랜섬웨어란?

랜섬 웨어는 피해자가 공격자에게 몸값을 지불할 때까지 데이터 또는 컴퓨터 시스템에 대한 액세스를 암호화하여 공개하겠다고 위협하거나 액세스를 차단하는 악성 소프트웨어(멀웨어)의 일종입니다. 대부분의 경우 몸값 요구에는 기한이 정해져 있습니다. 피해자가 제때 몸값을 지불하지 않으면 영원히 데이터가 사라지거나 몸값이 증가합니다.

랜섬웨어 공격은 아주 흔한 일이 되었습니다. 북미와 유럽의 주요 기업들이 모두 이 공격의 희생양이 되었습니다. 사이버 범죄자는 업종을 가리지 않고 모든 소비자 또는 비즈니스를 공격합니다.

FBI를 비롯한 여러 정부 기관은 노 모어 랜섬 프로젝트(No More Ransom Project) 와 마찬가지로 랜섬웨어 악순환을 막기 위해 몸값을 지불하지 말라고 조언합니다 . 또한 몸값을 지불한 피해자의 절반은 시스템에서 랜섬웨어를 제거하지 않은 경우 반복된 랜섬웨어 공격으로 고통받을 가능성이 높습니다.

랜섬웨어의 1989년 "에이즈 바이러스"가 랜섬웨어 수신자로부터 금전을 갈취하는 데 사용되었던 때로 거슬러 올라갑니다. 당시 공격에 대한 지불금은 우편으로 파나마로 보내졌으며, 이때 암호 해독 키가 사용자에게 다시 전송되었습니다.

1996년 컬럼비아 대학교의 모티 융(Moti Yung)과 애덤 융(Adam Young)은 "크립토 바이러스 갈취(cryptoviral extortion)"로 알려진 랜섬웨어를 소개했습니다. 이 아이디어는 학계에서 탄생했으며 현대 암호화 도구의 발전, 강점 및 탄생을 보여주었습니다. 모티 융과 애덤 융은 1996년 IEEE 보안 및 개인정보 보호 컨퍼런스에서 최초의 암호화된 바이러스 공격을 발표했습니다. 이들의 바이러스는 공격자의 공개 키가 포함되어 있었고 피해자의 파일은 암호화했습니다. 그런 다음 이 악성 코드는 피해자가 공격자에게 비대칭 암호문을 전송해 해독하고 암호 해독 키를 비용으로 다시 지불하도록 유도했습니다.

지난 몇 년 동안 공격자들은 사이버 범죄자들이 익명을 유지할 수 있도록 추적이 거의 불가능한 지불을 요구하는 창의적인 방법으로 성장했습니다. 예를 들어 악명 높은 모바일 랜섬웨어인 Fusob은 피해자가 달러 같은 표준 통화 대신 애플의 아이튠즈 기프트 카드를 사용하여 지불하도록 요구합니다.

랜섬웨어 공격은 비트코인과 같은 암호화폐의 성장과 함께 인기가 급증하기 시작했습니다. 암호화폐는 암호화 기술을 사용하여 거래를 확인하고 보호하며 새로운 단위 생성을 제어하는 ​​디지털 통화입니다. 비트코인 외에도 이더리움, 라이트코인, 리플처럼 공격자가 피해자에게 사용하도록 유도하는 인기 있는 기타 암호 화폐가 있습니다.

랜섬웨어는 거의 모든 분야에서 조직을 공격했으며 가장 유명한 바이러스 중 하나는 장로교 기념 병원에 대한 공격입니다. 이 공격은 연구실, 약국, 응급실을 감염시키며 랜섬웨어의 잠재적 피해와 위험성을 강조했습니다.

사회 공학 공격자는 시간이 지남에 따라 더욱 혁신적이 되었습니다. 가디언지는 새로운 랜섬웨어 피해자가 두 명의 다른 사용자에게 링크를 설치하고 파일을 해독하기 위해 몸값을 지불하도록 요청 받은 상황에 대해 작성했습니다.

랜섬웨어 유포가 증가함에 따라 점점 더 복잡한 랜섬웨어 공격이 발생했습니다.

• 스케어웨어(Scareware): 이 일반적인 유형의 랜섬웨어는 피해자의 컴퓨터에서 멀웨어가 감지되었다고 주장하는 가짜 경고 메시지를 표시하여 사용자를 속입니다. 이러한 공격은 종종 존재하지 않는 멀웨어를 제거하기 위해 비용을 요구하는 바이러스 백신 솔루션으로 위장합니다.
• 스크린 락커(Screen lockers): 이 프로그램은 피해자의 컴퓨터를 잠그고 파일이나 데이터에 액세스하지 못하도록 설계되었습니다. 일반적으로 잠금 해제를 위해 돈을 지불하라는 메시지가 표시됩니다.
• 암호화 랜섬웨어(Encrypting ransomware): "크립토 랜섬웨어"라고도 불리는 이 일반적인 랜섬웨어는 피해자의 파일을 암호화하고 암호 해독 키를 받는 대가로 금전을 요구합니다.
• DDoS 갈취: 분산 서비스 거부(Distributed Denial of Service) 갈취는 금전을 지불하지 않으면 피해자의 웹사이트나 네트워크에 DDoS 공격을 시작하겠다고 위협합니다.
• 모바일 랜섬웨어: 이름에서 알 수 있듯이 모바일 랜섬웨어는 스마트폰 및 태블릿과 같은 기기를 표적으로 삼아 기기 잠금을 해제하거나 데이터를 해독하기 위해 금전을 요구합니다.
• 독스웨어(Doxware): 흔하지는 않지만 정교한 유형의 랜섬웨어로 금전을 지불하지 않는 한 피해자의 컴퓨터에서 민감하고 노골적인 기밀 정보를 공개하겠다고 위협합니다.
• RaaS(서비스형 랜섬웨어): 사이버 범죄자는 다른 해커 또는 사이버 공격자에게 랜섬웨어 프로그램을 제공하고 이러한 프로그램을 사용하여 피해자를 표적으로 삼습니다.

이들은 랜섬웨어의 가장 일반적인 유형 중 일부에 불과합니다. 사이버 범죄자는 사이버 보안 전략에 적응함에 따라 취약점을 악용하고 컴퓨터 시스템을 침해하기 위한 새롭고 혁신적인 방법을 사용하고 있습니다.

아래의 주요 랜섬웨어 사례에 대해 학습함으로써 조직은 전술, 착취, 특성에 관해 탄탄한 기반을 구축할 수 있습니다. 랜섬웨어 코드, 대상, 기능은 계속해서 변화하고 있지만 공격 혁신은 일반적으로 점진적으로 이뤄집니다.

• 워너크라이(WannaCry): 강력한 Microsoft 익스플로잇을 활용해 전 세계 25만 대 이상의 시스템을 감염시킨 랜섬웨어 웜이 확산되면서 이를 막기 위해 킬 스위치가 생성되었습니다. Proofpoint는 킬 스위치를 찾는 데 사용된 샘플을 식별하고 랜섬웨어를 디코딩하는 데 참여했습니다. 워너크라이를 막는 데 참여한 Proofpoint의 역할에 대해 자세히 알아보세요.
• 크립토락커(CryptoLocker): 크립토락커는 금전 지불로 암호화폐(비트코인)를 요구하는 초기 단계 최신 랜섬웨어로 사용자의 하드 드라이브와 연결된 네트워크 드라이브를 암호화합니다. 크립토락커는FedEx 및 UPS 추적 알림이라고 주장하는 첨부 파일이 포함된 이메일을 통해 확산되었습니다. 그러나 다양한 보고서에 따르면 크립토라커는 2,700만 달러 이상을 갈취했습니다.
• 낫페트야(NotPetya): 낫페트야는 가장 큰 피해를 입힌 랜섬웨어 공격 중 하나로 간주되며 Microsoft Windows 기반 시스템의 마스터 부트 레코드를 감염시키고 암호화하는 등 페트야라는 이름에서 따온 전술을 활용했습니다. 낫페트야는 워너크라이와 동일한 취약점을 대상으로 비트코인의 지불 요구를 빠르게 확산시켜 변경 사항을 취소했습니다. 일부는 낫페트야가 마스터 부트 레코드에 대한 변경 사항을 취소할 수 없고 대상 시스템을 복구할 수 없도록 렌더링하기 때문에 이를 와이퍼로 분류하기도 합니다.
• 배드래빗(Bad Rabbit): 낫페트야의 사촌으로 간주되며 유사한 코드와 익스플로잇을 사용하여 확산되는 Bad Rabbit은 러시아 및 우크라이나 미디어 회사를 대상으로 하는 것으로 보이는 눈에 띄는 랜섬웨어였습니다. 낫페트야와 달리 배드래빗은 금전을 지불하면 암호 해독을 허용했습니다. 대부분의 경우 드라이브 바이 공격을 통해 사용자에게 영향을 미치는 가짜 플래시 플레이어 업데이트를 통해 유포된 것으로 나타났습니다.
• 레빌(REvil): 레빌은 금전적 동기를 가진 공격자 그룹이 제작했습니다. 이 공격은 암호화하기 전에 데이터를 유출하여 표적이 된 피해자가 몸값을 지불하지 않을 경우 협박하여 돈을 지불하도록 합니다. 이 공격은 Windows 및 Mac 인프라를 패치하는 데 사용되는 손상된 IT 관리 소프트웨어에서 비롯되었습니다. 공격자는 기업 시스템에 레빌 랜섬웨어를 삽입하는 데 사용된 Kaseya 소프트웨어를 손상시켰습니다.
• 류크(Ryuk): 류크는 주로 스피어 피싱에 사용되는 수동 배포 랜섬웨어 애플리케이션입니다. 타깃 대상은 정찰을 통해 신중하게 선택됩니다. 선택한 피해자에게 이메일 메시지가 전송되고 감염된 시스템에서 호스팅되는 모든 파일은 암호화됩니다.

최신 통계에 따라 랜섬웨어 추세는 계속 진화하고 있습니다. 가장 주목할 만한 강력한 몇 가지 트렌드 다음과 같습니다.

• 세계화된 위협 증가
• 더욱 표적화되고 정교해진 공격
• 다단계 갈취 기법의 증가
• 늘어난 랜섬웨어 침해 빈도
• 보안 태세 강화로 랜섬 가격 정체

정부 개입은 랜섬웨어 공격이 처리되는 방식을 바꿀 수 있는 또 다른 주요 트렌드입니다. 가트너는 2025년까지 전 세계 정부의 30%가 랜섬웨어 지불 관련 법안을 제정할 것으로 예상합니다.

랜섬웨어 금전 지불에 대한 평균 할인도 증가하고 있는 것으로 보입니다. 최신 랜섬웨어 동향에 따르면 피해자는 금전 지불 시 20%에서 25% 사이의 할인을 기대할 수 있으며 최대 60% 할인을 받는 경우도 있습니다.

랜섬웨어는 시스템 데이터에 액세스가 차단되거나 차단된 피해자로부터 돈을 갈취하도록 설계된 멀웨어의 일종입니다. 가장 널리 퍼진 두 가지 랜섬웨어 증상은 "인크립터(Encryptor)"와 "화면 잠금 장치(screen lockers)" 입니다. 랜섬웨어 감염 확인법을 통해 알 수 있는 작동 방식은 인크립터는 이름에서 알 수 있듯이 시스템의 데이터를 암호화하여 암호 해독 키가 없으면 콘텐츠를 쓸모 없게 만듭니다. 반면에 스크린 락커는 시스템이 암호화되어 있다면서 화면 "잠금"으로 시스템 액세스를 차단합니다.

그림 1: 피해자를 속여 랜섬웨어를 설치하도록 유도하는 방법

피해자는 종종 몸값 지불을 위해 비트코인 같은 암호화폐를 구입하라는 잠금 화면(인크립토와 스크린 락커 모두) 알림을 받습니다. 몸값을 지불하면 고객은 암호 해독 키를 받고 파일 암호 해독을 시도할 수 있습니다. 여러 곳에서 금전을 지불한 후 암호 해독에 성공한 사례가 다양하게 보고되고 있기 때문에 암호 해독이 보장되는 것은 아닙니다. 때때로 피해자가 키를 받지 못하는 경우도 있습니다. 일부 공격은 금전을 지불하고 데이터가 풀린 후에도 컴퓨터 시스템에 멀웨어를 설치하기도 합니다.

랜섬웨어 암호화는 처음에는 개인용 컴퓨터에 중점을 두었지만 점점 더 기업 사용자를 표적으로 삼고 있는데, 이는 기업이 중요한 시스템의 잠금을 해제하고 일상 업무를 재개하기 위해 개인보다 더 많은 비용을 지불하는 경우가 많기 때문입니다.

기업 랜섬웨어 감염 또는 바이러스는 일반적으로 악성 이메일에서 시작됩니다. 이상한 낌새를 눈치채지 못한 사용자가 첨부 파일을 열거나 악의적이거나 손상된 URL을 클릭합니다.

이때 랜섬웨어 에이전트가 설치되어 피해자 PC의 중요 파일과 첨부된 파일 공유를 암호화합니다. 데이터를 암호화한 후 랜섬웨어는 감염된 기기에 발생한 상황과 공격자에게 금전을 지불하는 방법을 설명하는 메시지를 표시합니다. 피해자가 돈을 지불하면 랜섬웨어는 데이터를 잠금 해제할 수 있는 코드를 제공한다고 약속합니다.

인터넷에 연결된 모든 기기가 다음 랜섬웨어 피해자가 될 수 있습니다. 랜섬웨어는 로컬 디바이스와 네트워크에 연결된 모든 스토리지를 스캔합니다. 즉, 취약한 장치가 로컬 네트워크를 잠재적인 피해자로 만듭니다. 로컬 네트워크가 비즈니스인 경우 랜섬웨어는 중요한 문서와 시스템 파일을 암호화하여 서비스와 생산성을 중단시킬 수 있습니다.

기기가 인터넷에 연결된 경우 최신 소프트웨어 보안 패치로 업데이트해야 하며 랜섬웨어를 탐지하고 중지하는 멀웨어 방지 프로그램을 설치해야 합니다. 더 이상 유지 관리되지 않는 Windows XP와 같은 오래된 운영 체제는 훨씬 더 높은 위험에 노출됩니다.

랜섬웨어의 피해를 입은 기업은 생산성 저하와 데이터 손실로 수천 달러의 손해를 입을 수 있습니다. 데이터에 액세스할 수 있는 공격자는 데이터를 공개하고 데이터 유출을 폭로하겠다고 위협하여 피해자에게 금전을 지불하도록 협박합니다. 빠른 시간 내에 금전을 지불하지 않는 조직은 브랜드 손상 및 소송 같은 추가적인 부작용을 경험할 수 있습니다.

랜섬웨어는 생산성을 멈추기 때문에 첫 번째 단계로 봉쇄를 해야 합니다. 봉쇄가 완료 되면 조직은 백업에서 복원하거나 몸값을 지불할 수 있습니다. 법 집행 기관이 조사에 참여하지만 랜섬웨어 제작자를 추적하려면 조사 시간이 필요하므로 복구가 지연될 수 있습니다. 근본 원인 분석을 통해 취약성을 식별할 수 있지만 복구가 지연되면 생산성과 비즈니스 수익에 영향을 미칩니다.

집에서 일하는 사람들이 늘어남에 따라 공격자들은 피싱을 더 많이 사용하고 있습니다. 피싱은 랜섬웨어 감염의 주요 시작점입니다. 피싱 이메일은 권한이 낮은 사용자와 높은 사용자 모두를 타깃으로 삼습니다. 이메일은 저렴하고 사용하기 쉽기 때문에 공격자가 랜섬웨어를 유포하기에 편리합니다.

문서는 일반적으로 이메일로 전달되기 때문에 사용자는 이메일 첨부 파일에 있는 파일을 열어보는 것을 대수롭지 않게 생각합니다. 악성 매크로가 실행되어 로컬 디바이스에 랜섬웨어를 다운로드한 다음 페이로드를 전달합니다. 이메일에서 랜섬웨어를 쉽게 유포할 수 있기 때문에 랜섬웨어는 흔한 멀웨어 공격입니다.

멀웨어 키트의 가용성 또한 랜섬웨어 공격이 널리 퍼지는 데 기여했습니다. 이러한 익스플로잇 키트는 기기의 소프트웨어 취약성을 스캔하고 추가 멀웨어를 배포하여 기기를 추가로 감염시키고 필요에 따라 멀웨어 샘플을 생성합니다. 서비스형 멀웨어 트렌드가 이러한 키트의 인기를 증가시켰습니다.

자체 버전을 제작하는 제작자를 통해 정교한 랜섬웨어 공격이 이뤄질 수 있습니다. 변종은 기존 랜섬웨어 버전의 코드베이스를 사용하며 페이로드와 공격 방법을 변경하기에 충분한 기능만 변경합니다. 랜섬웨어 제작자는 원하는 작업을 수행하고 선호하는 암호화 암호를 사용하도록 멀웨어를 사용자 지정할 수 있습니다.

공격자가 항상 제작자인 것은 아닙니다. 일부 랜섬웨어 제작자는 자신의 소프트웨어를 다른 사람에게 판매하거나 사용할 수 있도록 임대합니다. 랜섬웨어는 고객이 대시보드에 인증하고 자체 캠페인을 실행하는 서비스형 멀웨어(MaaS)로 임대될 수 있습니다. 따라서 공격자가 항상 코더이거나 멀웨어 전문가인 것은 아닙니다. 공격자는 제작자에게 비용을 지불하고 랜섬웨어를 임대한 개인이기도 합니다.

랜섬웨어는 파일을 암호화한 후 사용자에게 파일이 암호화되었음을 알리는 화면과 몸값을 표시합니다. 일반적으로 피해자에게 몸값 지불 특정 기간이 주어지거나 몸값이 증가합니다. 공격자는 또한 기업을 노출하고 랜섬웨어의 피해자임을 공개적으로 발표하겠다고 협박하기도 합니다.

몸값 지불의 가장 큰 위험은 데이터 해독을 위한 암호 키를 받지 못할 수 있다는 것입니다. 대부분의 전문가는 공격자에게 금전적 이익을 주는 것을 중단하기 위해 몸값을 지불하지 말라고 조언하지만 많은 조직에게는 선택의 여지가 없습니다. 랜섬웨어 제작자는 암호화폐 결제를 요구하므로 송금을 취소할 수도 없습니다.

랜섬웨어 제작자는 탐지를 피하기 위해 지속적으로 코드를 새로운 형식으로 변경합니다. 관리자와 멀웨어 방지 개발자는 이러한 새로운 방법을 파악하여 위협이 네트워크를 통해 전파되기 전에 신속하게 탐지해야 합니다. 다음은 몇 가지 새로운 위협입니다.

• DLL 사이드 로딩. 멀웨어는 합법적인 기능처럼 보이는 DLL 및 서비스를 사용하여 탐지를 피하려고 시도합니다.
• 타깃이 되는 웹 서버. 공유 호스팅 환경에서 멀웨어는 서버에서 호스팅되는 모든 사이트에 영향을 미칠 수 있습니다. 류크 같은 랜섬웨어는 주로 피싱 이메일을 사용하여 호스팅된 사이트를 타깃으로 합니다.
• 스피어 피싱은 표준 피싱보다 선호됩니다. 공격자는 수천 개의 대상에 멀웨어를 보내는 대신 높은 권한으로 네트워크에 액세스할 수 있는 잠재적인 타깃에 정찰을 수행합니다.
• RaaS(Ransomware-as-a-Service)를 사용하면 사이버 보안 지식 없이도 공격을 시작할 수 있습니다. RaaS의 도입으로 랜섬웨어 공격이 증가했습니다.

원격 근무는 랜섬웨어를 이용한 위협이 증가하는 주요 원인입니다. 팬데믹으로 전 세계에 새로운 업무 방식이 도입됐습니다. 재택 근무자는 위협에 훨씬 더 취약합니다. 재택 근무 사용자에게는 정교한 공격으로부터 시스템을 보호하는 데 필요한 엔터프라이즈 수준의 사이버 보안이 없으며 이러한 사용자 중 상당수가 개인 기기와 업무용 기기를 함께 사용합니다. 랜섬웨어는 네트워크에서 취약한 장치를 스캔하기 때문에 멀웨어에 감염된 개인용 컴퓨터는 네트워크에 연결된 비즈니스 시스템도 감염시킬 수 있습니다.

랜섬웨어 공격 방지에는 일반적으로 백업 설정 및 테스트와 보안 도구에 랜섬웨어 보호 기능을 적용하는 것이 포함됩니다. 이메일 보호 게이트웨이 같은 보안 도구는 1차 방어선이고 엔드포인트는 2차 방어선입니다. 침입 탐지 시스템(IDS)은 랜섬웨어 명령 및 제어를 탐지하여 랜섬웨어 시스템이 제어 서버로 호출하는 것을 경고할 수 있습니다. 사용자 교육은 매우 중요하지만 이는 랜섬웨어로부터 보호하기 위한 여러 방어 계층 중 하나일 뿐입니다. 사용자 교육은 일반적으로 이메일 피싱을 통해 랜섬웨어가 전달된 후에 시작됩니다.

다른 랜섬웨어 예방 방어가 실패할 경우 대비책은 비트코인을 비축하는 것입니다. 이는 피해를 입은 조직의 고객이나 사용자에게 즉각적인 피해를 줄 수 있는 경우에 더 많이 발생합니다. 병원과 숙박업은 특히 랜섬웨어의 위험에 처해 있습니다. 환자의 생명이 영향을 받거나 사람들이 시설에 갇히거나 시설 밖으로 나갈 수 있기 때문입니다.

랜섬웨어 공격을 방지하는 방법

• 랜섬웨어로부터 이메일 보호: 이메일 피싱 및 스팸은 랜섬웨어 공격이 배포되는 주요 방법입니다. 타깃 공격 보호 기능이 있는 보안 이메일 게이트웨이는 랜섬웨어를 전송하는 악성 이메일을 탐지하고 차단하는 데 매우 중요합니다. 이러한 솔루션은 사용자 컴퓨터로 전달되는 이메일의 악성 첨부 파일, 악성 문서 및 URL로부터 시스템을 보호합니다.
• 랜섬웨어로부터 모바일 기기 보호: 모바일 공격 보호 제품은 모바일 장치 관리(MDM) 도구와 함께 사용할 경우 사용자 디바이스의 애플리케이션을 분석하여 환경을 손상시킬 수 있는 모든 애플리케이션에 대해 사용자와 IT 부서에 즉시 경고할 수 있습니다.
• 랜섬웨어로부터 웹 서핑 보호: 보안 웹 게이트웨이는 사용자의 웹 서핑 트래픽을 스캔하여 사용자를 랜섬웨어로 유도할 수 있는 악성 웹 광고를 식별할 수 있습니다.
• 서버 및 네트워크 모니터링 및 주요 시스템 백업: 모니터링 도구는 비정상적인 파일 액세스 활동, 바이러스, 네트워크 C&C 트래픽 및 CPU 부하를 적시에 감지하여 랜섬웨어가 활성화되는 것을 차단할 수 있습니다. 중요한 시스템의 전체 이미지 복사본을 보관하면 시스템이 충돌하거나 암호화되어 심각한 운영 병목 현상을 일으킬 위험을 줄일 수 있습니다.

랜섬웨어를 제거하는 방법

• 연방 및 지역 법률 기관에 연락: 유괴를 당했을 때 연방 기관에 연락하는 것처럼 조직은 랜섬웨어 피해를 당했을 때도 동일한 기관에 연락해야 합니다 . 포렌식 기술자는 시스템이 다른 방식으로 손상되지 않았는지 확인하고, 향후 조직을 더 잘 보호하기 위한 정보를 수집하고, 공격자를 찾으려 노력할 수 있습니다.

랜섬웨어 복구

• 랜섬웨어 방지 리소스에 대해 알아보기: 노 모어 랜섬(No More Ransom)포털 및 블리핑 컴퓨터(Bleeping Computer)는 일부 랜섬웨어 공격에 대한 팁, 제안, 심지어 암호 해독기까지 제공합니다.
• 데이터 복원: 모범 사례를 따르고 시스템 백업을 보관한 조직의 경우 시스템을 복원하고 정상적인 작업을 재개할 수 있습니다.