워너크라이 사태와 랜섬웨어의 진화

‘끝날 때 까지 끝난 게 아니다’, 지난 12일 대대적인 공격을 통해 전세계 컴퓨터를 감염시키며 랜섬웨어 공포를 몰고 왔던 워너크라이(WannaCry) 랜섬웨어 또는 워너크립트(WanaCrypt) 랜섬웨어(이하 워너크라이)가 2차 공격을 예고하며 다시 사용자들을 불안에 떨게 하고 있습니다. 이미 많은 포스팅(최신 랜섬웨어 관련 포스팅: http://mi.jiransecurity.com/3017)에서 다뤘듯 랜섬웨어는 최근 몇 년간 주요 정보보안 위협이었기 때문에 많은 이들이 이미 그 위험성에 대해 알고 있는 바 인데요, 이번 워너크라이가 이렇게 갑자기 큰 이슈가 된 이유는 무엇일까요?

 

워너크라이에 왜 전세계 패닉됐나?

 

워너크라이는 12일 등장과 동시에 전세계에 빠르게 퍼져 국내에도 그 다음날 바로 피해사례와 주의사항 등이 보도되었을 만큼 강력한 파급력을 보였습니다. 지란지교시큐리티에서 발행한 워너크라이 관련 인포그래픽에서 볼 수 있듯이 워너크라이는 전세계적으로 150여개국 약 20만대 이상의 PC를 감염시키며 피해를 입혔고 지금도 계속해서 감염사례는 늘어나고 있을 것으로 예상됩니다.

wannacry
출처 : 지란지교시큐리티

여타 랜섬웨어와 달리 워너크라이가 이렇게 빠른 속도로 피해가 확산되며, 전세계적 이슈가 된 이유는 무엇이었을까요? 질문에 대한 답을 크게 3가지 정도의 키워드로 정리해볼 수 있을 것 같습니다.

 

#1 윈도우 OS 취약점 노린 랜섬웨어

워너크라이는 윈도우 OS의 데이터 송수신 프로토콜인 SMB취약점을 노린 최초의 랜섬웨어라는 점과, 악성코드 실행파일을 실행할 경우 랜섬웨어에 감염되었던 기존 랜섬웨어와 달리 워너크라이는 네트워크에 접속하는 것만으로도 감염될 수 있다는 점이 더욱 큰 충격을 가져왔습니다.

 

#2 NSA(미 국가안보국)

또 논란이 된 것은 워너크라이 제작 배경에 NSA에서 유출된 해킹 툴이 있었다는 주장 때문입니다. 워너크라이 제작 배후로 알려진 해커 조직 ‘더 섀도 브로커스’는 NSA비밀 공개와 함께 관련 정보 및 취약점, 해킹 툴을 판매하겠다고 발표한 바 있습니다. 이로 인해 미 NSA에 대한 불신이 커지고 있으며, 윤리적 측면에서 국가 조직의 해킹 툴 보유, 사용에 대한 비판이 일기도 했습니다.

 

#3 2차 공격

워너크라이 공격이 소강 상태에 접어드는 것으로 보이지만, 아직 안심하기는 이르다는 의견이 대다수입니다. 이미 워너크라이 제작에 사용된 NSA 취약점이 7가지나 적용된 ‘이터널룩스’라는 네트워크 웜이 발견되면서, 워너크라이를 잇는 새로운 웜이나 랜섬웨어 공격이 이어질 가능성이 제기되기도 했습니다. 이에 국내에서도 미래부가 관계기관 대책회의 및 민관 공조 대응체계를 마련하는 등 워너크라이 변종에 대한 대책 마련에 집중하고 있습니다.

 

결과적으로 워너크라이가 벌어들인 수익(?)은 약 8000만원에 조금 못 미치는 액수로 피해 규모에 비하면 그렇게 크지 않은 수준이라고는 합니다. 하지만 워너크라이로 발발한 랜섬웨어 공포는 당분간 계속 이어질 전망인데요, 진화한 워너크라이를 통해 사태를 계기로 랜섬웨어 위협이 다시 한번 조명되고 있습니다. 그렇다면 랜섬웨어는 어디까지 진화했을까요? 랜섬웨어의 현황에 대한 설문조사 결과를 통해 빠르게 진화하는 랜섬웨어의 현황에 대해 살펴보겠습니다.

 

 

Q&A를 통해 살펴보는 랜섬웨어의 현주소

 

기업들이 실제로 체감하는 랜섬웨어의 현황과 진화 수준을 살펴보기 위해 1000개 이상의 글로벌 IT 서비스 기업을 대상으로 진행된 Datto의 ‘2016 Ransomware State of the Union Survey’ 내용을 참고했습니다.

(* 2016년 3분기 진행, IT 서비스 업체 1,034개 응답 결과 기준)

 

Q. 가장 보편적인(유포, 감염, 다운로드 등) 랜섬웨어는?

 

wannacry2
출처 : Datto

우선 시시각각 진화하고 있는 랜섬웨어는 2013년 크립토락커(CryptoLocker)의 등장으로 확산이 본격화되었습니다. 그 이후로 2016년에는 약 100개의 신종 랜섬웨어가 생겨날 만큼 많은 변종이 발생했는데요, 그럼에도 불구하고 가장 많은 비중을 차지하는 랜섬웨어는 크립토락터 계열의 랜섬웨어라고 합니다. 그 외에도 Locky, TeslaCrypt, CBT Locker 등 다양한 랜섬웨어가 존재하고 있습니다.

 

 

 

 

 

 

Q. 랜섬웨어 감염 빈도 추세와 주요 감염경로는?

 

wannacry3

출처 : Datto

wannacry4

 

랜섬웨어 감염 경로는 크게 두가지 정도로 나뉘는데, 첫번째는 이메일을 통한 유입, 두번째는 감염된 웹사이트를 통한 2차 감염입니다.

여전히 이메일은 개인, 회사를 망라하고 외부와 커뮤니케이션에 있어서 가장 중요한 툴 중 하나입니다. 특히 이메일에는 드롭박스나 다른 클라우드 서비스에서 다운로드할 수 있는 파일링크 혹은 매크로 포함한 오피스 문서 등을 첨부하는 경우가 많은데 이는 멀웨어 유포에 가장 좋은 방법으로 활용되고 있습니다. 이 외에 .wsf, .lnk 등에 포함된 스크립트 코드(자바스크립트, VBS, 파워쉘), .zip, .rar 등 암호화된 압축파일도 랜섬웨어의 주요 감염경로로 클릭이나 다운로드, 실행에 사용자의 주의가 필요합니다.

감염된 웹사이트도 마찬가지로 사용자가 주의하지 않으면 쉽게 랜섬웨어에 감염될 수 있는 루트가 됩니다. 최근 웹 취약점 툴킷(Rig, Magnitude, VIP 등), 멀버타이징 등을 활용한 랜섬웨어 유포가 빈번하기 때문에 의심스러운 웹사이트라면 최대한 방문을 자제하는 것이 좋습니다.

 

Q. 랜섬웨어 감염시 네트워크 통한 확산 여부?

 

wannacry5
출처 : Datto

또 워너크라이가 급속도로 확산되었던 것처럼 최근 60% 이상의 랜섬웨어는 특정 PC나 서버에 감염시 네트워크를 통해 확산되는 성향을 갖고 있어 피해가 더욱 커지는 추세인 것으로 나타났습니다. 랜섬웨어 파일이 실행된 PC에만 영향을 미치고 마는 제한적인 감염이 아니기 때문에 최초 방어가 더욱 중요해지는 이유라고 할 수 있습니다.

 

 

Q. 어떤 OS에서 랜섬웨어가 감염된 것을 본 적이 있는지?

 

wannacry9
출처 : Datto

랜섬웨어의 주요 타겟이 되는 OS는 여전히 MS Windows가 절대적으로 높은 비중을 차지하고 있었습니다. 하지만 최근 나타나는 일부 랜섬웨어 중 OS X, 리눅스, 안드로이드 등 기존에는 타겟이 되지 않았던 OS 기반의 디바이스를 감염시키는 사례가 발생하고 있어 사용자들은 물론 관련 플랫폼을 기반으로 하는 벤더들 또한 경계를 늦출 수 없는 상황입니다.

 

 

Q. 최근 직/간접적으로 접한 랜섬웨어 감염사례는 어떤 산업군에서 발생했는지?

 

그렇다면 랜섬웨어의 주요 타겟이 되는 산업군은 무엇일까요? 모든 산업군이 랜섬웨어의 타겟이 되고 있는 상황이지만, 그 중에서도 랜섬웨어 감염사례 발생이 가장 많은 산업군은 역시 데이터가 중요한 전문 서비스 분야(44%)였고, 환자의 생명과 직결되는 의료 정보를 다루는 보건 의료 분야(38%), 도면 혹은 제조법 등의 노하우 관련 자료를 보유하고 있는 건설 제조업(33%)이 뒤를 이었습니다.

wannacry6
출처 : Datto

 

중요 자료를 다루는 산업군 뿐 아니라 비영리단체, 교육 등 예산 부족 혹은 인력 부족 등으로 정보보안 대책이 미비한 산업군도 타겟이 되는 비중이 높아 모든 산업군이 랜섬웨어에 대한 경각심을 더욱 높여야 할 것으로 나타났습니다.

이렇게 쉽게 확산되는 랜섬웨어는 사회 곳곳에 영향을 미치고 있고, 랜섬웨어의 감염 대상과 그 사례도 점차 다양해지고 있습니다. 아래는 다양해지는 랜섬웨어 감염 사례입니다. 파일을 암호화한 후 대가를 요구하는 가장 보편적인 방식에서 서비스를 이용하지 못해게 하거나, 피해자가 유포되길 원치 않는 콘텐츠를 인질로 삼는 등 인질의 종류와 인질을 확보하는 방식도 끊임없이 변화하고 있습니다.

wannacry7

 

랜섬웨어의 진화 방향

 

랜섬웨어는 무서운 속도로 진화하고 있습니다. Business Wire에 따르면 2021년까지 랜섬웨어 대응 시장(유관 솔루션, 서비스, 어플리케이션 등 모두 포함)이 약 170억 달러(약 18조 7천억원) 규모까지 성장할 전망이라고 하니, 그만큼 랜섬웨어에 효과적으로 대응하기 위한 노력도 더욱 확대될 것으로 보입니다.

2016년에는 새로운 타겟을 노리거나 사회공학적인 금전 요구 방식을 더한 랜섬웨어가 출현했습니다. 전세계 20만개 이상의 기업에서 사용되는 전자결제 시스템인 Magento를 노리는 Kimcilware 랜섬웨어, 가상머신을 우회하는 랜섬웨어 등과 랜섬웨어가 비즈니스화된 RaaS(Ransomware as a Services)의 등장, 파일명에 따라 중요성을 판단하고 그에 맞는 대가를 책정, 요구하는 Phantom 랜섬웨어 등이 대표적입니다.

문서 파일을 암호화하고 대가를 요구하는 방식이 보편적이지만, 향후 랜섬웨어가 진화함에 따라 노리게 될 수 있는 정보는 더욱 다양해 질 것으로 보입니다. 특히 개인의 사적인 데이터를 탈취해 온라인 업로드를 빌미로 금전을 요구하거나, 무작위 파일 삭제, 비밀번호와 비트코인 지갑 탈취, 암호화된 파일의 이중 암호화, 바이러스 확산을 위한 클라우드 스토리지 공유, 복호화를 대가로 한 다른 유저 감염 요구 등 인질로 삼는 대상 종류가 다양해질 뿐 아니라 요구하는 몸값도 단순 금전을 넘어 피해를 확산시킬 수 있는 새로운 유형의 대가를 요구하며 사회공학적으로 더욱 교묘해질 것으로 전망됩니다.

 

wannacry7

 

워너크라이의 공세가 수그러들긴 했지만 혹시 모를 추가 피해 확산을 방지하기 위해서는 주기적인 보안 업데이트와 함께 아래 인포그래픽으로 정리된 대응 수칙을 참고해 개별 PC에 보안 조치를 취해야 합니다. 또 기업 차원에서는 만일의 사태를 대비해 백업 시스템을 구축하거나 문서 중앙화 등의 솔루션을 통해 상시 대비해야 합니다.

 

wannacry8
출처 : 지란지교시큐리티

 

이제 더이상 랜섬웨어는 전형적으로 기업의 문서를 암호화하고 금전 요구하는 형태에 머무르지 않습니다. 수익성만 높다면  타겟을 구분하지 않고 개개인에 대한 영향력을 확대해나가고 있습니다. 끊임없이 진화하는 랜섬웨어으로 인한 추가 피해 확산을 방지하기 위해서는 경각심을 갖고 개인이 할 수 있는 모든 보안 조치, 기업에서 취할 수 있는 모든 보안 대책을 수립해  대비해야 할 것입니다.


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd

목록