2024-03-30 00:45 (토)
[카스퍼스키랩] 랜섬웨어의 확산을 더욱 경계해야 하는 이유
상태바
[카스퍼스키랩] 랜섬웨어의 확산을 더욱 경계해야 하는 이유
  • 길민권
  • 승인 2015.07.06 18:09
이 기사를 공유합니다

카스퍼스키랩 “37% 기업만 랜섬웨어 심각한 위험으로 인지해"
랜섬웨어 문제가 호전되지 않고 있다. CoinVault 및 CryptoLocker 등 널리 퍼지고 있는 최근의 랜섬웨어 공격 사례를 보면 이러한 유형의 공격 방식을 사용하는 사이버 범죄가 증가하고 있음을 알 수 있다. 그러나 이러한 랜섬웨어 공격의 증가세에도 불구하고 최근 카스퍼스키랩(Kaspersky Lab) 설문 조사에 따르면 37%의 기업만이 랜섬웨어를 심각한 위험으로 인지하고 있는 것으로 조사됐다.
 
카스퍼스키랩 사이버 보안 전문가로부터 랜섬웨어 공격의 작동 방식, 몸값 지불 후 결과, 기업이 취할 수 있는 피해 방지 조치 등, 증가 추세에 있는 랜섬웨어 공격에 대한 전문가 의견을 들어보았다.
 
1. 랜섬웨어란 무엇인가?
랜섬웨어는 악성 코드의 한 종류로, 돈을 갈취하는 디지털 메커니즘이다. 몸값이 지불될 때까지 컴퓨터 시스템, 또는 사용자 및/또는 회사 데이터에 액세스할 수 없게 만드는 소프트웨어다. CryptoLocker, CryptoWall, CoinVault, TorLocker, CoinVault, CTB-Locker 등이 모두 랜섬웨어다.
 
2. 랜섬웨어의 피해자는 누구인가?
평범한 소비자, 대기업, 중소기업 등 모두가 랜섬웨어의 피해자가 될 수 있다. 사이버 범죄자들은 이를 구분하지 않으며 최대한의 경제적 이득을 얻기 위해서라면 가능한 한 많은 사용자에게 피해가 미치기를 원한다.
 
3. 랜섬웨어는 어떤 방식으로 공격을 하나?
랜섬웨어 공격은 보통 이메일을 통해 이루어진다. 이메일에는 실행 파일, 압축 파일, 또는 이미지 등이 첨부되어 있다. 첨부 파일을 열면 악성 코드가 사용자 시스템에 배포된다. 또는 사용자의 컴퓨터에서 악성 코드를 심어 놓은 웹사이트를 방문했을 때 랜섬웨어가 실행되기도 한다. 사용자가 이런 사이트에 들어가서, 링크를 클릭하거나 파일을 다운로드하는 등의 방식으로 안전하지 않은 스크립트를 알지 못한 채 실행하면 악성 코드가 시스템에 감염된다.
 
사용자 컴퓨터가 감염된다고 해서 바로 가시적인 현상이 일어나지는 않는다. 이 악성 코드는 시스템 또는 데이터 잠금 메커니즘이 구축되고 연계될 때까지 백그라운드에서 조용히 동작한다. 사이버 범죄자는 눈에 띄지 않게 동작할 수 있는 랜섬웨어를 점점 더 능숙하게 개발하고 있으며, 랜섬웨어가 피해자에게 발각되지 않도록 하는 많은 도구와 기술을 자유자재로 사용한다. 그러다가 대화 상자가 나타나 사용자에게 데이터가 잠겼음을 알리고 데이터에 액세스하려면 몸값을 지불하라고 요구한다.
 
사용자가 이 대화 상자를 봤을 때는 보안 대응책으로 데이터를 보존하기에는 이미 너무 늦어버린 상황이다. 사이버 범죄자가 이러한 공격을 통해 요구하는 금액은 천차만별이며, 우리가 목격한 바로는 피해자 데이터에 걸린 암호를 해독하는 데 수백 때로는 수천 달러에 이르는 금액을 요구하기도 한다.
 
4. 랜섬웨어 공격 사례는?
TorLocker를 예로 들어보겠다. 이 랜섬웨어는 해독이 거의 불가능에 가까운 암호화 메커니즘인 256비트 AES 키를 사용해 데이터 섹션을 복호화한 뒤 사용자 시스템에서 이를 실행하여 감염을 시작한다. 이 키의 첫 4 바이트는 고유 샘플 ID로 사용되며, 암호화된 파일의 끝에 추가된다. 그리고 나서 악성 코드가 임시 폴더에 복사되고, 그 복사 파일을 자동으로 실행하는 레지스트리 키가 생성됩니다. 이후 이 악성 소프트웨어의 동작 순서는 다음과 같다.
1)taskmgr.exe, regedit.exe, procexp.exe 및 procexp64.exe 프로세스를 찾아서 종료.
2)모든 시스템 복구 포인트를 삭제.
3)사용자의 하드 디스크 및 네트워크 드라이브에 있는 오피스 문서, 비디오 및 오디오 파일, 이미지, 압축 파일, 데이터베이스, 백업 복사본, 가상 컴퓨터의 암호화 키, 인증서 및 기타 파일 모두를 암호화.
4)데이터 복호화를 원하면 몸값을 지불하라고 요구하는 대화 상자를 실행.
 
문제는 TorLocker가 시스템마다 각기 고유한 방식으로 감염된다는 것이다. 따라서 한 데이터를 복호화하는 키가 발견되었다 해도 그 키는 다른 시스템의 데이터 복호화에는 쓸 수가 없다. 사이버 범죄자는 돈을 지불하고 데이터 복호화 키를 받을 수 있는 특정 시한(보통 72시간)을 사용자에게 제시한다. 이들은 대개 다양한 지불 방법을 제안하는데, 여기에는 비트코인이나 타사 사이트를 통한 결제 등이 포함된다.
 
5. 사이버 범죄자가 기업에 랜섬웨어 공격을 실행하는 이유는 무엇인?
랜섬웨어 공격의 핵심 동기는 피해자로부터 돈을 갈취하는 것이다. 그런데 기업에 대한 전반적인 랜섬웨어 공격 사례를 보면 공격 목표가 대부분 회사의 지적재산권이기 때문에 타격이 매우 크다.
 
6. 기업에 대한 랜섬웨어 공격이 증가하고 있는가?
그렇다. 조직이 몸값을 지불할 가능성이 더 높다는 것을 사이버 범죄자들이 인지했기 때문이다. 보통 포획한 데이터가 사업 지속에 민감하고 중요하니까. 또한 기업들이 랜섬웨어의 위험을 과소평가하고 있는 것도 문제다. 최근 Kaspersky Lab의 설문 조사에 따르면, 응답한 회사의 37%만이 랜섬웨어를 심각한 위험으로 간주하고 있다. 이는 놀라울 정도로 낮은 수치이며 회사들이 적절한 보안 조치를 취하고 있지 않아 이러한 공격에 취약할 수밖에 없음을 보여준다.
 
또한 사이버 범죄자들은 피해자들이 대개 자신의 파일을 되찾기 위해 돈을 지불할 의사가 있음을 깨닫고 있고, 랜섬웨어 및 그 변종 악성 코드는 갈수록 확산되며 정교해지고 있다. 예를 들어, 처음 등장한 암호화 악성 코드는 대칭 키 알고리즘을 사용했고 암호화 및 복호화 키가 동일했다. 이 경우 보통 백신 업체의 도움을 조금 받으면 손실된 정보를 성공적으로 해독할 수 있었다. 그러다가 사이버 범죄자들이 비대칭 암호 알고리즘을 구현하기 시작했는데, 이 알고리즘은 파일 암호화용 공개 키와 복호화용 개인 키가 다르다.
 
앞서 언급한 CryptoLocker 트로이목마는 가장 최근에 출현한 가장 위험한 랜섬웨어 중 하나로, 공개 키 알고리즘을 사용한다. 이 랜섬웨어에 감염된 컴퓨터는 명령통제 서버에 접속해 공개 키를 다운로드하며, 다른 개인 키는 CryptoLocker의 작성자만 액세스할 수 있게 된다. 보통 피해자는 이 개인 키가 영원히 삭제되기 전에 몸값을 지불할 수 있는 최대 72시간의 말미를 얻게 된다. 이 키 없이 파일을 복호화할 수 있는 방법은 없다. Kaspersky Lab의 제품들은 이러한 트로이목마 프로그램을 문제 없이 탐지하고 감염을 차단한다. 하지만 시스템이 이미 감염된 후라면 손상된 파일을 복구할 방법은 없다.
 
7. 모바일 랜섬웨어 공격의 전파력은 어느 정도인가?
모바일 랜섬웨어 공격은 점점 더 강력하게 퍼지고 있다. 모바일 랜섬웨어는 수익성을 지향한다. 점점 더 많은 사이버 범죄자들이 돈을 훔치고 갈취할 수 있는 악성 코드를 생성하고 있다. 실제로, Kaspersky Lab 1분기 보안 위협 보고서에 따르면 새롭게 발견된 악성 코드의 23%가 돈을 훔치거나 갈취하기 위해 생성된 것이었다. 게다가 트로이목마 랜섬웨어 악성 코드가 모든 모바일 위협 중에서 가장 가파른 성장세를 보이고 있다. 1분기에 탐지된 새로운 사례는 1,113건이며 이는 우리가 수집한 모바일 랜섬웨어 사례의 수치가 65%나 증가한 것이다. 랜섬웨어는 돈을 갈취하고 개인 데이터를 파괴하고 감염된 기기를 차단하기 위해 설계되었기 때문에 이는 위험한 추세다.
 
8. 랜섬웨어 공격을 예방하는 방법은 무엇인가? 백업을 하면 사이버 범죄로부터 데이터를 충분히 보호할 수 있나?
강력한 암호로 암호화된 파일을 복호화하는 것은 불가능하다. 따라서 가장 좋은 방법은 건전한 사이버 보안 전략의 일환으로 강력한 백업 솔루션과 함께 포괄적인 보안 조치를 취하는 것이다.
 
또한 일부 랜섬웨어 변종은 모든 백업본의 위치를 찾기만 하면 네트워크상에서 공유되는 것까지도 암호화할 수 있을 만큼 똑똑하다. 이 때문에 랜섬웨어가 삭제할 수 없는 오프라인 백업(읽기 및 쓰기만 가능, 삭제/모든 제어 권한 없음)을 하는 것이 중요합니다.
 
Kaspersky Lab은 또한 시스템 감시기 모듈이라 불리는 대응책을 개발했다. 시스템 감시기는 파일 사본을 로컬에 보호해 보관할 수 있으며 랜섬웨어 악성 코드가 변경한 것도 감염 전 상태로 되돌릴 수 있다. 이 모듈은 자동 복구가 가능하고 관리자의 백업 복구 문제 및 업무 중지 부담을 덜어준다. Kaspersky Lab의 이 보안 기술이 설치되어 있고 이 모듈이 실행 중인지 확인하는 것이 중요하다.
 
9. 시스템이 이미 감염된 경우 어떻게 해야 하나?
불행하게도, 적절한 백업이나 예방 기술이 없는 상태에서 랜섬웨어가 실행되면 사용자가 할 수 있는 것은 거의 없다. 그러나 때로는 몸값을 지불하지 않고도 랜섬웨어로 잠긴 데이터를 복호화하는 데 도움을 받을 수 있다. Kaspersky Lab은 최근 네덜란드 국립 고급기술범죄 경찰수사대와 협력하여 CoinVault 랜섬웨어 피해자를 위한 복호화 키 저장소 및 복호화 애플리케이션을 만들었다.
 
또한 피해를 당한 후에 암호화된 데이터를 고칠 수 있다고 주장하는 신뢰할 수 없는 소프트웨어를 인터넷에서 찾아 사용하는 것은 피해야 한다. 이런 소프트웨어는 쓸모 없는 솔루션일 뿐이며 최악의 경우 이 소프트웨어 자체가 또 다른 악성 코드일 수도 있다.
 
10. 공격 당한 기업은 몸값을 지불해야 하나?
기업은 데이터에 높은 가치를 두기 때문에, 많은 경우 돈을 지불해서 데이터를 찾기를 원한다. 켄트대 사이버 보안 협동연구소의 2014년 2월 설문 조사에 따르면 CryptoLocker 피해 회사의 40% 이상이 지불에 동의했다. CryptoLocker의 경우 수만 대의 컴퓨터를 감염시켰고 배후의 사이버 범죄자들은 수백만 달러의 수익을 올렸다. 뿐만 아니라 Dell SecureWorks 보고서에 따르면 동일한 악성 코드가 100일마다 최대 3천만 달러를 벌어들이고 있는 것으로 나타났다.
 
하지만 몸값 지불은 현명하지 못한 일이다. 가장 큰 이유는 지불한다고 해서 손상된 데이터가 복호화될지 확실치 않기 때문이다. 또한 회사가 몸값을 지불하기로 결정한다고 해도 많은 것들이 잘못될 가능성이 있다. 그 예로 악성 코드 자체 버그로 인한 암호화 데이터 복구 불능, 시스템 관리자의 조치로 인한 데이터 복구 불능, IT 인프라 손상 및/또는 정지 시간, 정보 손실로 인한 법적 파장, 협력 회사 및 소비자와의 관계 손상 등을 들 수 있다.
 
또 몸값을 지불하면 이는 랜섬웨어가 효과적이라는 것을 사이버 범죄자에게 입증해주는 셈이 된다. 결과적으로, 사이버 범죄자들은 시스템을 악용하는 새로운 방법을 계속 찾아낼 것이고 몸값을 지불한 개인 사용자 및 회사를 노리고 추가 감염을 시도하게 될 것이다.
 
11. 회사를 랜섬웨어 공격으로부터 보호해주는 Kaspersky Lab의 솔루션은 무엇인가? 또 어떻게 보호해야 하나?
기업용 주력 제품인 Kaspersky Endpoint Security for Business는 랜섬웨어 공격을 포함해 알려지거나 알려지지 않은 고급 사이버 위협에 대응해 안정적인 보호 기능을 제공한다. 이 솔루션에는 Kaspersky Lab의 시스템 감시기가 포함되어 있다. 앞서 말한 대로, 기업은 이 모듈이 실행되면서 가장 관련 있는 시스템 이벤트 데이터를 스캔하고 있는지 확인하는 것이 중요하다. 이 모니터는 파일 생성 및 변경, 시스템 서비스 활동, 시스템 레지스트리 변경 사항, 시스템 호출 및 네트워크를 통한 데이터 전송에 대한 정보를 추적한다. 또한 시스템 감시기는 악성 행위의 증거를 찾기 위해 TCP를 통해 전송된 패킷의 내용을 분석한다. 시스템 감시기는 스스로 분석한 데이터에 기반해 악성 코드 여부를 독립적으로 판단한다. 결과적으로 이 보안 솔루션은 전반적인 랜섬웨어 및 보안 정책 위반을 더 잘 탐지하며, 이러한 유형의 감염으로 이어지는 일련의 행위를 더 잘 파악한다.
 
Kaspersky Lab 보안 솔루션은 랜섬웨어 감염의 위험을 획기적으로 줄여주지만, 사람의 실수가 개입될 여지는 언제든지 있다. 중요한 회사 데이터가 랜섬웨어 사고로 인해 없어지지 않도록 하려면 포괄적인 백업 솔루션을 함께 사용해야 한다. 기업은 신뢰할 수 있는 사이버 보안 및 백업 전략을 채용하여 랜섬웨어 공격에 대응해 언제나 한 발 앞설 수 있다.
 
12. Kaspersky의 솔루션은 알려지지 않은 위협으로부터 어떤 방식으로 보호하나?
앞서 언급했듯이, Kaspersky Endpoint Security for Business는 알려지거나 알려지지 않은 고급 사이버 위협으로부터 조직을 보호한다. 또 이 솔루션은 의심되는 위협에 전통적인 보호 방식보다 훨씬 빠르게 대응하는 Kaspersky Security Network(KSN)를 포함하고 있다. 전 세계의 Kaspersky Security Network의 자발적 정보 제공자는 6천만 명에 달한다. 이 보안 클라우드는 매초 6십만 건의 요청을 처리한다. 전 세계 Kaspersky 사용자들이 자발적으로 탐지 및 제거된 위협에 대한 정보를 실시간으로 제공하고 있으며, 보안 분석 그룹에서 이 데이터를 비롯한 여러 자료를 분석한다. 이를 통해 새로운 보안 위협을 발견 및 분석하고, 이와 동시에 새로운 유형의 위협을 예측하는 데 있다.
 
오늘날 보안 위협이 점점 정교해지고 있기도 하지만, 우리는 기업과 소비자 양측의 너무 많은 사용자들이 사이버 보안 조치에 소홀했다는 것을 알게 되었다. 게다가 일부의 경우 필요한 보호 기능을 제공하지 못하는 오래되거나 신뢰할 수 없는 보안 솔루션을 사용하고 있다. 따라서 가장 효과적인 가용 솔루션을 선택하는 것이 매우 중요하다. 작년에 Kaspersky는 93건의 독립 테스트에 참여했으며 이 테스트에 참여한 모든 솔루션 기업들 중에서 Kaspersky Lab이 최고의 결과를 달성했다. Kaspersky는 3위권 내에 66차례, 1위에 51차례 선정된 바 있다. 정보보안이야말로 Kaspersky Lab의 핵심 DNA이며 우리는 언제나 우리 기술의 효율성을 향상시켜 사용자에게 가장 신뢰할 수 있는 보안 솔루션을 제공하기 위해 노력하고 있다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com
■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★