랜섬웨어는 2000년대 중반부터 중소기업은 물론 개인 사용자와 대기업에게도 심각한 보안 위협으로 자리잡았습니다. FBI에 따르면, 2017년에 IC3(Internet Crime Complaint Center, 인터넷 범죄 신고 센터)에 접수된 신고가 1,783건에 달했고 총비용은 230만 달러가 넘었습니다. 하지만 이러한 신고는 IC3에 보고된 공격만 해당합니다.
대중 또는 이해 관계자들의 불만으로 이미지가 실추될 위험을 피하고자 내부적으로 문제를 처리하기로 선택한 기업이 다수 존재할 수 있다는 점을 고려할 때, 실제 공격 건수와 그에 따른 비용은 훨씬 많다고 볼 수 있습니다. Statista에 따르면, 2017년에 약 1억 8,400만 건의 공격이 일어난 것으로 추정됩니다.
초기에 랜섬웨어는 개인 사용자를 대상으로 발생했으며, 여전히 개인 사용자 비중은 이러한 공격의 대다수를 차지하고 있습니다. 하지만 그 과정에서 공격자는 데이터에 대한 온전한 액세스 없이는 업무를 수행할 수 없는 기업을 표적으로 삼기 시작했으며, 여기에는 병원, 대학, 관공서 등이 포함됩니다. 이 기사에서는 랜섬웨어란 무엇이고 어떻게 예방할 수 있는지, 감염될 경우 어떤 조치가 필요한지, 그리고 랜섬웨어 복구 프로세스에서 백업이 왜 중요한지를 살펴봅니다.
랜섬웨어는 컴퓨터 시스템에서 사용자를 차단하거나 데이터를 암호화하여 액세스할 수 없게 하도록 특별히 설계된 악성 코드 유형입니다. 더 나아가 운영 체제의 취약점을 이용하여 다른 네트워크나 시스템으로 확산될 수도 있습니다.
일단 랜섬웨어가 시스템을 감염시키면, 공격의 배후자는 시스템에 대한 모든 액세스/제어 권한을 넘겨주거나 암호화된 데이터를 해독하는 대가로 몸값을 요구합니다. 랜섬웨어 유형에는 암호화 악성 코드, 로커, 스케어웨어, Doxware(리크웨어), RaaS(Ransome-as-a-service) 등이 포함됩니다.
이러한 사이버 범죄자는 주로 원격으로 공격을 단행하고 비트코인와 같은 암호 화폐의 형태로 추적이 불가능하고 환불되지 않는 지불을 요구합니다. 최근 랜섬웨어 공격에서는 범죄자들이 지불 형태를 Google Play나 Apple iTunes 같은 상품권으로 요구했는데, 이는 나중에 상품이나 현금으로 전환해서 사용할 수 있습니다.
랜섬웨어 공격이 성공하면 디지털 증거가 거의 남지 않으므로 가해자를 추적하거나 지불한 돈을 회수할 수 없습니다. 또한 몸값을 지불해도 데이터가 온전히 복호화된다는 보장도 없습니다.
최초의 랜섬웨어 사례는 1989년으로 거슬러 올라가는데, 하버드에서 수학한 생물학자가 WHO의 내부 AIDS 회의 참석자들 가운데 여러 명의 컴퓨터를 감염시킨 것이었습니다. 2000년대 중반부터 사이버 범죄자는 더욱 창의적인 방식으로 공격을 이어갔으며, 2012년 이후 랜섬웨어는 비대칭 RSA 암호화를 사용하면서 전 세계적으로 확산되었습니다.
오늘날 랜섬웨어는 파일 암호화, 탐지 회피, 시스템 전체 확산, 사용자로부터의 몸값 강탈 등에 있어서 탁월한 능력을 발휘하며 계속 진화하고 있습니다. 새로운 공격 시대에는 크립터를 사용하여 리버스 엔지니어링을 극도로 어렵게 만들거나, 사전 구축된 인프라스트럭처를 포함하여 첨단 배포 기법을 사용하여 새로운 변종이 광범위하고도 쉽게 배포되도록 하는 향상된 개발 기법을 사용합니다.
스피어 피싱 캠페인은 기존의 피싱 이메일 발송을 빠르게 대체하고 있는데, 이는 기존의 피싱 이메일 발송을 스팸 메일로 걸러낼 수 있기 때문입니다. 보다 지능적인 공격자는 기술력을 보유하지 않은 사람들도 구축할 수 있는 다운로드 가능 툴킷을 개발했습니다. 랜섬웨어 수익 창출 방식의 다른 형태로 RaaS 프로그램을 들 수 있는데, 이는 CryptoLocker, Locky, CryptoWall, TeslaCrypt을 혁신한 것입니다.
공격자들은 이제 오프라인 암호화 방식을 사용하며, 이는 합법적 시스템 기능(예: Microsoft의 CryptoAPI)을 이용하여 명령 및 제어 커뮤니케이션의 필요성을 제거합니다.
랜섬웨어는 악의적인 첨부 파일을 포함하는 피싱 이메일이라는 가장 일반적인 방식으로 확산됩니다. 이때 이메일 첨부 파일은 신뢰할 수 있는 출처의 합법적인 파일을 가장합니다. 감염된 파일을 다운로드하여 열면, 바이러스가 시스템을 장악하고 특히 기본 제공된 소셜 엔지니어링 툴이 있는 경우 관리 액세스를 허용하도록 유도할 수 있습니다. 그밖에 더욱 공격적인 유형의 랜섬웨어 제품군의 경우 시스템의 보안상 허점을 통해 별다른 속임수 없이 시스템을 감염시키고 암호화할 수 있습니다.
공격자는 소셜 미디어에서 사기성 메시지를 사용하여 피해자의 시스템에 대한 액세스 권한을 확보합니다. 가장 일반적으로 사용되는 채널로는 Facebook Messenger를 들 수 있습니다. 여기에서 공격자는 현재 친구 중 한 명의 계정을 모방한 계정을 만듭니다. 첨부 파일이 있는 메시지를 보냅니다. 해당 파일을 열면 공격자가 사용자의 디바이스에 액세스하여 연결된 모든 네트워크를 잠글 수 있습니다.
시스템이 드라이브 바이 다운로드(Drive-by Download)를 통해 감염될 수도 있습니다. 이는 무심코 감염된 웹사이트를 방문할 때 발생하며, 부지불식간에 악성 소프트웨어가 다운로드되고 설치됩니다. 이후 공격자는 시스템에 있는 데이터를 암호화할 수 있습니다.
크립토 랜섬웨어(crypto-ransomware)라는 변종은 파일을 암호화하고 소셜 미디어를 통해 유사한 방식으로 확산됩니다. (웹 기반 인스턴스 메시징 애플리케이션을 생각해 보십시오.) 기타 감염 방식으로는 취약한 웹 서버를 이용하여 기업의 네트워크에 액세스할 수 있는 권한을 획득하는 것과 온라인 팝업을 사용하는 것이 있습니다.
공격자가 시스템을 장악한 후 제일 먼저 수행하는 작업은 사용자의 파일을 잠그거나 암호화하는 것입니다. 공격 말미에는 공격자만 알고 공격자의 시스템에 저장해 둔 키를 사용하지 않고는 사용자의 파일을 열거나 복호화할 수 없게 됩니다.
이 시점에서 사용자는 파일에 액세스할 수 없다는 설명과 함께 암호 화폐와 같이 추적이 불가능한 지불 방식으로 몸값을 보내라는 요구가 포함된 메시지를 받게 됩니다. 경우에 따라 공격자가 창의력을 발휘하여 법 집행 기관을 사칭하면서 불법 복제 소프트웨어나 음란물 같은 불법 컨텐트가 있어 시스템을 종료해야 한다고 주장할 수도 있습니다. 그런 다음, 벌금 형태로 지불을 요구하는 것입니다.
리크웨어나 Doxware 공격의 경우에는 몸값을 지불하지 않으면 피해자의 디바이스에 저장된 중요 데이터를 공개하겠다고 위협하기도 합니다. 하지만 그러한 데이터를 찾아 추출하려면 기술적인 전문 지식이 필요하므로, 가장 일반적인 공격 유형은 암호화에 관련된 것입니다.
랜섬웨어는 단순한 이메일 첨부 파일에서부터 감염된 웹사이트, 모바일 애플리케이션, 디지털 광고에 이르기까지 수년에 걸쳐 진화를 거듭해 왔습니다. 랜섬웨어의 효과가 입증됨에 따라 RaaS(Ransomware-as-a-service) 포털의 형태로 판매되는 다크 웹에서도 그 수요가 증가했습니다. 잠재적인 표적은 아래와 같습니다.
미 법무부에 따르면, 이러한 사이버 범죄는 전 세계에 영향을 미칠 소지가 다분합니다. 여타 대부분의 악성 코드와 마찬가지로 랜섬웨어도 안전하지 않은 링크를 누르거나 안전하지 않은 프로그램을 다운로드하는 방법으로 시스템을 감염시킵니다.
하지만 다른 악성 코드 공격과 달리 BIOS를 플래시하거나, 드라이브를 지우거나, OS를 이전 복원 지점으로 되돌리려 할 때 랜섬웨어가 제거되지 않습니다. 이 프로그램은 사용자의 파일을 잠근 후 몸값을 요구합니다. 동시에 공격자는 고유한 복호화 키를 생성하여 본인의 서버에 저장해 둡니다.
제 시간에 몸값을 지불하지 않거나 암호화 프로그램을 변경하려는 시도가 있으면 해당 복호화 키가 영구적으로 삭제되며 그에 따라 잠겨 있는 모든 파일에 액세스할 수 없게 됩니다. 유사 공격 대부분은 대개 피해자가 요구받은 금액을 지불해야 끝이 납니다.
감염된 시스템을 계속 사용할 수 있다 해도 귀중한 데이터가 손실될 수 있다는 리스크만으로 생산성에 현저한 영향이 미치게 될 수 있습니다. 그밖에 랜섬웨어 공격으로 인한 영향은 아래와 같습니다.
랜섬웨어는 사용자가 중요 개인 및 비즈니스 데이터의 손실을 겪고, 몸값을 지불한 후에도 기타 장단기적으로 영향을 미칠 수 있으므로 매우 위협적인 공격입니다. 사용자와 비즈니스를 보호하기 위해 사용할 수 있는 몇 가지 랜섬웨어 방지 전략을 확인하십시오.
데이터를 모두 한 곳에 저장하지 않도록 하십시오. 랜섬웨어 공격 및 기타 재해로 인해 손실된 데이터를 복원할 수 있기 때문에 정기적인 데이터 백업이 필요합니다. CryptoLocker는 매핑된 드라이브에서 데이터를 찾아 암호화하기도 하므로, 할당된 드라이브 문자가 없거나 백업이 진행 중이 아닐 때 연결이 해제되는 외부 백업 서비스 또는 드라이브에 정기적으로 백업해야 합니다.
CryptoLocker는 종종 “.PDF.EXE”라는 확장자를 가지며, 이는 공격자가 Windows에서 알려진 파일 확장자를 가리거나 숨기는 기본적인 습성을 기대하기 때문입니다. 따라서 시스템 기능을 통해 전체 파일 확장자가 표시되도록 하면 쉽게 의심스러운 파일을 가려낼 수 있습니다.
특히 주의해야 할 CryptoLocker 동작 중 하나는 이 공격이 로컬 AppData와 AppData 폴더에서 실행 파일을 실행하는 것입니다. 이에 따라 Windows 또는 침입 방지 소프트웨어를 통해 시스템 내에서 이 동작이 허용되지 않도록 규칙을 만들어 둘 수 있습니다. 물론 AppData 영역에서 실행되는 합법적인 프로그램 파일은 항상 제외되도록 할 수 있습니다.
게이트웨이 메일 스캐너에 확장자별로 수신된 파일을 필터링하는 기능을 갖춘 경우 ".exe" 파일 확장자가 포함된 이메일이나 둘 이상의 파일 확장자가 함께 전송된 파일(이때 하나는 실행 파일 확장자)은 거부하는 것이 좋습니다.
".exe" 확장자가 포함된 이메일을 거부한 후 사용자 환경 내에서 실행 파일을 수신 또는 전송해야 할 필요가 있을 때는 비밀번호로 보호되는 ZIP 파일을 사용하거나 클라우드 서비스를 통해 이메일을 교환하도록 선택할 수 있습니다.
Cryptolocker/Filecoder는 RDP(Remote Desktop Protocol)를 통해 표적 시스템에 액세스합니다. RDP는 다른 사용자가 사용자의 데스크탑에 원격으로 액세스할 수 있도록 하는 Windows 유틸리티입니다. RDP를 비활성화하면 원격 공격으로부터 시스템을 보호할 수 있습니다.
보안은 항상 기업과 직원들의 공동 책임입니다. 따라서 항상 시스템 및 네트워크 보안, 위협 평가, 그리고 각자 사이버 범죄 및 랜섬웨어 퇴치를 위해 해야 하는 역할에 관한 정기적이고 업데이트된 직원 교육을 수행해야 합니다.
악성 코드 작성자들은 취약점이 알려져 있는 오래된 소프트웨어를 실행하는 사람들로부터 사적인 이익이나 금전적 이익을 취하고자 합니다. 정기적으로 소프트웨어를 업데이트하면 이러한 잠재적 공격의 기회를 현저히 줄일 수 있습니다. 일부 벤더가 긴급 업데이트와 함께 정기적인 보안 업데이트를 릴리스하는 이유이기도 합니다.
자동 업데이트를 사용하거나 벤더 웹사이트에 방문하여 업데이트를 얻을 수도 있습니다. 공격자 역시 본인의 소프트웨어를 업데이트 알림으로 위장하곤 한다는 점에도 유의하십시오.
소프트웨어 방화벽과 악성 코드 방지 소프트웨어를 모두 사용하면 잠재적인 보안 위협이나 의심스러운 동작을 식별해낼 수 있습니다. 악성 코드 개발자들이 랜섬웨어 탐지를 피하려고 새로운 변종을 전송하므로 이 두 가지 방어 계층이 모두 필요힙니다.
대부분의 악성 코드 유형은 원격 명령을 통해 실행됩니다. 사용자의 보안 소프트웨어를 통과한 새로운 랜섬웨어 변종을 발견한 경우라도 해당 변종이 명령 및 제어(C&C, Command and Control) 서버와 원격으로 연결하려고 시도할 때 방화벽을 통과하지 못할 가능성이 큽니다.
무단 액세스를 막는 데 도움이 될 몇 가지 랜섬웨어 방지 단계가 있습니다. 이러한 보안 프랙티스를 통해 방어 체계를 강화하고 모든 종류의 사이버 공격으로부터 보호받을 수 있습니다. 예를 들면 다음과 같습니다.
아래와 같은 계약자 또는 직원에 대해서는 특정 제한을 두는 것이 좋습니다.
시스템에 액세스할 수 있는 권한을 보유한 특정 사용자나 직원, 계약자라면 누구라도 공격자의 취약점으로 이용될 수 있습니다. 직원 이직, 부적절한 제한, 비밀번호 업데이트 실패 등으로 인해 랜섬웨어 차단 기능이 더 취약해지고 공격 위험이 커질 수 있습니다.
통합적인 보호를 확보하기 위해서는 다각적인 탐지 시스템을 마련해야 합니다. 여기에는 사용자 시스템에 대한 엔드포인트 보호, 침입 탐지, 서버용 엔터프라이즈 바이러스 차단, 알려진 악성 코드 탐지, 이벤트 상관성을 위한 중앙 로깅, 네트워크 포트 모니터링, 데이터 패턴 탐지 등이 포함되어야 합니다.
악성 활동을 빠르게 탐지하면 이러한 활동이 확산되어 추가 피해를 일으키기 전에 즉시 억제할 수 있습니다. 감염된 시스템은 즉시 격리되어 문제 해결 및 복구되어야 합니다. 경우에 따라 대응이 늦어 데이터가 잠길 때까지 시스템이 랜섬웨어 공격을 제대로 포착하지 못할 수도 있습니다. 백업조차 손상되어 쓸모없게 되는 경우도 있습니다.
따라서 시스템 관리자는 탐지 단계에서 경계를 게을리하지 말고 신속하게 억제 조치를 시작하여 공격을 중지시키고 암호화된 데이터를 복원할 수 있어야 합니다. 그밖에 시스템 관리자는 공격을 탐지하고 랜섬웨어를 차단하는 데 도움이 될 효과적인 타사 툴을 설치해야 합니다.
안타깝게도 사이버 보안은 100% 확신할 수 없습니다. IT 부서가 랜섬웨어 탐지 및 차단 조치를 아무리 잘 수행하더라도 때때로 공격이 성공하며, 그러면 해당 조직은 복구 절차를 거칠 수 밖에 없습니다.
랜섬웨어 복구 시간은 공격의 확산 범위 및 그에 대한 대비 수준에 따라 달라집니다. 몇 개의 파일이 암호화되는 수준부터 사이트 전체의 데이터가 사라지는 수준까지 어떤 규모에서든 가장 중요한 데이터가 표적이 되는 것이 일반적입니다. 이에 따라 프로세스 전반에서 재해 복구 절차와 툴이 사용되고 테스트됩니다.
효과적인 랜섬웨어 방어책은 결국 교육에 달려 있습니다. 기업은 소프트웨어 업데이트와 자동화된 데이터 백업을 위해 가장 적절한 옵션이 무엇인지 시간을 들여 자세히 알아 보아야 합니다. 무엇보다 보안 위협이나 공격의 징후, 그리고 배포 전술(스푸핑된 웹사이트, 드라이브 바이 다운로드, 피싱 공격 등)에 관해 직원들을 철저히 교육해야 합니다. 이러한 지식을 바탕으로 랜섬웨어에 대한 방어에 모두 협력할 수 있기 때문입니다.
또한 보안 솔루션을 구현하여 수준 높은 보안 위협 방지책을 실행해야 합니다. EDR(Endpoint Detection and Response) 툴은 네트워크 및 엔드포인트의 활동을 모니터링하여 보안 위협을 식별, 방지, 완화하는 데 적합한 툴입니다. NetBackup 툴도 랜섬웨어와 기타 공격을 탐지하여 차단하는 데 큰 도움이 됩니다.
랜섬웨어 정리 및 차단 툴에는 세 가지 유형이 있습니다. 첫 번째는 바이러스 제거 툴로, 보안 사고 발생 후 데이터를 복원하기 전에 먼저 감염이 제거되었다는 인증이 필요한 시스템을 위한 것입니다. 이 기능은 주로 사용되는 바이러스 차단 프로그램에서 볼 수 있습니다.
첫 번째는 바이러스 제거 툴로, 보안 사고 발생 후 데이터를 복원하기 전에 먼저 감염이 제거되었다는 인증이 필요한 시스템을 위한 것입니다. 이 기능은 주로 사용되는 안티바이러스 프로그램에서 볼 수 있습니다.
두 번째 범주는 암호 해독 툴로 구성되며, 공격이 성공적으로 감행되었을 때 시작됩니다. 안타깝게도, 이러한 툴은 제한적이며 공격자의 개별 키 데이터베이스를 포착한 후 복구하는 연구자들을 의지하는 상황입니다.
세 번째는 랜섬웨어 차단 툴입니다. 행동 분석을 사용하여 시스템에서 랜섬웨어의 출현을 암시하는 이벤트를 발견하고 실제 손상이 발생하기 전에 중간에 이를 차단하는 것입니다.
현재 기준으로 가장 우수한 랜섬웨어 차단 및 복구 툴로는 Veritas NetBackup Appliance, Trend Micro 잠금 화면 툴, Avast 툴, BitDefender, Kaspersky 툴, Lab 복호화 툴, AVG 복호화 툴, Webroot SecureAnywhere 툴, Malwarebytes, McAfee Interceptor Review, No More Ransom, CryptoPrevent 등을 꼽을 수 있습니다.
실제 사례를 사용하여 랜섬웨어 차단 툴의 효과를 테스트하는 것은 매우 까다로운 일입니다. 더욱이 일부 툴은 과거의 보안 사고에 맞춰 특화된 것으로 현재는 해당 공격이 발생하지 않을 수 있습니다.
이러한 툴의 효과를 테스트하는 가장 좋은 방법은 사용자의 시스템 환경과 동일하면서 실제 네트워크 액세스는 없는 가상 시스템(VM)을 설치하는 것입니다. 여기에서 다양한 공격 상황을 테스트하고 백업(예: Veritas NetBackup Appliance)의 복원 지점을 사용하여 그 효과를 점검할 수 있습니다.
최근 몇 년간 시스템을 표적으로 하는 크립토 랜섬웨어가 유행하고 있습니다. 적절한 랜섬웨어 차단 툴과 훈련이 없다면 조만간 몸값을 요구받게 되고, 이 경우 플러그를 뽑아 더 이상의 손상을 막기에는 너무 늦어버립니다. WannaCry/NotPetya 같은 여러 변종이 출현하면서 고도로 분산된 공격이 얼마나 광범위한 피해를 입힐 수 있는지 알게 되었습니다.
현재 바이러스 차단 프로그램을 사용하여 일부 랜섬웨어 유형을 탐지 및 차단하고 있지만(주로 의심스러운 행위를 감시), 올바른 백업 유형을 확보하는 것이야말로 다양한 악성 코드 공격을 차단하는 최고의 방법일 것입니다. Veritas NetBackup Appliance가 제공하는 다양한 제품을 사용하여 공격을 예방 및 탐지하고 데이터를 복구할 수 있습니다.
베리타스 고객 중에는 Fortune지 선정 100대 기업의 95%가 포함되며 NetBackup™은 대규모 데이터를 백업하려는 기업에게 선택 1순위의 제품입니다.
가상, 물리적, 클라우드 및 레거시 워크로드에서 데이터를 완벽하게 보호하는 베리타스의 방식이 궁금하다면, 엔터프라이즈 비즈니스를 위한 데이터 보호 서비스에서 확인하십시오.