을 받을 수 있다. 

2019년 12월, 메이즈(Maze)라는 해커그룹은 몸값 지불을 거부할 경우, 랜섬웨어에 감염된 조직에서 도난당한 데이터를 공개하겠다고 위협했다. 피해 조직에는 미국 플로리다 주 펜사콜라시가 포함되어 있었는데, 펜사콜라시는 12월 7일 휴대전화, 도시 핫라인, 이메일 서버, 청구서 결제 시스템을 교란시키는 공격을 받았다. 

다른 해커 그룹은 데이터 유출을 강탈(Extortion) 기법으로 사용해 왔다. 2015년 소비자를 대상으로 하는 키메라(Kimera)라는 랜섬웨어는 피해자로부터 도난된 개인정보를 공개하겠다고 위협했다. 그러나 키메라의 경우, 단지 공포 전술일뿐이었고 공격자는 실제로 감염된 시스템에서 데이터를 훔치지 않았다. 

지난 수년간 사이버 범죄자들이 도난당한 정보를 공개하겠다고 위협한 많은 행위가 대부분 가짜로 판명됐다. 대량의 데이터를 유출하는 것이 어렵기 때문이다. 피해자의 데이터를 유출하기 위해서는 수백 테라바이트의 데이터를 수신하고 저장할 수 있는 인프라가 필요하다. 이는 공격 캠페인에 상당한 비용을 추가한다. 그러나 유지 관리가 쉽고 스토리지 및 데이터 트래픽 비용을 낮추는 클라우드 인프라의 등장으로 이런 공격이 현실화되기 시작했다. 

2019년 12월 말, 메이즈 그룹은 피해자로부터 유출된 잠재적으로 민감한 정보를 소유하고 있다는 걸 증명하기 위해 훔쳤다고 주장하는 데이터 일부를 공개했다. 아일랜드 ISP에서 호스팅되는 첫 번째 웹 사이트가 중단됐지만, 곧 싱가포르에서 호스팅되는 다른 웹 사이트를 통해 다시 온라인에 접속됐다. 

쿠자와는 “이는 랜섬웨어 위협의 예상치 못한 진화다”라며, “이런 행위는 확실히 범죄자를 더 노출시키기는 하지만, 압력을 가하는 효과적인 방법이기도 하다. 언론과 위협의 인식을 활용하는 것이다”라고 말했다. 

쿠자와는 “랜섬웨어에 대처하고 확실한 데이터 복구 계획을 수립하는 조직이 늘어나면서 랜섬웨어 범죄조직은 파일을 단순히 암호화하는 것만으로는 돈을 빼내기가 더 어려워질 수 있기 때문에 이런 전술에 점점 더 의존하게 될 것이다. 일부 기업은 자사가 보유하고 중요하다고 판단하는 데이터가 공격자가 빼냈는 지 여부와 상관없이 몸값을 지불하지 않으면 공개하겠다는 위협 자체에 대가를 지불할 수 밖에 없다”라고 설명했다. 

새로운 공격 방법, "탐지가 쉽지 않다" 

랜섬웨어를 배포하는 주요 방법은 스피어 피싱과 안전하지 않은 RDP(Remote Desktop Protocol) 연결로 유지된다. 그러나 공격자는 이미 다른 악성코드에 감염된 시스템에 액세스할 수도 있다. 온라인 마켓 플레이스는 해킹된 컴퓨터와 서버에 대한 액세스를 판매하고 있으며, 봇넷은 이를 사려는 이들을 위해 추가적인 악성코드를 배포한다. 예를 들어, 이모텟(Emotet) 스팸 봇넷, 트릭봇(TrickBot) 자격증명 도용 트로이, 류크 랜섬웨어의 관계는 보안 업계에서 잘 알려져 있다. 

매니지드 보안 서비스 제공업체 시큐어웍스(Secureworks) 연구원 크리스 율은 지난해 11월에 열린 디프캠(DefCamp) 컨퍼런스에서 “류크 랜섬웨어 사건의 초기 해킹은 거의 항상 상업용 악성코드를 통해 발생한다”라고 말했다. 율의 강연은 대기업의 실제 랜섬웨어 감염에 대한 통찰력을 제공했다. 

율은 “이모텟이 트릭봇 감염으로 이어지고 시간이 지나면서 트릭봇 감염 중 일부는 류크 해킹으로 이어지는 것을 보게된다”며, “왜 그런지 확신할 순 없지만 논리적인 가정은 류크 뒤에 있는 그룹이 액세스 비용을 지불하고 있는 것같다”고 말했다. 
 
율에 따르면, 트릭봇은 자동화된 자격증명 도용이라는 정상적인 활동을 하고 있지만, 일단 류크 운영자가 인수하면 모든 것이 변한다. 이 활동은 더욱 실제적이 되며, 시스템 관리도구, 네트워크 검색, 파워쉘 엠파이어(Powershell Empire)와 같은 공공 공격 프레임워크를 사용해 엔드포인트 악성코드 탐지 기능을 비활성화하는 등의 작업을 한다. 공격자는 APT 그룹들의 일상적인 전술을 사용해 탐지되지 않은 채, 대규모 랜섬웨어 공격을 준비하면서 환경을 익히고, 도메인 컨트롤러와 다른 중요한 목표물들을 찾아낸다. 

좋은 소식은 초기 이모텟 감염과 류크 배포 사이에는 일반적으로 기업이 감염을 탐지하고 처리할 수 있을만큼 상당한 시간이 있다는 점이다. 율이 제시한 사례에서 시간은 48일이었다. 

나쁜 소식은 이런 유형의 매뉴얼 해킹 및 측면 이동은 진보된 네트워크 및 시스템 모니터링 도구가 없다면 탐지하기가 쉽지 않다는 점이다. 즉, 위협 모델이 아니기 때문에 APT를 방어할 수 있는 기능을 구축하지 않은 조직은 이제 랜섬웨어 및 기타 정교한 사이버 범죄 공격을 놓칠 수 있다는 걸 의미한다. 

지난 몇 년 동안 일부 랜섬웨어 그룹이 채택한 또 다른 흥미로운 감염 경로는 많은 기업의 네트워크 및 시스템에 대한 특권 액세스 권한을 가진 MSP(Managed Services Providers)를 해킹하는 것이다. 

MSP는 그들이 제공하는 서비스 덕분에 기업 고객의 특권 액세스 권한을 갖고 있다. 많은 중소기업이 네트워크 및 보안 관리를 MSP에게 아웃소싱하고 있기 때문에 문제가 발생한다. 따라서 신뢰할 수 있는 서드파티 또는 이들이 사용하는 툴이 내부자 위협이 됐을 때 발생할 수 있는 피해를 제한하는 조치를 취하는 것이 중요하다. 

멀웨어바이트는 웹 기반 익스플로잇 키트, 특히 RIG 익스플로잇 키트를 사용해 기업을 목표로 한 랜섬웨어 배포가 부활했음을 관찰했다. 이는 공격자가 특정 비즈니스 부문에 관심이 있거나 공격목표 직원이 방문한 것으로 알려진 해킹된 웹 사이트를 통해 시작된 공격이다.   

쿠자와는 “이런 공격이 부활한 것은 지난 몇 년 동안 많은 취약점이 발견됐기 때문이다. 이는 크롬을 실행하는 데 사용되는 크로미움(Chromium) 엔진에 초점이 맞춰져 있다. 결국 많은 사람이 마이크로소프트의 새로운 브라우저인 크로미움 엔진을 사용하기 때문에 이 브라우저를 악용하는 것은 사이버 범죄자들에게는 매우 중요하다”

풀기가 더 어려워진 랜섬웨어 암호화

보안 업체는 피해자가 돈을 지불하지 않고 파일을 복구할 수 있도록 랜섬웨어 프로그램의 파일 암호화 구현에서 취약점을 찾아내려고 한다. 이런 노력의 결과로 만들어진 해독 도구는 일반적으로 무료로 배포되며, 이는 유로폴(Europol)에서 유지 관리하는 노모어랜섬(NoMoreRansom.org) 사이트에서 이용할 수 있다.

그러나 좀 더 지능적인 그룹이 사용하는 랜섬웨어는 상당히 성숙하다. 공격자들은 과거의 실수나 다른 랜섬웨어 개발자의 실수를 통해 구현 오류를 수정했다. 

일부 랜섬웨어 프로그램 코드가 온라인으로 유출되어 복사 및 개선이 가능하다. 운영체제는 또한 암호화 API를 제공하며 잘 알려진 오픈소스 암호화 프레임워크 및 라이브러리가 있다. 공격자에게 가장 인기있는 랜섬웨어 프로그램은 강력한 암호화 알고리즘을 사용하고 해결책이 없기 때문에 가장 위험하다는 것을 의미한다. 

조직에서는 백업 계획을 수립하고 정기적으로 테스트하는 데이터 복원 계획을 세우는 것이 중요하다. 또한 공격자가 백업을 삭제하거나 암호화하는 것을 방지하기 위해 백업을 오프사이트 또는 네트워크 외부에 보관해야 한다. 알려진 일부 사례에서 조직은 백업이 해킹됐거나 복구 프로세스가 해독기를 구입하는 것보다 너무 오래 걸렸기 때문에 몸값을 지불하기로 결정할 수 밖에 없었다. 

필수적인 랜섬웨어 방어 전략 

무엇보다 조직은 내외부 침투 테스트를 수행해 인터넷에 노출될 가능성이 있는 시스템이나 서버를 식별해 쉬운 공격 목표 목록에서 벗어나야 한다. VPN이나 RDP와 같은 네트워크 원격 연결에는 강력하고 고유한 자격 증명과 이중 인증(2FA)도 있어야 한다. 

네트워크 내부에서 기업은 엔드포인트와 서버에서의 운영체제와 소프트웨어들이 최신 상태의 패치인지 확인해야 한다. 네트워크는 최소한의 특권 원칙을 기반으로 세분화해 한 부서의 워크 스테이션이 해킹되어도 전체 네트워크로 쉽게 이어지지 않도록 해야 한다. 윈도우 네트워크에서 도메인 컨트롤러의 비정상적인 액세스가 있는지 주의깊게 모니터링해야 한다.  

MSP 또는 MSSP(Managed Security Services Provider)를 사용하는 조직은 해당 서드파티로부터 연결을 모니터링하고 기록해야 하며, 사용하는 소프트웨어에도 2FA가 설정되어 있어야 한다. 서드파티에 제공되는 네트워크 및 시스템 액세스는 업무를 수행하는 데 필요한 것으로만 제한돼야 한다. 

조직은 비즈니스 운영에 중요한 데이터의 명확한 인벤토리를 확보해야 한다. 이를 저장하는 시스템은 엄격하게 제어되어야 한다. 

많은 랜섬웨어 감염은 워크스테이션 감염부터 시작되기 때문에 엔드포인트 안티악성코드 소프트웨어를 사용하는 것이 중요하다. 브라우저에서 불필요한 플러그인과 확장 프로그램을 제거해 소프트웨어를 최신 상태로 유지하고 직원 계정에 제한된 권한을 부여한다. 

피싱 이메일을 탐지하고 파일을 열거나 링크를 클릭하라는 요청에 응하지 않도록 직원들을 교육시킨다. 보안 팀에서는 직원들이 의심스럽다고 생각하는 이메일을 전달할 수 있도록 특별한 이메일 주소를 만들어야 한다.
 
마지막으로, 사고 대응 계획을 작성하고 사고가 발생할 경우, 보안 공급업체나 MSSP 및 법 집행 기관과의 커뮤니케이션과 관련된 모든 사람이 자신의 역할과 수행해야 할 사항을 숙지하도록 해야 한다. 일반 악성 프로그램 감염이라도 심각한 위협에 대한 침입 백터가 될 수 있는 경우가 많기 때문에 가볍게 다루지 말고, 철저히 조사해야 한다. 

IC3 및 미국 사이버보안국(U.S. Cybersecurity and Infrastructure Security Agency, CISA)은 모두 랜섬웨어 공격을 방지하거나 대응하기 위한 권고안을 제공한다. 2020년 2월 NIST(National Institute of Standards and Technology)는 랜섬웨어 처리에 대한 모범 사례 지침 초안 2건을 발표했다. 초안 지침은 <데이터 무결성: 랜섬웨어 및 기타 파괴적인 이벤트로부터 자산 식별 및 보호>와 <데이터 무결성: 랜섬웨어 및 기타 파괴 이벤트 탐지 및 대응>이다.

NIST는 2월 26일까지 이들 주제에 대한 의견을 접수하고 있으며, 2020년 후반에 최종 지침을 발표할 예정이다. editor@itworld.co.kr