2024-04-24 12:50 (수)
[전문가 기고] 다시 점화된 랜섬웨어 위협, 통합적 대응 전략 필요할 때
상태바
[전문가 기고] 다시 점화된 랜섬웨어 위협, 통합적 대응 전략 필요할 때
  • 길민권 기자
  • 승인 2020.12.07 19:17
이 기사를 공유합니다
악성코드 실행 요소 무해화로 문서 기반 랜섬웨어 실행 가능성 사전 차단해야
지란지교시큐리티 천명재 이사(CTO)
지란지교시큐리티 천명재 이사(CTO)

최근 랜섬웨어가 전 세계적으로 활개를 치고 있다. 글로벌 보안기업 체크포인트는 전 세계적으로 2020년 3분기 하루 평균 랜섬웨어 공격이 지난 상반기 대비 50% 증가했다고 발표했다. 실제로 지난 9월 미국에서는 400여 개 의료시설 네트워크를 통해 350만 명 환자에게 의료 서비스를 제공하는 의료 서비스 기업 UHS가 랜섬웨어 침해를 받았다. 국내의 상황도 다르지 않다.

지난 5월에는 국내 웹호스팅 업체가 랜섬웨어 공격을 받아 웹호스팅 서버 일부가 감염되는 침해사고가 발생했으며, 최근에는 대형 유통사의 본사 서버를 타깃으로 한 해커집단의 랜섬웨어 공격이 이뤄져 오프라인 매장이 휴점하거나 부분 영업으로 피해를 입었다. 랜섬웨어는 끊임없이 진화를 거듭하며 새로운 형태로 우리 사회 곳곳에 침투하고 있다.

이렇게 랜섬웨어 공격이 급증하고 있는 이유는 무엇일까? 대표적인 이유로 암호화폐 가격 상승과 긴밀한 연관이 있다. 최근의 폭발적인 랜섬웨어 위협과 피해 증가세가 암호화폐인 비트코인 급증에 기인한 바가 크다는 것이다. 비트코인은 기존 화폐와 달리 관리주체가 없이 개인들 사이의 자유로운 거래가 가능한 전자화폐와 디지털 지불 시스템을 의미한다.

이러한 비트코인은 실제 거래 기록 추적이 어려워 해커들이 결제 수단으로 선호하고 있으며, 랜섬웨어는 암호화된 자료를 복원시켜주는 대가로 비트코인을 요구하고 있다. 실제 미국 연방수사국(FBI)에 따르면, 지난 6년간 1700억 원 상당의 비트코인이 랜섬웨어 복구 비용으로 해커에게 지급된 것으로 나타났다. 비트코인 가격 급등이 사이버 범죄자의 배를 불리고 있는 것이다.

이에 더해 신종 코로나 바이러스(코로나19) 감염증 확산 사태를 악용하여 공격자들의 공격 성공률은 더욱 높아졌다. 세계적인 혼란을 틈타 대다수의 랜섬웨어들은 코로나 키워드를 악용한 변종 형태로 지속적인 공격을 시도했다. 비대면 업무 확산 등 IT 환경이 바뀌는 가운데 그에 따른 보안 대비가 미흡한 점을 악용한 사례 또한 늘고 있다.

한국인터넷진흥원(KISA)에 신고된 랜섬웨어 현황을 보면 지난 2018년 22건에서 2019년 39건을 기록했으며 올해 팬데믹 이후 73건으로 대폭 늘었다. 세계적인 위기를 틈타 공격자들은 전보다 쉽게 데이터 암호화 및 유출을 신속히 진행할 수 있게 됐으며, 앞서 언급한 비트코인 가격의 급증세로 수익은 더욱 커진 셈이다.

랜섬웨어는 주로 메일, 웹, 네트워크 등 기업 내부와 연결되는 다양한 채널로 유입된다. 주로 악성 이메일 및 첨부파일, 사용자 권한 장애 유발, 취약점 악용 등을 통해 이루어지며 시스템 침투 후 모든 파일을 암호화하거나 삭제하고 사용자에게 금전을 요구한다. 특히, 최근에는 이메일을 통해 문서로 위장한 악성 문서파일을 활용한 공격들이 주를 이룬다.

업계에 따르면 2020년 3분기에는 다양한 사회적 이슈를 활용해 랜섬웨어 이메일 첨부파일을 열어보도록 유도하는 WannaCryptor, Makop, Stop 랜섬웨어가 꾸준히 상위권을 유지하고 있다. 기관/기업을 타깃으로 한컴오피스의 HWP 취약점과 사회공학적인 이메일을 이용한 형태로 공격이 이뤄지고 있는 것이다. 문서형 악성코드는 주로 어플리케이션의 제로데이 취약점을 이용하기 때문에 기존 보안 시스템으로는 사전에 탐지하기 어렵다. 이처럼 악성코드는 문서 형식으로 은닉과 위장, 우회 등을 통해 외형적으로 잘 구분하지 못하도록 점차 지능화되고 있다.

그렇다면 기업은 어떻게 랜섬웨어에 대응할 수 있을까? 랜섬웨어에 대한 대응책이 절실한 상황에서 기업이 최우선으로 할 수 있는 방법은 바로 선제적 예방이다. 이미 실행된 랜섬웨어에 대한 100% 복구 방법은 아쉽게도 없다. 때문에 랜섬웨어 실행 가능성을 사전에 차단하고, 빠른 사후 대응을 위한 보안체계를 마련해야만 한다. 문서로 위장한 표적형 악성코드 실행 요소(Macro, JavaScript, OLE 등)를 원천 제거(무해화)하는 기술로 문서 기반의 랜섬웨어 실행 가능성을 사전에 차단할 수 있다.

또 기업의 중요 문서는 안전한 곳에서 중앙 관리해 보호해야 한다. 랜섬웨어 감염 시에는 데이터를 복구하기 어렵기 때문에 언제 일어날지 모르는 상황에 대비해 기업의 중요 문서는 별도 격리/암호화하고 중앙 저장 및 관리하는 것이 현재 기업이 해야 할 필수 요소다.

마지막으로 사용자와 관리자의 지속적인 보안 의식 개선이 선행되어야 한다. 정상 문서로 위장해 침투한 공격은 사용자가 쉽게 열람할 수밖에 없다. 때문에 실제와 유사한 최신 피싱 메일 템플릿을 통해 지속적인 보안 교육 및 훈련을 지속하여 사용자의 보안 인식을 강화하고 보안 수칙 준수가 습관화되어야 할 것이다. [글. 지란지교시큐리티 천명재 이사(CTO)]

★정보보안 대표 미디어 데일리시큐!★

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
Tag
#랜섬웨어 #지란지교시큐리티 #무해화
저작권자 © 데일리시큐 무단전재 및 재배포 금지
길민권 기자
길민권 기자 다른기사 보기
  • 서울특별시 송파구 송파대로 201 테라타워2, B동 9층 913-2호
  • 대표전화 : 02-400-2908
  • 팩스 : 02-400-2906
  • 청소년보호책임자 : 길민권
  • 법인명 :
  • 제호 : 데일리시큐
  • 등록번호 : 서울 아 02362
  • 등록일 : 2012년 11월 26일
  • 발행일 : 2013년 11월 26일
  • 발행·편집인 : 길민권
  • 사업자 번호 : 301-87-02348
  • 데일리시큐 모든 콘텐츠(영상,기사, 사진)는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 데일리시큐. All rights reserved. mail to mkgil@dailysecu.com
ND소프트