보고서에 따르면, 2016년 랜섬웨어 침해 피해자가 2015년 2,678건에서 3,255건으로 신고 건수로는 1.2배 증가했지만 실제로는 2.4배정도 증가한 것으로 분석된다. 2015년 8가지 종류의 랜섬웨어 공격이 2016년에는 16가지 종류로 2배가 증가했다. 2016년 3월에 위장이메일 방식으로 새롭게 등장하여 수천개의 기업과 공공기관을 공격한 록키와 6월초 현충일을 기점으로 대형 IT커뮤니티인 뽐뿌를 숙주로 뽐뿌 접속자를 대상으로 공격한 울트라크립트가 상반기 가장 큰 피해를 입혔고, 하반기에는 록키 변종과 신종 케르베르(CERBER) 공격이 확대되어 전체 피해의 80%를 차지했다.
2016년 5월초까지 피해의 43%로 큰 비중을 차지했던 테슬라크립트 복호화 마스터키가 해커에 의해 공개되어 6월 이후 거의 피해가 사라진 상태다.
한편 IT전문 글로벌 미디어인 'IT World'에 따르면, 2016년도 랜섬웨어에 의한 데이터 암호화에 따른 피해액은 한해 동안 비트코인 총지급액이 10억 달러(약 1조1000억) 정도라고 추정하고 있다.
◇2016년 국내 랜섬웨어 피해 규모
한국랜섬웨어침해대응센터에 신고된 피해 건수와 랜섬웨어 방어 보안회사의 신고접수 건수, 관련 정부기관 신고 건수 및 복구대행업체에 의뢰한 복구 건수 정보를 기준으로 분석해 볼 때, 2015년도에는 약 53,000명이 감염되어 1,090억원의 피해를 입혔고, 30억원 정도 해커에게 비트코인 금전이 지급된 것으로 추정되었다.
2016년에는 13만명 감염, 3,000억원 정도 피해가 발생했고, 13만명 피해자 중 최소 10%인 13,000명이 100억원 이상의 비트코인을 지급한 것으로 추정되고 있다. 2016년 해커에게 지급된 비트코인은 작년 국내 비트코인 거래규모인 6천5백억원의 약 1.5%에 해당하는 금액이다.
◇감염경로와 해커의 기술적 능력
감염경로는 미국 및 유럽이 위장 이메일을 통해 70%이상 감염되지만, 국내는 인터넷을 통해 감염되는 비율이 70%고 이메일을 통해 침해되는 비율이 25% 정도이다. 이는 미국과 유럽은 업무시간에 인터넷 서핑을 엄격하게 제한하는 반면 국내는 대체로 자유롭게 허용되는 근무환경이 영향을 미친 것으로 분석된다.
대표적인 위장 이메일을 통한 침해 방식인 록키(Locky)와 후속 변종은 자바스크립트(JS)방식을 도입하여 해외사업을 하는 거의 모든 기업에 뿌려 큰 피해를 입혔다. 특이할 사항은 C&C서버 운영 능력이 다른 해커그룹보다 크게 발전되었고, 네트워크에 의한 감염능력이 매우 강했다. 암호화 후 비트코인 거래시 복호화키 수신 신뢰도가 거의 100%에 육박하였고, 러시아IP는 감염시키지 않았다.그 외 랜섬웨어 유포자와 실시간 메신저가 가능한 하반기 최고 위협인 케르베르를 비롯한 랜섬웨어는 주로 인터넷을 통해 감염시켰다.
◇국내 랜섬웨어 공격 진원지와 주공격 대상
랜섬웨어 해커는 개발그룹과 유포그룹으로 그룹핑되고 개발자의 노출을 최소화하는 구조이며수익은 개발그룹 40%, 유포그룹 60%로 분배된다. 국내를 대상으로 공격하는 랜섬웨어는 주로 러시아와 그 주변국에서 개발되었고 유포는 주로 중국발이며 한국과 중국 사용자를 대상으로 유포되고 있는 것으로 추정된다. 그 이유로는 공격대상 PC의 IP가 러시아일 경우 감염에서 제외하고 있고 한글을 잘 이해하는 해커가 가담된 것으로 분석되기 때문이다.
지난 3년간 랜섬웨어의 공격대상은 백업이 미비하고 보안이 취약한 PC데이터를 주로 노렸고 4GB보다 큰 사이즈 파일을 감염시키지 못했으나, 2016년부터는 4GB이상 파일도 암호화 시키고 서버의 DB를 감염시키기 시작했다. 특히 신고 건수가 많지 않았지만 XTBL과 Glove3와 같은 랜섬웨어는 주로 병원의 EMR DB와 같은 민감한 데이터를 감염시켜 1,000만원 이상의 복구비용과 업무진행의 애로를 겪었다.
DB를 공격한 대표적인 사례로, 작년 7월 월 1억원 정도 거래하는 꽃거래 플랫폼의 DB가 XTBL에 의해 감염되어 2번에 걸쳐 해커와의 거래를 시도한 끝에 24일 만에 재가동되었으나 매출이 30%가 감소되는 등의 경영상의 큰 위험에 처하게 되었다. 이 사이트는 외장형 하드디스크에 매일 백업을 받았으나 동시에 암호화되어 무용지물이 되었다.
◇국내 랜섬웨어 피해자의 공통점
신고자는 다양하다. 병원의 임상실험 데이터, 8년동안 찍어둔 아기 사진, 과목별로 정리한 파일이 암호화된 수험생, 인쇄 직전의 광고회사, 생산설계도가 감염된 기계 제조회사, 클라우드와 문서중앙화 시스템을 도입한 중견회사, 인사자금 기밀파일이 암호화된 대기업과 외국계 회사, 업무 관련 파일이 암호화된 대형 공공기관, 산하기관과 지자체 등 개인으로부터 대중소 회사, 정부기관, 지자체 등 대한민국 전체가 망라되어 있다.
피해자들은 대부분 최소 백신을 사용하고 있었고, 50% 이상의 기업과 기관이 방화벽 등 보안솔루션을 도입하고 있었다. 이 피해자들의 공통점은 PC데이터에 대한 보호 및 관리정책이 없어서 백업을 전혀 하지 않았거나 외장하드와 같은 곳에 부실하게 백업하여 피해를 당했다.
한편으로는 감염 사실이 알려지면 조직 내의 감사 혹은 대외적인 보안의 신뢰 문제가 발생되기 때문에 이를 보고하지 않고 개인적으로 처리하고 있어 조직적이고 체계적인 침해 대응을 어렵게 만들고 있다.
◇복구과정에서 과다한 복구비용과 데이터 유출 2차 피해발생
랜섬웨어 감염자에 대한 피해는 총 3단계로 구분된다.
-1단계(1차 피해): 감염 후 데이터 사용 중지=> 업무 중지 또는 비정상적 업무 진행=> 회사/기관의 유무형적 손실 발생
-2단계(2차 피해): 복구 과정에서 금전적 피해 발생과 중요/기밀 데이터 유출 가능성 상존
-3단계(3차 피해): 비트코인 송금 후 복호화 키 미접수 혹은 오류 키 접수로 복구 불가능
1 비트코인이 약 120만원까지 상승해 복호화 비용이 증가했고, 랜섬웨어 악성코드를 이용한 범죄가 발생하고 있으며, 무엇보다도 복구하는 과정에서 개인정보 및 회사와 기관의 중요정보가 유출될 가능성이 매우 높아 세심한 주의가 요구된다.
◇글로벌 공격 랜섬웨어와 국내 공격 랜섬웨어의 차이
2016년 6월 시만텍이 발표한 글로벌 랜섬웨어 피해지도를 보면 전체 30개국 중 미국이 30%로 1위, 일본과 이탈리아가 8%로 공동 2위인 반면 한국은 랜섬웨어의 공격 빈도수가 많음에도 불구하고 28위를 차지했다. 그 원인을 분석하기 위해 두 그룹을 비교했다. 2016년 상반기 글로벌 공격 랜섬웨어는 14 종류였고 한국을 공격한 랜섬웨어는 13종류였다. 이 두 그룹의 랜섬웨어를 비교분석해 본 결과 Locky, 73V3n 단 두 종류만 일치했다. 이는 중국의 유포자가 한국과 중국을 특정하여 공격하는 국내‘표적형 공격’으로 분석된다.
◇2017년 랜섬웨어 공격 전망
두 가지 의견이 존재한다. 한 그룹은 랜섬웨어 위협에 대한 사용자 인식의 확대와 안티 랜섬웨어 기술의 발전, 전반적인 정보 공유 증대와 국가간 사법 당국 간의 공조 등으로 랜섬웨어 위협이 한풀 꺾일 것으로 전망된다. 반면 다른 그룹은 해커들이 기술수준을 높인 랜섬웨어 위협은 올해도 계속되며, MS 오피스와 PDF로 만든 파일에 매크로를 숨겨 보안 소프트웨어를 피해가는 방법과 사회공학적인 기법이 적용된 지능화된 랜섬웨어가 기승을 부릴 것으로 전망하고 있다.
기존 해킹의 주대상이었던 개인정보(주민등록번호, 휴대폰번호, 의료기록, 신용카드번호, 이메일 주소)를 거래하는 시장은 붕괴되었기 때문에 이를 판매해서 금전적 보상을 받기까지 장시간이 걸리고 가격도 낮아진 반면 랜섬웨어 해킹은 특별한 기술없이 시작할 수 있고 유포 후 3일 이내에 비트코인이 들어오고 지속적인 수입을 보장한다. 따라서 해커들은 랜섬웨어를 포기할 이유가 없고 더욱 교묘하고 지능적이며 사회공학적인 기법을 접목하여 발전할 것이다.
예를 들어 작년에 인터파크에서 빼간 해외여행 결제정보를 이용해 결제 당사자들에게 'Flight Schedule'이라는 첨부파일의 위장 이메일을 송부한다면 20~30%는 감염될 것으로 추정된다. 이는 APT공격을 통한 정보수집과 랜섬웨어 공격이 결합되면 그 피해와 파장이 매우 크다는 사실을 의미한다.
지난 2년간 랜섬웨어 위협에 대한 경험과 인식의 확산으로 데이터를 백업하는 사용자가 증가하고 랜섬웨어를 차단하는 보안기술이 발전했기 때문에 올해 랜섬웨어 해커들은 기존 랜덤방식의 지능형 공격을 강화하면서 동시에 병원 DB, 클라우드 스토리지, 중앙화 시스템을 공격하는 표적형 공격으로 진화할 것으로 전망된다.
또한 많은 인원이 동원된 콜센터 운영을 기반으로 강력한 오프라인 파일 암호화 실행과 100불정도의 낮은 금전요구, 차후 감염되지 않는 비용을 선불로 받는 새로운 랜섬 지불 모델의 도입 등을 특징으로 하는 스포라(Spora)와 같은 신종 랜섬웨어 그룹이 다수 출현할 것으로 내다보고 있다.
◇치명적인 랜섬웨어 방어는 예방이 최선
센터 측은 “새로운 공격유형에 대한 방어는 새로운 기술과 정책 대응이 필요하다. 지능형 침투 차단기술 개발과 데이터 백업기술의 멀티레이어 대응방법이 필요하다. 특히 데이터백업에 대한 기술적 표준과 정책이 부재해 랜섬웨어 대응에 혼란을 겪고 있는 실정이다. 따라서 현재 가장 시급한 것은 보안적 관점에서 데이터백업 기술의 표준을 마련하고 백업을 의무화 시키는 정책수립과 조치”라고 강조했다.
★정보보안 대표 미디어 데일리시큐!★
