필자는 3개의 발표 세션과 2개의 패널 토론 세션을 4시간 정도 모두 참관했다. 최근 랜섬웨어 공격자들의 동기, 공격자들의 에코시스템, 랜섬웨어가 비즈니스에 미치는 영향 등 발표내용을 간략히 요약해 보겠다.
2013년 9월, 최초의 글로벌 랜섬웨어 캠페인을 이용해 유포된 크립토락커(CryptoLocker) 이후, 2017년 상반기 워너크라이(WannaCry)와 낫패트야(Not-Petya)까지 수많은 모방 변종을 포함해, 가히 랜섬웨어의 전성시대가 아닐 수 없다.
왜 랜섬웨어 공격이 급격하게 증가하고 있을까. 결론은 공격자들이 쉽게 돈을 벌 수 있는 수단으로 랜섬웨어를 이용하기 때문이다.
기존 전통적인 멀웨어는 침투 과정이 복잡했고 공격 성공 대가를 수익화 시키더라도 큰 돈이 되지 않았다. 반면 랜섬웨어는 돈 버는 프로세스가 단순하고 글로벌 유포 캠페인을 통해서 일반 컨슈머부터 기업까지 공격 대상을 쉽게 설정할 수 있으며 수익화 구조가 잘 형성되어 있는 부분이 현재 상황을 악화시키고 있다.
랜섬웨어 유포 캠페인은 피해 대상의 규모가 크거나 작거나 신경 쓰지 않으며, 아무나 걸려도 상관없다는 무작위 타겟팅 인식에서 출발하고 있다. 실제 범죄로 비유하면, 연령/성별/직업에 상관없이 무작위로 범죄 대상을 고르는 것과 같은 비인도적인 방법이라는 것이다.
더불어 비트코인을 랜섬웨어 피해복구에 대한 지불 수단으로 지정해 각 나라별 통화에 상관없이 수익화 시키고 돈세탁이 쉬우며 수사기관의 추적을 어렵게 만들고 있다. 더불어 불법으로 가상화폐 시장을 키우려는 의도가 있는 것으로도 해석하고 있다.
이미 많은 보안 리서치에서 발표하고 있지만, MaaS(Malware-as-a-Service), CaaS(Crimeware-as-a-Service), RaaS (Ransomware-as-a-Service) 등의 서비스 모델은 랜섬웨어 공격이 더욱 활성화되는데 기폭제 역할을 하고 있으며 공격자 입장에서는 저비용 고수익의 악성 비지니스 모델로 자리 매김하고 있다.
우리가 유념해야 할 부분은 보안 측면에서 방어 및 협업을 위해 사용하는 주요 위협 인테리전스(Threat Intelligence)의 IoC(Indicators of Compromise)를 공격자들도 함께 활용하고 있으며, 초보 공격자들도 공격 툴과 악성코드 및 랜섬웨어 자체를 더욱 쉽게 획득하고 있다는 사실이다. 심지어 기존 보안 솔루션에 가장 작게 노출된 ‘Known 랜섬웨어’가 어떤 것인지도 쉽게 찾아낼 수 있다. 즉 Threat Intelligence는 방어자 뿐만 아니라 공격자도 함께 활용하고 있고 쉽게 공격자로 변모할 수 있는 환경이 갖추어져 있다는 것을 염두에 두어야만 한다.
기존에 이메일, 드라이브-바이-다운로드, USB, 맬버타이징, 클릭 등의 사용자 개입에 의해서 한번에 한 대씩만 감염되던 랜섬웨어가 최근 발생한 WannaCry, Not-Petya 사태 이후에 취약점을 이용한 웜의 특성으로 스스로 전파되는 파괴력이 증명되었다. 더불어 공격 대상의 경계가 사라지고 있으며, ‘개인, 기업, 데스크탑, 모바일, 서버’에 대한 전방위적인 랜섬웨어 공격이 이루어지고 있다.
한 발표자는 현재 우리의 실생활에 확산되고 있는 수많은 IoT 시스템이 일반 멀웨어 뿐만 아니라, 랜섬웨어 유포를 위한 중계시스템으로 자리 매김할 수 있다고 경고했다.
△패치하라
-패치의 범위는 어디까지 적용할 것인가? (OS, Application, Freeware ?)
△백업하라
-백업할 데이터 범위, 백업 시스템 대상, 백업 시기, 백업할 위치는(Local, Offline, Cloud), 복구 포인트와 시점은 ?
△AV 시그니쳐 업데이트하라
-업데이트 시기, Full-Scan 범위는?
△PWD 변경하라
-랜섬웨어 공격에 대비하는 것과 큰 상관 관계가 있나?
최근 발견된 특정 랜섬웨어의 경우, 시스템에서 클라우드 백업 경로를 우선 차단하는 기능을 탑재하고 있으며 향후에는 클라우드에 백업된 데이터가 직접적인 랜섬웨어 공격 대상이 될 것이라는 예측도 나왔다. 사용자 Q&A 시간에는 주요 데이터와 함께 랜섬웨어 자체가 함께 클라우드로 백업된 후 공격당할 수도 있다는 의견이 나오기도 했다.
더불어 백업의 목적은 ‘데이터 복구’의 수단이지, ‘랜섬웨어 방어의 수단이 아니다’라는 부분을 강조했으며, 최후의 데이터 복구 시나리오를 준비하는 프로세스라는 점을 강조했다. 그렇다고 데이터 백업을 등한시하는 것은 절대 아니다.
마지막 패널 토의 시간에는 랜섬웨어 방어를 위한 아래와 같은 의견들이 제시되었다.
1. 지속적인 Prevention의 혁신 기술 필요(다양한 차단 기술 적용 필요)
상당히 어려운 부분이지만, Prevention의 신기술로 떠오르고 있는 ‘인공지능, 머신러닝, 딥러닝’ 등의 기술을 검토하고, 함께 적용해야 할 부분을 논의할 수 있다. 물론 이 신기술들이 만능은 아니지만 최근 Unknown 멀웨어/랜섬웨어 탐지 및 차단에 대한 새로운 접근법을 제시하는 것은 사실이다.
2. Detection / Response의 후방 지원
실제로 침투당했다는 가정하에 신속한 분석과 탐지 기술을 적용해야 한다는 것을 의미한다. 즉 공격자의 체류시간(Dwell-Time) 최소화가 목적이다. 이를 위해서는 적합한 솔루션 검토 뿐만 아니라 보안 담당자 및 데이터 분석 전문가의 필요성이 절대적으로 우선되어야 함을 제시한다.
3. Endless Training(끊임없는 교육)
기업의 보안팀, 관리팀 뿐만 아니라 제일 마지막 엔드유저(사용자) 레벨까지 최신 공격 유형과 최신 침해 사례 등에 대한 교육이 진행될 필요가 있다고 강조했다.
한국에서도 마찬가지이지만, 마지막으로 강조된 부분은 ‘랜섬웨어 공격을 받은 이후에는 절대 숨기지 말고 주요 기관과 협력할 것’을 강력히 권고했다. 그리고 단 한대의 PC라도 랜섬웨어 공격을 받은 경우에는 절대 무시해서는 안된다는 것을 상기시켜 주었다.
필자가 보기엔, RSA APJ 2017에서 진행된 랜섬웨어 세미나는 무언가 해결 방안을 명확히 제시하는 것을 목표로 진행된 것이 아니라 하나의 주제를 좀 더 심도 있게 들여다 보자는 취지로 진행된 것 같다. 하지만 다양한 기업, 기관, 국가에서 발생한 개별적인 랜섬웨어 이슈가 그 어느때 보다도 공동의 주제로 적합했다는 참석자들의 의견을 들을 수 있는 소중한 자리였다. 향후에도 최신의 공동 주제를 포함한 소규모 세미나(4시간 정도)가 RSA 컨퍼런스에서 계속 진행되기를 희망한다.[글. 권영목 파고네트웍스 대표]
★정보보안 대표 미디어 데일리시큐!★
