랜섬웨어 현황, 대응방안과 전망

JiranSecurity

2016년 상반기 보안업계의 키워드를 하나만 꼽으라면 단연 ‘랜섬웨어’를 꼽을 수 있습니다. 작년 하반기부터 본격 등장한 랜섬웨어는 올해 들어 더욱 기승을 부렸고 이에 모든 보안 업체, 고객 기업사들이 ‘랜섬웨어’에 민감하게 대응하는 모습이었는데요, 상반기 랜섬웨어가 가져온 영향과 향후 전망 그리고 기업들의 대응 방안까지 정리했습니다.

랜섬웨어 현황

랜섬웨어 피해규모

전세계적으로 랜섬웨어 피해가 급증하기 시작한 것은 2015년 10월로, 이 시점부터 이메일을 통해 유입되는 악성 URL, 멀웨어의 탐지가 급격하게 증가하기 시작했습니다. 한 보안업체의 조사에 따르면 2015년 9월에는 100만건에도 미치지 않던 악성 이메일이 2015년 12월 중순에는 약 3,500만건까지 급증하는 모습을 보였습니다.

악성이메일그래프
출처 : Proofpoint

이렇게 유입된 랜섬웨어에 감염된 사례는 2015년 국내에만 53,000건으로 약 1,090억원 규모의 피해를 유발했고, 2016년에는 약 3배 규모로 증가해 약 150,000건의 피해사례, 3,000억원 규모의 피해액이 발생할 것으로 예상되고 있습니다.

반면 랜섬웨어에 대한 기업 설문조사에서 약 46% 응답기업이 외부 평판 혹은 재무적 손실을 우려해 ‘랜섬웨어에 걸려도 외부에 알리지 않을 것’이라고 답해 실질적인 피해 규모는 이보다 더욱 클 것으로 유추됩니다.

랜섬웨어 급부상의 배경

랜섬웨어가 이렇게 급작스럽게 성장(?)한 배경에는 첫번째로 IT 기술 발전이 있습니다. IT 발전으로 해킹툴이 고도화될 뿐 아니라, RaaS(Ransom as a Service)라는 개념의 랜섬웨어 제작 판매 서비스까지 등잘할 만큼 보편화되면서 해커들의 활동이 더욱 기승을 부리게 되었습니다.

두번째는 디지털 정보자산의 가치 성장입니다. 영세한 기업까지 모든 업무 자료가 디지털화가 되어있을 만큼 종이 문서가 디지털화된 지식 정보를 대체할 수 없는 IT 시대에서 디지털 자료와 인프라는 비즈니스의 가치는 곧 기업 그 자체라고 할 수 있습니다. 따라서 문서를 암호화하는 랜섬웨어는 기업 업무를 마비시킬 만큼의 영향력을 갖고 있기 때문에 랜섬, 즉 인질에 대한 금전적 대가가 점차 높아지고 있습니다.

마지막은 비트코인의 등장입니다. 비트코인은 온라인상에서 자유로운 금전 거래가 가능함과 동시에 추적이 불가능한 거래수단으로, 해커들의 거래에 악용되고 있습니다. 이에 기존에는 해킹을 통해 정보를 수집하고, 이를 암시장에서 현금화하는 방식이었다면, 최근에는 랜섬웨어를 유포하고 일반인들을 대상으로 직접적인 현금을 취득하는 등 해킹 패러다임까지 변화했다고 볼 수 있습니다.

 –
 –

랜섬웨어 히스토리

랜섬웨어 현존하는 랜섬웨어는 총 30종 이상이 존재하는 것으로 알려져있지만, 그 공통된 뿌리는 ‘크립토락커’라고 볼 수 있습니다. 랜섬웨어 트로이목마인 크립토락커는 2013년 본격적으로 등장한 것으로 파악되고 있습니다. 초기에는 주로 이메일 첨부파일 등을 통해 유포되다가, 최근에는 인터넷 익스플로러, 플래시 등의 취약점을 이용해 배포되는 추세입니다. 크립토락커는 이후 크립토월, 토렌트락커 등의 변종 형태로 진화해 계속해서 위세를 떨치고 있고 특히 한글화 버전, 서비스 형태로 제공되는 RaaS(Ransomware as a Service) 등 더욱 조직화되고 치밀해지는 모습입니다.

흥미로운 점은 랜섬웨어에도 형태가 있다는 점입니다. 앞서 언급한 바와 같이 랜섬웨어의 공통된 뿌리인 크립토락커에서 변형된 랜섬웨어들은 암호화 대상, 배포 방식, 요구대가 등에 따라 크게 락커(Locker), 크립토(Crypto) 2개 계열로 구분해볼 수 있습니다. 우선 락커 계열은 사회공학기법을 활용하거나 기관 등을 사칭해 시스템 자체를 잠그는 랜섬웨어로, 사용자에게 ‘벌금’ 명목의 대가를 요구합니다. 반면 크립토 계열은 특정 혹은 전체 파일을 암호화시키고, 사용자로 하여금 복호화 ‘비용’의 명목으로 대가를 요구합니다. 최근 토렌트 등을 통해 일반인들을 대상으로 무작위 유포되는 랜섬웨어는 후자인 크립토 계열에 가깝다고 볼 수 있습니다.

랜섬웨어현황대응방안과전망

 랜섬웨어 대응방안

1단계 : 백업 및 복구 · 공유네트워크 차단

백업은 랜섬웨어 공격 유입시 외에도 상시 가능한 대응 방안 중 하나이며, 백업/복구에서 그치지 않고 백업 데이터에 대한 멀웨어 스캐닝, 데이터 무결성 테스트 등을 지속수행해야 합니다.

2단계 : 이메일 및 엔드포인트 보안 · 가상화 · 보안인텔리전스

– URL/샌드박스 방식 : 첨부파일, 메시지 등에 삽입된 활성코드를 분석함으로써 위험요소 제거. 콘텐츠 무해화(CDR)을 보완책으로 함께 사용하는 경우 많음
– 콘텐츠 무해화 방식(CDR) :
‘Content Disarm & Reconstruction’으로 파일 원본 형태를 변형시키기 때문에 업무 생산성에 저하가 있을 수 있음. 또한 고도화된 공격은 URL, 첨부 등을 포함하지 않고 유입될 수 있어 탐지가 어려울 수 있음.

3단계 : 위협 파악 및 시나리오에 따라 대응

랜섬웨어 공격이 발생했을 시 리스크 및 법적 대응 등에 대한 시나리오를 사전에 수립해야 하며, 이메일 포함 다양한 커뮤니케이션 채널로 유입되는 소셜공학 공격에 대한 임직원 교육이 필수적입니다.

랜섬웨어 전망

랜섬웨어현황대응방안과전망 2랜섬웨어 유포툴로서 이메일 활용 지속

이메일은 P2P 사이트 등과 함께 랜섬웨어 유포툴로 가장 빈번하게 사용되는 채널입니다. 2020년까지도 이메일은 랜섬웨어 타겟 공격의 최우선 툴로 활용될 것이며, 일반 소비자 대상 공격 툴로도 가장 흔하게 사용될 것으로 전망됩니다.

랜섬웨어현황대응방안과전망 3

새로운 플랫폼·형태로 확산

랜섬웨어 공격은 더 다양한 플랫폼으로 확산될 것으로 예상됩니다. 현재 윈도우에서 안드로이드, Mac, IoT와 같은 신규 플랫폼 또한 공격대상이 될 수 있으며, 따라서 웹 취약점, .exe 실행파일, 안드로이드 .apk 파일 등 다양한 루트로 배포될 것으로 전망되고 있습니다.

랜섬웨어현황대응방안과전망 4

랜섬웨어 복호화대가 상승

랜섬웨어 복호화 요구 비용은 점차 상향될 것으로 전망됩니다. 현재 랜섬웨어 복호화 비용은 평균 200~500달러 수준이나, 랜섬웨어에 의한 피해가 커질수록 해커들에게 더 좋은 수익모델이 되기 때문에 지속적으로 기술이 진화하고 암호화가 강력해져 복호화 대가 또한 10,000달러 이상까지 상승할 것으로 예상됨.

랜섬웨어현황대응방안과전망 5 병원 등 타겟팅된 대상 공격 증가

타겟화된 랜섬 공격이 증가할 것으로 예상됩니다. 특히 피해에 대한 리스크가병원, 공공기관 등의 정보를 타겟으로 하는 것이 빠른 시간 내에 보상 받기에 용이하기 때문에 해당 기관들의 주의가 요구됩니다.

최근 정치적 목적의 보안위협도 증가하고 있지만, 대부분의 보안위협은 기본적으로 금전 목적으로 자행된다는 점에서 랜섬웨어 공격은 점차 더 상업화, 고도화될 것으로 보입니다. 기업에 즉각적인 금전적/시스템적 피해를 가져올 수 있다는 점에서 랜섬웨어 대응을 위한 예방책을 소모성이 아닌 보험으로 인식해야 하며, 랜섬웨어는 공격에 대한 실시간 보안 외 사후 대응에 따라 피해 규모를 축소시킬 수도 있기 때문에 공격 사후 대응책을 수립하는 것이 중요합니다.


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd
목록