보안

지난 5년 간 규모가 컸던 랜섬웨어 공격 6종

Josh Fruhlinger | CSO 2019.12.27
데이터를 인질로 잡는 악성코드는 꽤 오래 전에 등장했다. 1991년, 생물학자 한 명이 다른 AIDS 연구원들에게 플로피 디스크를 우편 발송하는 방법으로 역사상 최초의 랜섬웨어인 PC 사이보그(Cyborg)를 퍼트렸다. 2000년대 중반에는 암호화를 사용하는 첫 번째 랜섬웨어인 아키비어스(Archieveus)가 등장했다. 아주 오래 전에 해결되었지만 위키피디아 페이지에서 비밀번호를 찾을 수 있는 랜섬웨어다. 

2010년대 초에는 이른바 ‘폴리스(Police)’로 불리는 일련의 랜섬웨어들이 등장했다. 법 집행기관으로 위장, 피해자의 불법 활동에 대해 경고를 하고 ‘벌금’을 요구한 랜섬웨어였다. 새로 등장한 익명 지불 서비스를 이용하기 시작한 랜섬웨어로, 잡히지 않고 돈을 걷어들일 수 있었다.

2010년대 말에는 랜섬웨어와 관련, 새로운 트렌드 하나가 부상했다. 사이버 범죄자들이 사이버 몸값 결제 수단으로 암호화폐(Cryptocurrency)를 사용하기 시작한 것이다. 사이버 범죄자들에게 암호화폐가 매력적인 이유는 추적이 불가능한 익명 지불 수단이기 때문이다. 대부분 랜섬웨어 범죄자들이 가장 유명한 암호화폐인 비트코인으로 사이버 몸값을 지불할 것을 요구했다. 그러나 비트코인의 인기로 가치 변동성이 커지면서 다른 화폐로 결제를 요구하기 시작했다.
 
ⓒ Getty Images Bank 

랜섬웨어는 처음에는 호기심과 성가심의 대상에 불과했지만, 지금은 국가 첩보기관이나 국제적인 책략과도 관련이 있는 중대한 위협으로 부상했다. 지난 5년 동안 발생한 랜섬웨어 공격 중 가장 규모가 큰 랜섬웨어 공격들은 랜섬웨어가 어떻게 진화했는지 알려준다.

1. 테슬라크립트(TeslaCrypt)
처음에는 크립토락커(CryptoLocker) 변종 중 하나였지만, 얼마 지나지 않아 테슬라크립트라는 새로운 이름이 붙여졌다. 꽤 영리한 작업 방식을 갖고 있다. 저장된 게임, 지도, 다운로드 가능 콘텐츠 등 비디오 게임과 관련된 부수적 파일들을 표적으로 삼았다. 한때 하드코어 게이머들이 소중히 취급했던 시절이 있었다. 또 클라우드나 외장 드라이브의 백업보다는 로컬 저장되는 경우가 많다. 2016년 랜섬웨어 공격 가운데 48%가 테슬라크립트였다.

테슬라크립트가 치명적인 이유 중 하나는 끊임없이 발전한다는 것이다. 2016년 초에는 악성코드를 만든 사람의 도움 없이는 파일 복구가 사실상 불가능한 정도에 이르렀다. 그러나 2016년 5월, 테슬라크립트 개발자가 놀라운 발표를 했다. 범죄 활동을 중단하고, 세상에 마스터 해독 키를 제공하겠다고 발표한 것이다.

2. 심플락커(SimpleLocker)
값진 파일을 모바일 장치에 보관하는 사례가 증가하면서, 모바일 장치를 표적으로 하는 랜섬웨어도 증가하고 있다. 공격 표적이 된 플랫폼은 안드로이드였다. 2015년 말과 2016년 초에 안드로이드가 랜섬웨어에 감염된 사례가 약 4배 넘게 증가했다. 상당수는 사용자가 UI의 일부에 접근할 수 없도록 만들어 파일 액세스를 힘들게 만들었던 이른바 ‘블로커(Blocker)’ 공격이었다. 

그러나 2015년 말에 아주 공격적인 랜섬웨어인 심플락커가 확산되기 시작했다. 실제 파일을 암호화하고, 범죄자의 도움 없이는 액세스가 불가능하도록 만든 첫 번째 안드로이드 기반 랜섬웨어 공격이었다. 

심플락커는 보안 도구들이 잡기 더 힘들도록 트로이 목마 다운로더를 통해 악성 페이로드를 배포한 첫 번째 랜섬웨어이기도 했다. 심플락커가 만들어진 장소는 동유럽이었지만 피해자의 3/4은 미국인이었다. 범죄자들이 돈을 쫓은 결과이다.

좋은 소식을 알려주면, 심플락커로 안드로이드 악성코드 감염이 크게 증가했지만, 전반적인 감염 숫자는 여전히 낮다. 2016년 말 기준으로 15만 건인데, 이는 전체 안드로이드 사용자 중 극소수에 불과하다. 

대부분 공식 구글 플레이 스토어 밖에서 의심스러운 앱과 콘텐츠를 다운로드 받은 결과로 감염이 되고 있다. 구글은 실제 랜섬웨어에 감염되기란 아주 어렵다는 점을 설득하고, 사용자에게 확신을 주려 노력하고 있다. 그러나 아직은 잠복해 있는 위협 중 하나이다.

3. 워너크라이(WannaCry)
2017년 중반, 서로 관련이 있는 2종의 랜섬웨어 공격이 전세계에 산불처럼 확산되었다. 이로 인해 우크라이나 병원과 캘리포니아 라디오 방송국의 기능이 정지되었다. 랜섬웨어가 실존적 위협이 된 것이다.

첫 번째는 이른바 워너크라이(WannaCry)로 불리는 랜섬웨어 공격이었다. 어베스트(Avast)의 펜은 “워너크라이는 인류 역사상 가장 심각한 랜섬웨어 공격이었다. 이 랜섬웨어 공격은 5월 12일 유럽에서 시작되었다. 어베스트의 조사에 따르면, 단 4일만에 116개 국가에서 25만 번의 감염 사고가 발생했다”고 말했다(1년이 넘는 기간 안드로이드 감염 사례가 15만인 것과 비교되는 통계다). 

워너크라이의 심각성은 이런 ‘숫자’에만 있지 않다. 렐리아퀘스트(ReliaQuest)의 조 파트로 CTO는 "NSA에서 유출된 해킹 도구를 악의적으로 사용한 첫 번째 공격이라는 점도 중요하다"라고 말했다. 이 해킹 도구란 마이크로소프트 SMB 프로토콜 취약점을 악용하는 익스플로잇인 이터널블루(EternalBlue)를 가리킨다. 

마이크로소프트가 취약점을 없애는 패치를 배포한 상태였지만, 이를 설치하지 않은 사용자가 많았다. 펜은 “워너크라이는 이런 취약점을 적극적으로 악용, 네트워크에 위치한 모든 장치로 공격적으로 확산되었다. 추가 감염에 사용자의 행위를 요구하지 않는 특징을 갖고 있기 때문이다”라고 말했다. 

도메인툴즈(DomainTools)의 선임 사이버보안 위협 연구원인 카일 윌호이트는 “많은 기업이 포트 445를 인터넷에 노출된 상태로 열어 놓았는 데, 이것이 웜 확산에 도움을 줬다”라고 지적했다.

4. 낫페트야(NotPetya)
워너크라이는 새로운 시대를 열었고, 낫페트야는 이를 확인시켜줬다. 페트야는 사실 2016년으로 거슬러 올라가는 랜섬웨어 패키지였다. 

그러나 워너크라이 발발 몇 주 뒤, 워너클라이처럼 이터널블루 패키지를 사용하는 업데이트된 버전이 확산되기 시작했다. 이에 보안 연구원들은 원래 버전을 뛰어넘어 발전된 버전이라는 의미에서 ‘낫페트야’라는 이름을 붙였다. 낫페트야는 랜섬웨어가 아니고, 러시아가 우크라이나를 사이버공격하기 위해 랜섬웨어처럼 위장한 버전이라는 소문이 많았다.    

어느 쪽이든, 레드락(RedLock)을 공동 창업한 바룬 배드와르 CEO는 교훈 하나를 제시한다. 배드와르는 “워너크라이 이면에 누가 있는지에 대한 이야기들이 많다. 그러나 이런 정보가 향후 이런 종류의 공격을 방지하는 데 도움을 주지 못한다. 스크립트 키디(Script Kiddies)부터 조직 범죄 집단, 국가가 후원하는 공격 집단까지 누구나 인터넷에서 쉽게 악성코드 익스플로잇과 툴킷을 입수할 수 있다. 낫페트야가 이렇게 급속도로 확산된 사실은 전세계의 기업과 기관들이 여전히 사이버보안을 중시하지 않고 있었다는 점을 알려준다. 앞을 내다보면서 온프레미스 네트워크 트래픽과 클라우드 인프라 환경의 트래픽을 모니터링해야 한다. 그래야 낫페트야 같은 감염의 일부를 방지할 수 있다. 종합적인 네트워크 가시성 및 모니터링 도구들은 워너크라이 같은 공격 실행에 사용되었던 비표준 포트의 네트워크 트래픽을 자동 감지할 수 있다”라고 설명했다.

5. 샘샘(SamSam)
2015년 말, 샘샘이라는 소프트웨어를 사용한 공격이 발생했다. 그러나 세상을 떠들썩하게 만든 사건들을 일으키면서 확산된 것은 이후 몇 년 동안이다. 콜로라도 주 정부 산하 교통부, 애틀란타 시 정부, 수 많은 의료시설이 피해를 입었다. 

무엇보다 샘샘은 기술적인 것보다 조직적인 랜섬웨어라는 특징을 갖고 있다. 맹목적으로 특정 취약점을 찾지 않고, 대신 컨트롤러가 세심히 사전에 선정한 표적에서 취약점을 찾는 RaaS(Ransomware-as-a-Service)이다. 이 랜섬웨어는 IIS에서 FTP, RDP로 취약점을 찾아 익스플로잇 공격을 한다. 시스템 내부에 들어가면, 공격자는 권한을 상승시켜 나간다. 그리고 파일 암호화를 시작하는 단계에 도달하게 되면, 큰 피해가 초래된다.

처음에 보안 연구원들은 샘샘의 발생지가 동유럽이라고 생각했지만, 샘샘 공격의 절대다수는 미국 내 기관이 표적이었다. 2018년 말, 미국 법무부는 이 공격의 배후라며 이란인 2명을 기소했다. 기소장에 따르면, 이들은 공격으로 3,000만 달러가 넘는 피해를 발생시켰다. 여기에서 실제 지불된 사이버 몸값이 얼마인지 불확실하다. 

미국 애틀란타 시 정부의 경우, 공무원들이 지역 언론에 공격자와 연락하는 방법에 대한 정보가 포함된 사이버 몸값 메시지의 스크린샷을 제공했었다. 이로 인해 공격자들은 연락 창구를 닫았으며, 따라서 애틀란타 시 정부는 사이버 몸값을 지불하려 해도 그렇게 할 수가 없었다.

6. 류크(Ryuk)
류크는 2018년과 2019년에 떠들썩했던 또 다른 표적화 된 랜섬웨어 변종이다. 다운타임이 거의 용인되지 않는 조직들이 피해자가 됐다. 일간 신문사, 허리케인 플로렌스 이후에 고군분투하고 있었던 노스 캐롤라이나 주의 수도 유틸리티 회사가 여기에 포함된다. 

LA 타임즈는 소유 시스템이 감염되었을 때 일어난 일을 꽤 자세히 설명한 기사를 냈다. 류크의 고약한 기능 중 하나는 감염시킨 컴퓨터의 윈도우 시스템 복구 옵션을 비활성화시켜, 사이버 몸값을 지불하지 않으면 암호화된 데이터를 복구하기 아주 어렵게 만든다는 것이다. 

‘하이 밸류’ 피해자들을 표적으로 삼는 랜섬웨어 공격답게 요구하는 사이버 몸값 액수가 많았다. 또 연말 연휴 시즌에 공격을 감행, 목적 달성을 위해서라면 크리스마스를 망치는 것도 두려워하지 않는다는 점을 보여줬다.

애널리스트들에 따르면, 류크 소스코드는 북한 라자러스(Lazarus) 그룹이 만든 헤르메스(Hermes)에 바탕을 두고 있다. 그러나 북한이 류크 공격을 했다는 의미는 아니다. 맥아피(McAfee)에 따르면, 류크는 러시아어를 하는 공급업체로부터 구입한 코드로 만들어졌다. 부분적으로는 언어가 러시아, 벨라루시아, 우크라이나 언어로 설정된 컴퓨터에서는 이 랜섬웨어가 실행되지 않는 것이 증거이다. 러시아인들이 북한으로부터 어떻게 코드를 구입했는지는 불확실하다.

기타: 크립토락커(CryptoLocker)
5년이라는 범위를 벗어난 2013년에 발생했지만, 대규모 랜섬웨어 공격 시대를 연 랜섬웨어가 크립토락커이다. 크립토락커는 스팸 메시지 첨부물을 통해 확산이 되었으며, RSA 퍼블릭 키 암호화를 사용해 사용자 파일을 암호화한 후, 해독 키의 대가로 돈을 요구했다. 

어베스트(Avast)의 조나단 펜 전략 담당 책임자에 따르면, 2013년 말과 2014년 초에 가장 기승을 부렸다. 당시 50만 대가 넘는 장치가 크립토락커에 감염됐다.

크립토락커는 어느 정도는 원시적인 랜섬웨어였고, 화이트햇 공격 작전인 오퍼레이션 토바르(Operation Tovar)에 의해 격퇴되었다. 이 작전은 크립토락커를 제어했던 봇넷을 무너뜨렸고, 그 과정에 크립토락커가 파일 암호화에 사용했던 프라이빗 키를 발견했다. 

그러나 펜이 지적했듯, 크립토락커는 파일을 암호화하는 많은 랜섬웨어 변종들을 위한 수문을 여는 역할을 했다. 크립토락커의 코드에 기반을 준 변종, 크립토락커라는 이름이 붙여졌거나 유사한 변종이기는 하지만 처음부터 개발된 변종들이 있었다.  

이런 변종들에 지불된 사이버 몸값이 약 300만 달러로 추정된다. 이 가운데 하나가 2015년 랜섬웨어 감염 사례의 절반 이상을 차지했던 크립토월(CryptoWall)이다.
 

랜섬웨어 동향 

실제하는 중대한 위협이지만, 랜섬웨어는 2018년과 2019년에 감소세로 돌아섰다. 그것도 급격한 감소세이다. 2017년에는 48%에 달하는 조직이 랜섬웨어에 영향을 받았지만, 2018년에는 4%에 불과했다. 랜섬웨어가 줄어든 몇 가지 이유가 있다. 첫 번째 이유는 특정 표적에 맞춤화 되어있고, 샘샘과 류크 같이 정교한 컨트롤러에 의해 실시간 운영되는 랜섬웨어 공격이 증가하고 있기 때문이다. 

2017년의 48%라는 통계가 아주 높게 생각될지 모르겠지만, ‘영향’을 받은 조직 중 상당수는 IT 보안 전문가들 쉽게 탐지해 해결할 수 있는 단순한 랜섬웨어 페이로드가 첨부된 피싱 이메일을 받은 회사들이었다. 

반면, 표적화 된 랜섬웨어 공격은 영향을 받는 조직의 수가 훨씬 더 적지만, 공격 성공 확률은 훨씬 더 높다. 즉 감염 사례 감소가 공격자의 부당이익 감소로 연결되지 않는다.

여기에 더해, 랜섬웨어는 피해자가 여러 능동적인 단계를 밟아 사이버 몸값을 지불하도록 요구해야 하는 얼룩투성이의 공격이다. 다시 말해, 피해자가 비트코인에 대해 모르는 경우, 먼저 비트코인에 대해 파악해야 한다. 그런 다음 다른 방법을 쓸지, 아니면 그냥 사이버 몸값을 지불할지 평가해 결정해야 한다. 또 사이버 몸값을 지불하지 않고 시스템을 복구할 때 더 많은 돈이 드는 경우에도, 범죄자에게 돈을 주지 않는 방법을 선택하는 조직들도 많을 것이다.

공격자가 누군가의 컴퓨터 시스템을 침해하는 방법으로 비트코인을 얻는 것이 목적이라면, 더 쉽게 이를 달성할 수 있는 크립토재킹(cryptojacking)이라는 방법이 있다. 크립토재킹 공격자들은 스패머와 DDoS 공격자들이 수년 간 사용했던 방법을 따라한다. 소유주 모르게 은밀하게 컴퓨터에 대한 통제권을 획득하는 방법이다. 

크립토재킹의 경우, 감염된 장치가 비트코인 채굴 장치가 되어, 피해자가 지혜롭게 이를 알아차리지 못하면 은밀하게 백그라운드에서 암호화폐를 채굴하면서 유휴 컴퓨팅 사이클을 소모한다. 2018년, 랜섬웨어 공격은 감소했지만, 크립토재킹 공격은 450%가 증가했다. 보안 연구원들은 이 2가지가 서로 관련이 있는 것으로 판단하고 있다. editor@itworld.co.kr 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.