check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

가공할 위협으로 진화하는 랜섬웨어의 미래는…

“랜섬웨어, 한 국가의 전체 인프라 마비시킬 만큼 강력한 멀웨어로 진화중”

길민권 기자 mkgil@dailysecu.com 2017년 08월 03일 목요일

r-3.jpg
랜섬웨어는 비즈니스에 가장 강력한 위협 중 하나다. 디지털화된 데이터, 중요한 응용프로그램 및 기타 시스템 등이 많이 사용되고 중요한 자산이 됨으로써 이러한 자산에 대한 접근이 막힌다면 기업에 큰 재앙이 될 것이다.

직원 교육 및 감염 예방 능력 향상을 위한 노력에도 불구하고, 랜섬웨어 공격은 여전히 지속되고 있다. 이러한 시점에서 기업은 현재의 위협에 따라 즉각적으로 대응함과 동시에 앞으로 일어나 미래에 어떻게 기업을 보호할 것인가도 고려해야 한다.

트렌드마이크로의 연구 보고서인 <랜섬웨어–과거, 현재 그리고 미래>에 따르면 랜섬웨어는 2000년대 중반 그 샘플이 처음 출현하면서 사이버 범죄 집단이 피해자를 강탈하기 위해 가장 많이 쓰는 도구로 급부상한다. 이러한 초기 랜섬웨어군 중 많은 수가 오늘날 발견되는 새로운 랜섬웨어 샘플과 유사하게 작동한다. 우선 피해자 시스템에 침투한 후 중요한 파일과 데이터를 암호화 시켜 해독키를 보유한 해커를 제외한 어떤 사람도 암호화된 파일과 데이터에 접근을 할 수 없게 만든다. 공격자는 추적이 불가능한 비트코인을 이용하여 해독키 구매를 위한 암호화 파일 몸값을 요구한다.

이러한 공격의 결과는 다양하다. 일부 기업은 몸값을 지불하고 올바른 해독키를 받아 피해 시스템을 복구할 수 있었지만, 운이 좋지 않은 다른 피해자들은 몸값을 지불했음에도 불구하고 암호화된 데이터를 원상 복구 시킬 수 없었다.

초기 랜섬웨어는 2005년과 2006년 사이 러시아를 중심으로 퍼졌다. 그 후 2012년까지 다른 유럽 국가에서도 피해자들이 나타나기 시작했다. 그때도 마찬가지로 공격자들은 paysafecard 및 MoneyPak 등과 같은 지불 방법을 통해 몸값을 요구하며 추적이 힘들도록 주의를 기울이며 활동했다.

트렌드마이크로에 따르면 일부 초기 랜섬웨어 공격은 그럴듯한 가짜 경고문을 이용해 사용자를 속이고 돈을 지불하도록 유도했다. 또한 다른 샘플에서는 화면을 잠그고 가짜 경고 화면이 화면에서 내려갈 수 없도록 만들었다.

랜섬웨어는 다른 사이버 범죄에 비해 유례없는 상승을 보였다.

2013년에는 악명 높은 CryptoLocker를 비롯한 ‘크립토 랜섬웨어’ 샘플이 나왔다. 이런 타입의 감염은 암호화 시킨 데이터로의 접근을 차단할 뿐만 아니라 피해자가 몸값을 지불하지 않는 겨우 특정 기간이 지나면 암호화된 파일을 삭제할 수 있는 능력이 있어 점점 더 사용자에게 큰 위협이 되었다.

이러한 랜섬웨어의 감염은 2016년도에 그 정점을 찍었다. 2015년 29개의 랜섬웨어군이 발견된 것과 비교해 2016년에는 247개 제품군으로 확대되며 752%라는 엄청난 증가율을 보여줌으로써 2016년은 “랜섬웨어의 해”라는 별명까지 얻게 되었다. 해마다 공격자들은 해커들과 함께 랜섬웨어 감염으로 약 10억 달러에 달하는 이익을 챙겼다. 그중 많은 부분이 데이터 백업이 되어 있지 않은 대기업을 대상으로 공격해 몸값 거래를 성공적으로 이룬 결과였다.

이와 같은 랜섬웨어 공격의 수는 2017년 초반 몇 달 만에 250% 증가했으며 대부분의 감염은 미국을 중심으로 이루어졌다.

이러한 증가의 대부분은 4월 일어났던 WannaCry(이하 워너크라이)와 같은 새로운 랜섬웨어와 현재까지도 유럽의 기업, 정부 기관 및 유틸리티 제공 업체를 대상으로 공격하고 있는 Petya(이하 페트야) 등이 차지하고 있다. 또한 The Verge에 따르면 2017년 6월 말 페트야의 변종으로 여겨졌던 새로운 랜섬웨어가 워너크라이 감염에 사용된 것과 동일한 EternalBlue 익스플로잇을 이용하는 사용자에게 영향을 미치고 있다고 보고되었다. 이 새로운 변종은 현재 ‘NotPetya’라고 불리고 있다.

◇이제, 랜섬웨어는 어디로 갈 것인가

새롭게 떠오르는 랜섬웨어 샘플 외에도 전문가들은 랜섬웨어의 미래에 대해 몇 가지 중요한 예측을 내렸다.

트렌드마이크로는 IoT 시스템에 대한 랜섬웨어 공격 증가를 포함해 가까운 미래에 랜섬웨어의 전략에 진화가 있을 것이라고 예측했다.

또한 IDC의 Worldwide Healthcare Predictions Report는 2018년까지 의료 업계에서 나타날 수 있는 랜섬웨어 공격의 수는 2배로 늘어날 것으로 보고 있다. 이는 악성 해커가 환자 자료 및 기타 중요한 데이터에 접근할 수 있는 의료 서비스 제공 업체 및 업계 공격에 더 집중하기 시작했기 때문이다. 더욱이 해커들 사이에서 의료 업계는 뜨거운 관심의 대상이 되고 있다.

Converge의 Shelly Kramer는 “사이버 공격 커뮤니티들 사이에서 ‘골드러쉬정신’을 창조하며 랜섬웨어의 위협 테크닉이 증가하고 있다”고 말했다.

Imperva의 Elad Erez는 피해자의 가장 중요한 데이터베이스를 정확히 집어내는 랜섬웨어 공격의 급격한 증가를 예측했다. 또한 이러한 공격은 파일 및 데이터베이스 테이블 삭제하거나 데이터베이스 레코드를 변경하는 등 다른 형태의 데이터 손상을 암호화 외에도 활용할 수 있다.

랜섬웨어가 계속해서 발전함에 따라 그에 따른 법률을 제정하기 위한 노력이 빠르게 진행되어 가고 있다. 법 집행 기관은 Cyber Threat Alliance 및 No More Ransomware와 같은 다른 기관 들과 협력해 랜섬웨어군의 출처를 정확히 찾아내고 이후 공격을 방지하기 위해 노력하고 있다.

하지만 랜섬웨어 공격은 사라지지 않는다.

트렌드마이크로는 잠재적 측면으로 봤을 때 랜섬웨어 샘플들은 몸값이 지불될 때까지 기업 운영뿐만이 아닌 전체 도시 심지어 한 나라의 전체 인프라를 마비시킬 만큼 강력한 멀웨어로 진화할 수 있다고 보고 있다.

랜섬웨어 공격이 계속해서 심각해지고 복잡해지는 이때, 중요한 데이터 자산을 보다 잘 보호하기 위해 기업이 활용해야 하는 몇 가지 중요한 전략이 있다.(트렌드마이크로의 랜섬웨어 보호 전략 내용)

-직원에게 랜섬웨어의 위험, 감염을 전달할 수 있는 방법 및 의심스러운 활동이 발견될 때의 대처방안 등을 교육한다.

-모든 보안 패치를 가능한 신속하게 마련해 전체 취약점의 수를 최소화한다.

-중요한 데이터에 대한 접근을 제한한다.

-강도 높은 백업 일정을 통해 중요한 데이터의 복사본 3개를 적어도 2개의 다른 형식으로 만들고 그 중 1개는 사내 네트워크가 아닌 외부에 보관하도록 한다.

트렌드마이크로는 “Cross-generational 기술 접근 방식을 활용해 평판 기반 분석과 화이트리스트, 어플리케이션 컨트롤, 행동 분석, 네트워크 감시, 취약점 방어, 하이파이 머신러닝 등과 같은 안티 랜섬웨어 기능을 이용하는 것이 컴퓨터 리소스에 최소한의 영향을 미치면서 기업을 보다 더 효과적으로 보호하는 방법”이라고 설명한다. [글. 트렌드마이크로 블로그]

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록