IT Solutions/Security

랜섬웨어의 진화와 대응 방안

2017.09.26 09:30

최근 2017년 6월에는 모 웹 호스팅 업체의 Linux 웹 서버 및 백업 서버 153대가 “랜섬웨어”에 감염되어, 5,500여 개에 달하는 개인과 기업 홈페이지가 접근할 수 없었던 사건이 있었습니다. 특히 이 사건은 기업에서 주로 사용하는 Linux 서버가 감염된 국내 최초의 사고 사례였으며, 그 결과로 사업주가 힘들게 일군 회사를 매각하는 일까지 벌어지며 많은 이들의 아쉬움을 불러일으키기도 했습니다.


이와 같은 랜섬웨어는 시스템 화면 또는 파일 등을 암호화하여 사용자가 시스템 접근하지 못하도록 제한하고, 사용자에게 복구를 위한 돈을 지급할 것을 강요하는 일종의 악성 프로그램입니다. 기존의 전통적인 해킹은 보안 수준이 높은 기업을 대상으로 오랜 시간이 걸려 공격을 해야 하지만, 랜섬웨어는 보안 수준이 낮은 일반인을 대상으로 할 수 있으며, 간단한 공격으로도 짧은 시간에 상당한 대가를 가져갈 수 있으므로 최근의 많이 나타나는 해킹 형태입니다. 이런 랜섬웨어의 피해는 날로 심각해져 가고 있습니다.



이번 글에서는 최근의 랜섬웨어의 진화와 랜섬웨어 감염 프로세스에 대해 알아보고 끝으로 대응 방안에 대해 확인해 보겠습니다.



 랜섬웨어의 진화

최초의 랜섬웨어는 2005년 러시아에서 시스템 화면을 잠가, 사용자가 시스템에 접근하지 못하도록 차단하는 형태로 등장하였고 이후, 2012년부터 본격적으로 유럽과 북미로 확대되었었습니다. 이때까지의 랜섬웨어는 안전모드 부팅 이후 악성코드를 치료하거나 시스템 복원 등으로 치료할 수 있었습니다. 어쩌면 기초적인 수준의 악성코드였습니다.

l 화면 잠금형 랜섬웨어[각주:1]


이런 랜섬웨어는 2013년경 큰 변화를 맞이하는데, 시스템 내부의 문서 파일(Office, 그림 파일, 음악 파일 등)을 암호화하는 형태의 Crypt0L0cker가 등장하면서 치료나 복원이 무척 어려운 형태로 진화하였습니다. 이때 이후로 등장하는 대부분의 랜섬웨어는 파일을 암호화하는 형태를 유지하게 됩니다.


2014년경에는 암호화 파일을 복구하는 대가로 비트코인을 요구하는 랜섬웨어가 나타났고, 다양한 언어로 번역되어 전 세계로 그 피해가 확산 되었습니다.


2016년에는 감염 경로가 확대되어 스팸메일을 통해 전달되는 랜섬웨어(Locky)가 등장하였고, 클라우드 서비스를 이용하여 전달되는 랜섬웨어(PETYA)가 나타났습니다. 또한, 사용자에게 음성으로 감염 사실을 알려주는 랜섬웨어(CERBER) 등 다양한 형태의 랜섬웨어가 등장했습니다.



얼마 전인 2017년 4월에는 Windows에 내장된 파일 공유 프로그램의 취약점을 이용하여 네트워크 내부로 전파되는 WannaCry 랜섬웨어가 전 세계적으로 12만 대 이상을 감염시켜 랜섬웨어로 온 세상이 떠들썩 했습니다.


랜섬웨어가 우리나라에 본격적으로 알려진 것은 2015년 방문자 수 10위권에 해당하는 모 커뮤니티 사이트를 통해 랜섬웨어가 전파되는 일이 발생하면서부터입니다. 초기 랜섬웨어는 취약한 웹페이지를 통해 확산되었으나, 대부분 취약한 페이지가 영어 등 외국어 페이지였기 때문에 언어적 차이로 인해 피해가 크게 드러나지 않았습니다.


그러나 2015년 발생한 랜섬웨어는 한글화되어 피해가 커지면서 우리나라를 노리는 랜섬웨어로 널리 알려지게 되었습니다. 이때 이용된 랜섬웨어가 바로 한글화된 대화 창으로 비트코인을 요구하는 Crypt0L0cker 였습니다. 


l 2015년 모 커뮤니티 사이트 랜섬웨어 감염시 나타난 메시지창[각주:2]


그 이후 수많은 CCC 나 로키 등 많은 랜섬웨어 들이 한글화된 형태로 등장하였고, 2017년 6월에는 앞서 언급한 리눅스 서버를 감염시키는 랜섬웨어(Erebus)가 등장하기도 하였습니다.



 랜섬웨어의 감염 순서와 동향

랜섬웨어는 아래와 같은 순서로 진행됩니다.

l 랜섬웨어의 진행 과정


과정에 대한 내용과 형태는 아래와 같이 요약할 수 있습니다.


l 랜섬웨어의 진행 과정 요약


위 요약 내용은 최근까지 알려진 랜섬웨어의 일반적인 사항을 정리한 내용입니다. 여기에 추가로 최근의 사례에 대해 살펴보겠습니다.

① 감염 대상의 확대

랜섬웨어의 주 감염대상은 사용자 수가 가장 많은 Windows PC였습니다. 하지만 그 대상이 점차 확대되었는데요. 2014년에 안드로이드 폰의 랜섬웨어[각주:3]가 발견되었고 2017년에는 MacOS용 랜섬웨어[각주:4]도 발견되었으며 리눅스 서버용 랜섬웨어가 등장하는 등 그 대상이 점차 넓어지고 있습니다.

l 랜섬웨어에 감염된 안드로이드 단말과 스마트워치[각주:5], 시만텍


랜섬웨어의 감염 방법에 대해 살펴보면, 과거에는 플래쉬 취약점 등 있는 취약한 웹페이지를 통해 감염되어 네트워크 드라이브 전파를 통해 감염되는 것이 주요 형태였으나, 최근에는 Windows 자체의 취약점을 노려서 인터넷에 접속하기만 해도 감염이 되는 등 그 경로도 다양해지고 있습니다.

② 차단 대상 확대

앞서 이야기한 Crypt0L0cker가 등장한 이후에는 모두 파일 암호화 기능을 기본적으로 적용하고 있습니다. 기존의 암호화 대상은 주로 오피스 위주의 문서파일이나 JPG 등 그림 파일, MP3 등 음악 파일 등이 주 대상이었던 반면, 최근에는 대용량의 AVI, CAD 파일 그리고 압축 파일 등도 그 대상이 확대되고 있으며, 국내를 대상으로 하는 랜섬웨어에는 HWP 파일도 암호화되면서 현지화되는 모습까지 보여주고 있습니다. 최근에는 MBR등 시스템 파일을 변경하여 시스템 전체를 차단하는 방식도 등장했습니다.

③ 복원 대가 

최근에는 현금은 거의 없으나 그 형태는 동일하게 익명성이 보장되는 비트코인 등의 사이버 머니를 요구하고 있습니다. 그 가격은 0.5~5비트코인까지 해커에 따라 다양한 금액을 요구하고 있는데요. 최근 웹호스팅 서버의 감염 사례에서는 서버 대당 10비트코인을 요구했습니다[각주:6].  

④ 자원 복원•삭제

복원에 대한 대가를 지급하지 않는다면 별도의 툴이 없는 한 복원은 불가능합니다. 그러나 복원 대가를 지급한 이후에도 정상적인 복구 키를 받을 수 있다고 확답할 수 없으며 정상적인 복구 키를 받았다 하더라도 완벽하게 복원할 수 없는 사례도 존재합니다. [각주:7]

앞서 살펴본 웹 호스팅 회사 감염 사례도 복원 비용을 해커에게 지불하였으나, 일부 파일이 복원되지 않아 서비스가 정상화 되지 않았습니다.


 랜섬웨어 대응 방안

최근의 사고에서 보면 기업의 내부 직원을 노리거나, 기업용 서버를 직접 노리는 랜섬웨어가 나타나고 있는 것을 알 수 있습니다. 만약 이런 랜섬웨어에 감염된다면 기업의 비즈니스에 치명적인 피해를 일으킬 것입니다. 그렇다면 랜섬웨어에 어떻게 대응을 해야 할까요?

아래 5가지로 대응 방안을 살펴볼 수 있을 것 같습니다.

① 감염 경로 차단

악성코드에 감염되는 경로를 차단하기 위해 노출 최소화하기 위한 기본적인 사항입니다.

※ 인터넷 접근 강화

불법자료의 실행 금지, 위험한 사이트의 접근 금지

단축 URL등 내용을 알 수 없는 사이트 접근 금지

중요 시스템 접근 단말의 망분리를 통한 인터넷 차단 


※ 시스템 관리 강화

윈도우 뿐만 아니라 MacOS, 리눅스, Unix 등에 대한 검증된 최신 OS 패치 적용

응용 S/W의 최신 패치 적용

출처가 불분명한 프로그램 설치 및 실행 금지


※ 단말 관리 강화 

스팸메일 차단 솔루션의 적용

모바일 단말의 경우 스미싱, 큐싱등 차단 솔루션 적용


② 암호화 프로세스의 차단


백신 솔루션을 통한 암호화 프로세스를 차단하는 대응 방안은 다음과 같습니다.


- 시스템 내 미끼 파일을 설치하고 파일 암호화 감시 및 차단

- 용자가 의도하지 않은 시스템 프로세스의 암호화 처리를 감시 및 차단



③ 피해 확산의 최소화


피해를 입은 경우에도 피해에 대한 확산을 최소화하고 자원을 복원하는 방안

- VDI를 통한 단말 자원을 통제하고 스냅샷 등 기능을 활용하여 피해 최소화 

- 분리된 네트워크에 백업 진행 및 실행 권한 차단

- 단말의 경우 네트워크가 분리되고 실행이 불가능한 외부 저장소의 활용


④ 임직원에 대한 보안 인식 교육의 실시


기업 임직원의 행동을 변화 시키기 위한 교육을 수행

- 랜섬웨어의 위험성과 증상, 대응 방안을 교육


⑤ 정부 지원을 활용


정부에서도 랜섬웨어에 대응하기 위한 사이트를 운영하고 있으며 예방과 피해 시 도움을 받을 수 있습니다.

- 보호나라(www.boho.or.kr): 랜섬웨어 정보와 일부 일부 랜섬웨어에 대한 복원 툴을 제공

- 한국 랜섬웨어 침해 대응센터(www.rancert.com): 랜섬웨어 정보와 피해•예방 사례 및 사이트 안전 검사, 단말 안전검사 진행


지금까지 랜섬웨어에 대하여 진화과정과 진행 프로세스, 그리고 대응 방안에 대해 알아보았습니다. 점차 다양해지고 복잡해지는 랜섬웨어의 공격으로부터 시스템을 안전하게 보호하시는 데 도움 되시길 바랍니다.


글ㅣLG CNS 보안컨설팅팀


* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.

* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.

  1. 하우리, 알기 쉬운 랜섬웨어, 2015.11.04 (http://www.hauri.co.kr/imageupload/board_image/2015NovWed08.png) [본문으로]
  2. 한국 타겟형 랜섬웨어 크립토락커(CryptoLocker)분석, 2015.04.21 http://www.wins21.co.kr/blog/blog-sub-01.html?t=31&num=68 [본문으로]
  3. KISA, 안드로이드를 목표로 한 랜섬웨어 탐지, 2014.05.21 (https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=21088) [본문으로]
  4. KISA, 애플 맥(Mac) 기기 대상 랜섬웨어 발견, 2017.03.06 (https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=25244) [본문으로]
  5. 시만텍, Can Ransomware Outsmart a Smartwatch? (https://www.youtube.com/watch?time_continue=4&v=shn3OM0hwwM) [본문으로]
  6. 보안뉴스, 인터넷나야나 공격 해커, 26억 원 상당의 비트코인 요구, 2017.06.11 (http://www.boannews.com/media/view.asp?idx=55228) [본문으로]
  7. 인터넷 나야나, [15차공지] 인터넷나야나 대표이사 황칠홍입니다. 2017.07.06 (http://notice.nayana.com/category/notice/) [본문으로]
저작자 표시 비영리 변경 금지
신고
Posted by IT로 만드는 새로운 미래를 열어갑니다 LG CNS
위로