[보안 101] 더보기 ▶

매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.
복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념부터 최신 이슈까지 차근차근 풀어갑니다.

보안이 알고 싶을 땐, 보안 101으로 시작해 보세요.
물음표를 느낌표로 바꾸는 여정을 이글루코퍼레이션이 함께합니다.

01. 랜섬웨어 정의

랜섬웨어(Ransomware)는 '몸값(Ransom)'과 '소프트웨어(Software)'를 결합한 용어로, 사용자의 컴퓨터 시스템에 침투하여 데이터를 암호화하거나 시스템 접근을 제한한 후 금전을 요구하는 악성 프로그램을 의미합니다. 공격자는 표적으로 삼은 사용자·조직의 데이터를 복호화하고 접근할 수 있게 해 주는 대가로 ‘몸값’ 즉, 추적이 어려운 암호화폐를 요구합니다. 그러나, 일부 랜섬웨어 그룹은 몸값을 받고도 데이터를 복구해 주지 않거나, 데이터를 유출하는 경우도 있습니다. 이와 같이 랜섬웨어 감염 시에는 개인 사용자와 기업·기관, 국가 기반 시설에 막중한 피해가 야기될 수 있는 만큼, 정기적인 백업과 보안 강화를 통해 강력한 대응 체계를 마련할 필요가 있습니다.

02. 랜섬웨어 종류

랜섬웨어는 공격 방식과 목표에 따라 여러 유형으로 구분할 수 있습니다. 대표적인 유형으로는 '암호화 랜섬웨어'와 '락커 랜섬웨어'가 있으며, 최근에는 '서비스형 랜섬웨어'라는 새로운 형태가 등장하여 그 위협을 더욱 고조시키고 있습니다.

암호화 랜섬웨어 (Crypto Ransomware):

시스템에 침투해 사용자의 파일을 암호화하는 가장 보편적인 랜섬웨어 유형입니다. 암호화된 파일은 정상적인 방법으로 열 수 없으며, 공격자는 암호 해독 키를 대가로 몸값을 요구합니다. 워너크라이(WannaCry)와 낫페트야(NotPetya)가 대표적인 사례입니다. 이 유형의 랜섬웨어는 개인의 문서, 사진, 동영상뿐만 아니라 기업의 중요한 데이터베이스, 설계 도면, 영업 기밀 등을 암호화하여 심각한 피해를 초래할 수 있습니다.

락커 랜섬웨어 (Locker Ransomware):

파일 암호화 대신 시스템 자체를 잠가 사용자의 컴퓨터 접근을 차단하는 유형입니다. 컴퓨터 부팅을 막거나 특정 프로그램 실행을 제한하여 사용자가 정상적인 작업을 수행할 수 없게 만듭니다. 암호화 랜섬웨어에 비해 복구 가능성이 다소 높지만, 시스템 사용 불가로 인한 업무 마비와 심리적 압박감을 야기합니다.

서비스형 랜섬웨어 (Ransomware-as-a-Service, RaaS):

랜섬웨어 공격을 위한 도구와 인프라를 제공하는 서비스입니다. 랜섬웨어 개발자는 프로그램을 개발하고, 이를 다른 공격자들이 사용할 수 있도록 판매하거나 임대합니다. RaaS 이용자는 복잡한 기술 지식 없이도 랜섬웨어 공격을 쉽게 수행할 수 있으며, 개발자는 공격 성공에 따른 수익을 분배받습니다. 이로 인해 랜섬웨어 공격의 진입 장벽이 낮아져 공격 빈도와 규모가 급증하고 있습니다.

03. 주요 감염 경로

이메일 첨부 파일 또는 링크 클릭 (스피어 피싱, Spear phishing):

랜섬웨어 감염의 가장 보편적인 방법은 이메일을 통한 공격입니다. 공격자들은 악성 코드가 포함된 첨부 파일을 보내거나 악성 웹사이트로 연결되는 링크를 심어 사용자를 속입니다. 특히 스피어 피싱 공격은 정교한 사회공학적 기법을 활용해 사용자가 의심 없이 첨부 파일을 열거나 링크를 클릭하도록 유도합니다. 가짜 송장, 주문 확인서, 배송 안내 등으로 위장한 이메일을 통해 사용자를 교묘하게 속입니다.

취약한 웹사이트 방문 또는 광고 클릭 (멀버타이징, Malvertising):

사용자가 보안이 취약한 웹사이트를 방문하거나 악성 광고(멀버타이징)를 클릭할 경우 랜섬웨어에 감염될 수 있습니다. 공격자들은 웹사이트의 보안 허점을 악용하여 악성 코드를 심거나 광고 네트워크를 통해 악의적인 광고를 퍼뜨립니다. 사용자가 이러한 웹사이트를 방문하거나 광고를 클릭하면 즉시 동의 없이 악성 코드가 자동으로 다운로드되고 실행됩니다.

소프트웨어 취약점 악용:

운영체제, 웹 브라우저, 플러그인 등 소프트웨어의 보안 취약점은 랜섬웨어 공격의 주요 통로로 이용됩니다. 공격자들은 이러한 취약점을 교묘하게 이용해 시스템에 침투하고 악성 코드를 실행합니다. 특히 오래된 소프트웨어나 보안 업데이트가 미흡한 시스템은 더욱 위험하므로, 최신 버전으로 지속적이고 철저한 업데이트가 필수적입니다.

보안이 취약한 네트워크를 통한 침투:

보안이 취약한 네트워크는 랜섬웨어 감염의 또 다른 주요 통로입니다. 비밀번호가 없는 Wi-Fi 네트워크나 보안이 취약한 공유 폴더를 통해 랜섬웨어가 빠르게 전파될 수 있습니다. 기업 내부 네트워크의 보안이 허술할 경우, 단 한 대의 시스템 감염으로 순식간에 전체 네트워크로 확산될 위험이 높습니다.

불법 소프트웨어 다운로드:

불법 소프트웨어, 크랙, 키젠 등을 다운로드할 때 랜섬웨어 감염 위험은 극도로 높아집니다. 이러한 파일들은 대부분 악성 코드를 내장하고 있어 실행 즉시 랜섬웨어가 설치될 수 있습니다. 또한 불법 소프트웨어는 보안 업데이트가 원천적으로 불가능해 시스템의 취약점을 심각하게 악화시킵니다.

04. 랜섬웨어 예방 및 대응 방법

1) 예방

정기적인 데이터 백업 및 복구 시스템 구축:

랜섬웨어 대응의 핵심적인 예방법은 데이터를 주기적으로 백업하고 안전하게 보관하는 것입니다. 만약 랜섬웨어에 감염되더라도 백업된 데이터를 통해 시스템을 복구함으로써 몸값 지불 없이 피해를 최소화할 수 있습니다. 백업은 외부 저장 장치나 클라우드 스토리지 등 다양한 방법으로 수행할 수 있으며, 3-2-1 규칙(3개의 백업본, 2개의 다른 형식, 1개의 오프라인 복사본)을 적용하는 것이 가장 안전합니다.

최신 보안 패치 및 소프트웨어 업데이트 유지:

소프트웨어의 취약점을 악용한 랜섬웨어 공격을 막기 위해서는 운영체제, 백신 프로그램, 웹 브라우저, 애플리케이션 등을 항상 최신 버전으로 업데이트해야 합니다. 보안 패치는 알려진 보안 취약점을 보완하여 랜섬웨어의 침투 경로를 원천적으로 차단합니다.

강력한 비밀번호 설정 및 다중 인증 사용:

추측하기 어려운 복잡한 비밀번호를 사용하고, 가능한 모든 계정에 다중 인증(Multi-Factor Authentication, MFA)을 설정하여 계정 탈취를 방지해야 합니다. 다중 인증은 비밀번호 외 추가적인 인증 절차를 요구하므로, 해커가 비밀번호를 알아내더라도 계정 접근을 어렵게 만듭니다.

수상한 이메일 및 링크 클릭 주의:

랜섬웨어는 대부분 스팸 메일, 피싱 메일을 통해 유포됩니다. 출처가 불분명하거나 의심스러운 이메일은 열어보지 않고 즉시 삭제하며, 포함된 링크나 첨부 파일을 함부로 클릭하지 않도록 주의해야 합니다. 긴급하거나 개인정보를 요구하는 이메일은 반드시 발신인을 확인한 후 신뢰할 수 있는 경우에만 대응해야 합니다.

2) 대응 방법

감염 사실 인지 즉시 시스템 격리:

랜섬웨어 감염이 의심되는 즉시 해당 시스템을 네트워크에서 완전히 분리하여 추가 감염을 방지합니다. 네트워크 케이블 제거 또는 Wi-Fi 연결 해제 등을 통해 인터넷 연결을 차단하는 것이 중요합니다.

보안 전문가 또는 수사 기관에 신고:

랜섬웨어 감염 사실을 확인하면 지체 없이 보안 전문가나 한국인터넷진흥원(KISA)과 같은 관련 기관에 신고하여 전문적인 도움을 받아야 합니다.

05. 랜섬웨어 공격의 최신 동향

공격 대상의 다변화 (OT/ICS 환경, 클라우드 환경 등):

과거에는 일반 기업과 개인 사용자가 주된 공격 대상이었지만, 최근에는 공격 범위가 운영기술(OT) 및 산업제어시스템(ICS), 클라우드 환경 등으로 급격히 확대되고 있습니다. 공장 자동화 시스템, 에너지 관리 시스템 등이 랜섬웨어에 감염되면 생산 중단과 설비 파괴 같은 심각한 피해를 초래할 수 있습니다. 더불어 클라우드 환경의 데이터가 랜섬웨어에 감염되면 기업의 핵심 정보 유출과 서비스 중단으로 이어질 수 있습니다.

이중 협박 (데이터 유출 후 암호화):

최근 랜섬웨어 공격은 단순히 데이터를 암호화하는 것을 넘어 데이터를 유출 후 공개하겠다고 협박하는 이중 협박 방식이 증가하고 있습니다. 공격자는 암호화된 데이터 복구와 더불어 유출된 데이터의 비공개를 조건으로 이중으로 몸값을 요구합니다. 이러한 이중 협박은 기업의 평판 하락과 법적 문제 등 추가적인 피해를 야기할 수 있어 더욱 심각한 위협이 되고 있습니다. 특히 개인정보나 영업비밀 같은 민감한 정보 유출 시 기업은 막대한 손실을 감수해야 합니다.

공격 그룹의 전문화 및 조직화:

랜섬웨어 공격 그룹은 점차 더 전문화되고 조직적으로 진화하고 있습니다. 이들은 고도의 기술력을 가진 전문가들을 영입하고, 체계적인 공격 계획을 수립하여 공격 성공률을 높이고 있습니다. 또한 랜섬웨어 개발, 공격 인프라 관리, 몸값 협상 등 각 분야별로 세분화된 역할 분담을 통해 더욱 효율적인 공격을 감행하고 있습니다.

AI/ML 기술을 활용한 공격 시도:

최근에는 인공지능(AI) 및 머신러닝(ML) 기술을 적극적으로 활용한 랜섬웨어 공격이 등장하고 있습니다. AI/ML 기술은 악성 코드 분석, 공격 대상 선정, 사회공학적 공격 자동화 등 다양한 영역에서 활용될 수 있습니다. 예를 들어, 이메일 내용을 AI로 분석하여 사용자의 관심사에 맞는 맞춤형 피싱 이메일을 생성함으로써 공격 성공률을 크게 높일 수 있습니다.

디지털 혁신이 빠르게 진행되면서 기업의 정보 자산은 그 어느 때보다 더욱 중요한 가치를 지니게 되었습니다. 그러나 이러한 정보 자산을 노리는 위협 또한 끊임없이 진화하고 있으며, 특히 랜섬웨어는 기업의 존립을 위협하는 가장 강력한 사이버 공격 중 하나로 자리 잡았습니다. 랜섬웨어 공격은 외부 침입뿐만 아니라 내부자의 부주의 또는 악의적인 행동으로 인해 발생할 수 있다는 점을 결코 간과해서는 안 됩니다. 따라서 랜섬웨어에 대한 지속적인 관심과 대비는 물론, 내부자 위협에 대한 경각심을 높이고 이를 예방하기 위한 다각적인 노력이 필수적입니다. 내부자의 작은 실수나 방심이 랜섬웨어라는 거대한 재앙으로 이어지지 않도록, 조직 전체가 보안 의식을 강화하고 예방 및 대응 체계를 구축하는 것이 그 어느 때보다 중요합니다.

💌 후속 콘텐츠, 계속 받아보세요 ▶