보안정보

전문화된 보안 관련 자료, 보안 트렌드를 엿볼 수 있는
차세대 통합보안관리 기업 이글루코퍼레이션 보안정보입니다.

랜섬웨어의 이해 및 대응 방안

2016.01.15

17,013

 

 

1. 랜섬웨어의 출현


1) 랜섬웨어란?


납치된 사람의 몸값을 의미하는 ‘ransom’과 소프트웨어를 의미하는 ‘ware’의 합성어로 시스템을 악성코드에 감염시킨 후 중요파일을 임의로 암호화하여 사용하지 못하게 하고 암호화 해제 프로그램 구매를 빌미로 돈을 요구하는 악질코드이다.
2005년 신종 보안 위협으로 우리나라에 알려지기 시작하였으며 당시 주로 러시아와 동유럽 국가를 활동 무대로 한정되어 있었으나 인터넷의 발달과 함께 전 세계로 퍼져 가고 있다.
특히 지난 4월 국내 커뮤니티 사이트의 배너 광고를 통해 감염된 랜섬웨어는 감염 사실과 금액지불 방법이 친절하게도 한국어 메시지로 작성되어 있어 국내 맞춤형 랜섬웨어가 등장했음을 시사하였다.

 

 

▲ 랜섬웨어 관련 기사들
▲ 감염된 파일 상태
▲ 랜섬웨어 감염 PC의 결재 요구 화면

 

 

2. 랜섬웨어 동향


1) 해커들의 성장 원동력


최근까지 국내에서 랜섬웨어로 인한 피해사례가 급증하고 있다. 지난 10월부터 현재까지 신고 접수 건수가 2배 넘게 꾸준히 늘어나고 있으며 변종된 랜섬웨어가 활개를 치고 있다
유명 백신 업체 카스퍼스키의 말을 인용하면 크립토라커를 활용한 범죄조직은 단 100일 만에 300억 원의 수익을 올렸고, ‘크립토월’을 배포하여 300억 원의 수입을 챙겼다. 이렇게 많은 자금원을 확보할 수 있는 해커들의 온상이 생겨나 그들의 다음 행보가 더욱 걱정스럽다.

 

랜섬웨어 신고 현황

 

 구분

온라인 신고 

전화 신고 

메일 신고 

월별 합계 

 2015년 3월​​

 4

 2015년 4월

 120

56 

2

175 

 2015년 5월

 46

25 

72 

 2015년 6월

77 

50 

128 

 2015년 7월

37 

21 

63 

 2015년 8월

 69

32 

104 

 2015년 9월

21

24 

45 

 2015년 10월

 406

229 

21 

656 

 2015년 11월 현재

 485

235 

725 

 합계

 1256

678 

35 

1978 

 

(출처: rancert.com)

 

2) 공격 방식의 진화


랜섬웨어라고 불리는 악성 코드에는 두 가지 방식이 있다. 지금처럼 데이터를 암호화하는 것과 사용자 화면을 잠기게 하고 돈을 요구하는 방식이 있었으나 현재는 전자의 방식만이 살아남았다.
해커들은 공격 대상은 중요데이터가 많은 기업이 돈벌이가 좋았지만, 지금은 일반사용자의 PC를 감염시키는 박리다매로 전략을 바꾸고 있으며 이후 만인이 사용하는 스마트폰으로 사업을 확장하였으며 스마트폰에 연결된 웨어러블, IoT도 공격 대상으로 빠르게 변화하고 있다. 간헐적으로 유출된 데이터를 인터넷상에 공개하겠다고 협박하는 사례도 보고되고 있어 데이터의 유출 및 개인정보 침해사고로 연결될 수 있다.

 

 

 

 

3. 랜섬웨어 등장과 사회적 변화


1) 비트코인 시세 상승


우연인 듯 우연 아닌 우연으로 랜섬웨어 유행과 함께 비트코인의 시세도 빠르게 상승하고 있다. 물론 비트코인의 상승 원인을 랜섬웨어의 영향력이라고 확정 지을 순 없지만, 거래량을 기준으로 시세가 결정되는 비트코인 특성상 전혀 무관하다고 할 수 없을 것이다.



▲ 네이버 트랜드를 이용한 랜섬웨어 검색량 

 

2) 플래시플레이어 퇴출


그동안 플래시 플레이어의 보안 취약점 문제는 끊임없이 제기되어 왔다. 계속된 패치에도 불구하고 플래시의 취약점을 이용한 랜섬웨어의 확산으로 세계적인 기업인 아마존, 페이스북에서 사용중단을 선언하였으며 어도비사도 플래시 대신 HTML5의 대치를 권고하고 있다. 이제 플래시의 종료가 멀지 않은 것 같다.

 

3) 랜섬웨어 복구 사설 대행 업체 등장


랜섬웨어는 감염파일을 AES, RSA 암호화 기법으로 파일을 암호화하기 때문에 크랙으로 복구한다는 건 현실적으로 불가능하다. 이에 전문 데이터 복구업체들도 암호화 키가 없으면 복구할 확률이 낮아 적극적인 개입을 꺼리고 있다. 파일을 복구하는 방법은 해커에게 돈을 주고 복구화 툴을 제공 받는 것이 거의 유일한 해결방법인데 비트코인 결재와 PC 사용에 미숙한 사용자들은 이 또한 두려운 일이다. 이런 영향으로 비트코인 결재 및 복구툴 작업을 대신해 주는 대행업체가 생겨나고 있다. 이용자에게는 소중한 데이터를 찾을 수 있어 다행이지만 추가 범죄행위 가담을 부추기거나 비양심 사설 복구업체의 데이터 복사로 인한 정보 유출 등 제2차 피해를 양산하는 역기능이 발생할 가능성도 배제할 수 없어 이용자의 2차 피해가 예상되는 대목이다.

 

 

4. 대응 방안

랜섬웨어 백신과 솔루션들이 다수 개발되어 악성 코드 감염에 대응하고 있지만, 암호화된 파일을 복구할 방법은 그리 많지 않다. 파이어아이, 카스퍼스키등 해외 보안업체에서 그동안 사용되었던 복구 키를 수집하고 있으며 이를 이용하여 일부 복구에 성공하는 경우도 있지만 계속해서 변형되는 코드로 인해 수집된 복구키로 파일을 원래 상태로 복구하는 것은 모래사막에 바늘이다. 그래서 대다수 보안업체들이 데이터 백업과 정기적인 패치와 같은 예방 활동을 최선의 방법으로 제시하고 있다. 랜섬웨어의 감염 경로를 추적하여 권장하고 있는 다음과 같은 예방활동을 지켜주기를 바란다. 보기에는 쉬워도 지키기는 쉽지 않다.


① 스팸성 이메일 열람 및 불건전 사이트 방문 자재
② 공식 마켓을 이용하여 앱 다운로드 설치
③ 백신 프로그램, 응용프로그램 및 OS 최신 업데이트
④ 중요파일 백업
⑤ 네트워크 드라이브 사용 금지

 

 

5. 맺음말


많은 보안업체들이 랜섬웨어를 2016년도 보안이슈 중에 하나로 선정하고 있으며 내년에는 더욱 진화된 발전된 형태의 랜섬웨어가 증가할 것으로 예상하고 있다. 현재 이렇다 할 대응방안이 없는 실정에서 큰 위협으로 다가오고 있어 보안 지식인들의 노력과 아이디어가 절실히 필요한 때이다.
우리들은 컴퓨터와 스마트폰 속에서 디지털 문명의 삶을 살고 있다. 사이버 범죄가 늘어나고 매일 터져 나오는 보안사고 속에 자유로운 영혼이 될 수 없는 현실이 도래하였다. 모든 범죄에서 국가 지켜줄 수 없듯이 보안사고 또한 백신과 보안업체들이 책임져 줄 수 없다. 개인의 자산을 지키려는 노력이 필요하며 올해 메르스의 바이러스 확산을 교훈 삼아 무사히 극복할 수 있도록 모두가 노력해야 하겠다.

 

 

* 참고 문헌

 

랜섬웨어 침해 레포트  (이노티움 랜섬웨어침해대응센터)
2015년 전 세계 강타한 랜섬웨어 월별 총정리 (보안뉴스)​