HOME > NEWS > News

 

 

 


 


[보안뉴스] 여러분은 랜섬웨어에 대한 준비가 되었습니까?

Admin 2016.08.18

여러분은 랜섬웨어에 대한 준비가 되었습니까?


지난 10여년간 가장 놀랍고 획기적인 위협 중 하나가 '랜섬웨어'라고 하는 멀웨어입니다. 초기에는 일반  소비자에 대한 위협으로만 여겨졌지만, 이제는 정부와 기업 네트워크도 피해 대상에 오를 수 있습니다.  보고서에서는 지속해서 조직에 문제를 일으키기 때문에 이를 해결하고 극복하기 위해 IT 보안 팀이  준비해야만 하는 랜섬웨어의 기술과 비즈니스 위협에 대해 알아봅니다.


정의

랜섬웨어는 '서비스'에 대한 지급을 요구하는 멀웨어를 말합니다. 일반적으로 해당 서비스는 데이터의  안전한 복구 또는 장치에 대한 사용자 접속입니다. 시각적 알림을 통해 사용자에게 데이터 또는 장치에  대한 접속이 제한되었음을 알리고, 금전 지급을 요구합니다. 지급되면 랜섬웨어가 데이터 또는  시스템에 대한 사용자 접속을 허용합니다. 피해자에게 제어와 접근 권한을 돌려주는 대신 비용을  지급하라는 랜섬웨어의 단순한 솔루션은 표적이 된 개인 또는 조직의 "가능한 한 빨리 정상적인 상태로  돌아가고자 하는" 심리를 이용한 것입니다.

또한, 랜섬웨어 멀웨어 프로그램은 크립토 바이러스(cryptovirus), 크립토 트로이 목마(cryptotrojan),  크립토 웜(cryptoworm)이라고 부르기도 합니다. 데이터 삭제 멀웨어, 그리고 확실히 크립토 멀웨어는  새로운 것이 아니지만(20년의 역사를 지님), 크립토 랜섬웨어는 최근 몇 년간 매우 파괴적으로  진화하였습니다.



랜섬웨어의 여러 유형


3가지 기본적인 랜섬웨어 유형이 있습니다.



1. 스케어웨어: 협박 전술을 사용하여 미래의 행동에 대한 위협을 기반으로 돈을 요구합니다.  사용자 파일이나 시스템 접속에는 영향이 없습니다.


2.  락커: 돈을 지급해야만 사용자의 화면 또는 시스템에 다시 접속할 수 있도록 보장합니다.


3. 크립토 랜섬웨어: 크립토 랜섬웨어는 사용자의 파일을 암호화하고 피해자에게 해독 키에 대한  비용 지급을 요구합니다. 크립토 랜섬웨어는 로컬 파일은 물론, 네트워크 공유에서 관리되는  파일에도 영향을 줄 수 있습니다. 검색할 없는 암호화된 파일로 인해 "데이터 파괴" 사고가  발생할 수 있습니다.



랜섬웨어가 증가하는 이유


랜섬웨어는 피해자가 몸값을 지급할 때에만 사이버 범죄자들의 수입원이 됩니다. 비즈니스에서  데이터의 중요성에 대한 인식이 높아지면서 더 많은 개인과 조직에서는 몸값의 지급을 요구하는  부추김을 받았습니다.



이제 랜섬웨어 제작자가 선호하는 크립토 통화인 비트코인 지급 시스템으로 인해 랜섬웨어를 통한  수익화가 현실화되었습니다. 크립토 통화를 사용하여 거래된 자금은 송금이 쉽고 추적은 어려우므로  사이버 범죄자가 법망을 피할 수 있어 선호하는 방식입니다.



사이버 범죄자는 돈이 되는 불법 행위에서 확실하게 많은 수익을 내고 있습니다. 전문가는 랜섬웨어  제작자에게 지급된 총액이 일부 랜섬웨어 변종의 경우 미화 3억 2,500만 달러에 달할 수 있다고  예측했습니다. 이러한 소득 흐름이 계속 늘어나면서 랜섬웨어 공격 빈도도 증가하게 됩니다.



랜섬웨어는 전 세계적인 현상으로, 오스트레일리아에서 스웨덴에 이르기까지 사용자에게 영향을  줍니다. 하지만 효과를 극대화하기 위해 유인이 표적이 되는 현지 언어로 조정하기도 하고, 랜섬웨어가  특정 지역의 사용자에게 영향을 주는 것을 의도적으로 피하기도 합니다. 게다가 원활한 지급  프로세스를 위해 랜섬웨어 통보 메시지가 사용자의 언어로 조정되는 것이 관찰되었습니다. 또한,  랜섬웨어 제작자의 수도 증가하고 있습니다. 서비스형 랜섬웨어(RaaS, Ransomware-as-a-Service)  이전의 랜섬웨어 도구공급으로 동기가 확실한 사이버 범죄자의 진입 장벽이 낮아졌습니다.



전달 방법


크립토 랜섬웨어는 이메일 첨부 파일(특히 Microsoft Office 문서), 감염된 프로그램과 해킹된   사이트에서의 드라이브 바이(drive-by) 감염을 통해 퍼집니다. 랜섬웨어 제작자는 최종 사용자가 악성  콘텐츠를 실행하거나 다운로드 또는 클릭하도록 유도하기 위해 소셜 엔지니어링 기법을 사용합니다.  랜섬웨어가 실행된 후에는 모든 드라이브를 열거하여 목표 파일 유형을 검색한 즉시 파일의 암호화를  시작합니다.


소셜 엔지니어링의 역할


랜섬웨어 TTP(전술, 기술과 절차)의 핵심 구성 요소는 최종 사용자가 고도의 대화형 방식으로 작업을  수행한다고 믿도록 하는 것입니다. 이 소셜 엔지니어링은 지급 요구 단계(현재 암호화된 파일의 안전한  반환 등을 약속대로 이행하기 위해 금전을 지급하거나 보상금을 제공하도록 사용자를 위협하는 단계)뿐  아니라 초기 유인(악성 이메일 또는 해킹된 사이트) 단계에서도 수행됩니다.



Locky 몸값 요구 스크린샷:


지급할 것인가, 말 것인가?


지급이 간편하고 금액이 저렴한 것은 사이버 범죄자의 편의를 위한 것입니다. 랜섬웨어 제작자는 수익  흐름을 유지하기 위해 일반적으로 몸값을 낮게 책정합니다(약간의 비트코인). 비트코인(디지털 지급  시스템)에서 코인당 가격이 서로 다르지만, 랜섬웨어 비용은 일반적으로 건당 요구하는 금액은 미화  1,000달러 미만으로 계산됩니다.



그러나 일부 조직에 대하여 표적 랜섬웨어를 사용하여 엄청난 액수를 요구하기도 합니다. 애석하지만  당연하게도 일부 기업은 그러한 요구액을 지급하고 있습니다.



랜섬웨어 요구에 굴복함으로써 데이터 파괴와 비즈니스 중단 사고를 단기적으로 막을 수는 있지만 이후  전 세계적으로 더 많은 공격이 발생하는 배경이 될 수 있습니다. 아니면 피해자가 몸값을 지급하지 않고  피해를 받아들일 수 있는데(또는 피해 복구), 이것이 에코 시스템 관점에서 더 낫습니다. 그것보다는,  피해자가 데이터와 시스템을 보호하고 이에 따라 부작용 없이 몸값 지급을 피할 수 있다면 랜섬웨어  공격은 빠르게 사라지게 될 것입니다.



지급 결정은 아래에서 설명한 것처럼 균형 잡힌 관점에서 고려해야 합니다.

연방 수사국(FBI)은 기본적으로 랜섬웨어 피해자가 몸값을  지급하지 말아야 한다고 제안했습니다. 이 지침은 후에 수정되었는데, 몸값 지급을 선택 사항으로  제안하고 있습니다. 지급 여부는 항상 선택 사항이라는 것에는 동의하지만, 암호화된 파일이  성공적으로 반환된다는 보장도, 랜섬웨어 제작자가 파일을 돌려준다는 보장도 없습니다. 해독 키가  호스팅 되는 명령 및 제어(C&C) 서버의 가용성, 해독 루틴에서의 실수 여부, 사이버 범죄자의 정직성  등과 같은 모든 요인이 잠긴 파일의 성공적인 복구에 영향을 줍니다.



다음과 같은 조치를 하는 것이 바람직합니다.


1. 조직 전체에 확실히 믿을 수 있다고 증명된(가능한 오프라인으로) 데이터 백업 프로세스를  구현합니다. 이렇게 하면 몸값 지급 없이도 파일을 복구할 있습니다.



2. 이메일 메시지에서 예기치 않은 첨부 파일이나 낯선 첨부 파일을 열지 않도록, 또 알 수 없는  하이퍼링크를 클릭하지 않도록 사용자를 교육합니다. 최종 사용자에게 랜섬웨어 사고 보고  프로세스를 제공합니다.



3. 인프라 또는 프로세스에 랜섬웨어 전술에 이용될 수 있는 취약점이 있는지 파악하고 해당  취약점을 강화할 방안을 모색합니다.



4. 데이터를 복구하기 위한 몸값 지급이 향후 유사한 사고를 막기 위한 보다 효율적인 보안  대책(예: 사용자 교육, URL과 파일 샌드박싱)에 투자하는 것보다 나을지 숙고합니다.