과기정통부, 랜섬웨어 대응 위한 지원책 마련
민·관 합동 랜섬웨어 대응 협의체, 국민과 중소기업 위한 실질적 활동 추진
한국인터넷진흥원이 발표한 자료에 따르면 랜섬웨어 공격은 전 세계적으로 증가하고 있습니다. 2021년 발생한 랜섬웨어 공격 피해액은 2020년과 비교해 102% 증가했으며, 그 금액은 한화로 약 22조원에 이르는 큰 수치입니다. 국내의 경우 2019년 KISA에 신고된 랜섬웨어는 39건이지만, 2020년에는 127건으로 3배 이상 급증했으며, 올해 상반기에도 이미 78건이 신고된 상황으로, 국내에서도 피해가 늘어나고 있는 추세입니다. 피해를 입는 산업 분야도 에너지, 식량, IT, 제조, 서비스, 운송 분야 등으로 다양해지고 있습니다.
[이미지=utoimage]
오늘날 랜섬웨어는 대표적인 사이버 공격 유형 중 하나입니다. 랜섬웨어는 특히 한 번 피해를 입으면 회복이 어려우며, 무엇보다 최근 사이버 공격자는 랜섬웨어 공격을 통해 암호화는 물론 기업 내부정보를 유출해 협박하고, 웹 서비스 제공기업에 대해서는 디도스(DDoS) 공격을 추가로 감행하고 있습니다. 과거 랜섬웨어는 특정 PC에 대한 1회성 감염과 복호화를 대가로 금전을 요구하는 ‘일시적인 공격’이었지만, 최근에는 오랜 기간에 걸쳐 사전 작업(정보유출, 악성코드 유포 등) 후, 랜섬웨어를 동시다발적으로 실행해 시스템 전체를 먹통으로 만드는 지능형 지속 위협(APT) 형태로 진화하는 추세입니다.
랜섬웨어 공격은 개인의 컴퓨터를 공격하는 것을 넘어 기업 시스템, 사회기반시설, 생활필수산업 등으로 확대되고 있으며, 일반인도 체감할 수 있는 영역까지 가까워지고 있습니다. 특히, 공격에 대비해 백업을 하는 기업이 늘면서 정보유출, DDoS 등을 통한 삼중협박까지 이뤄지고 있는 상황입니다.
미국의 경우 올해 콜로니얼 파이프라인 사태로 일부 지역에 연료 공급 중단 및 유가상승 사태가 발생했으며, 브라질 식품기업 JBS는 랜섬웨어 피해 복구를 위해 120억원을 지불하기도 했습니다. IT 분야에서는 미국의 IT 솔루션 기업 카세야에 대한 랜섬웨어 공격이 발생했습니다. 이러한 공격은 특히 고객사에게도 피해가 전이될 수 있기 때문에 심각한 사례로 분류됩니다. 이밖에도 국내 차량부품 제조업체, 배달대행 플랫폼, 해운사 선박의 메인컴퓨터 등 랜섬웨어 공격은 분야를 가리지 않고 일어나고 있습니다. 향후 스마트시티나 스마트그리드 등 사회 인프라에 대한 랜섬웨어 공격이 발생할 경우 일상생활이 마비될 가능성도 있습다.
뿐만 아니라 랜섬웨어가 사람의 목숨까지 위협할 수 있습니다. 지난 2017년 5월 영국의 NHS(국가보건서비스)가 워너크라이 공격을 당해 16개 병원이 폐쇄됐으며, 최소 6,900건에 달하는 진료예약이 취소된 바 있습니다. 금전을 노리고 랜섬웨어를 퍼뜨린 공격자 때문에 애꿎은 환자들이 고통을 당한 것입니다. 또한, 2020년 9월에는 독일 뒤셀도르프 대학병원 서버 30대가 랜섬웨어 공격으로 인해 마비됐으며, 주요 병원 IT 서비스 운용이 불가능하게 됐습니다. 이 과정에서 병원은 한 여성 응급환자를 받지 못해 인근 도시 병원으로 이송했으나 결국 사망했습니다. 가까운 미래에 디지털 헬스케어 분야에서 인슐린펌프나 인공심장박동기 같은 인체 삽입형 디지털 의료기기가 랜섬웨어 공격 대상이 된다면, 데이터가 아닌 생명을 인질로 잡고 협박하는 사례까지 등장할 수도 있습니다.
랜섬웨어의 분업화 역시 최근 공격 양상입니다. 랜섬웨어 개발조직과 침투 및 공격조직이 서로 역할을 나눠 활동하고, 범죄를 통해 벌어들인 수익을 서로 나누는 형태입니다. 다크웹과 가상자산(암호화폐)이 복합적으로 활용되면서 공격자는 전문적인 지식 없이도 랜섬웨어 공격을 감행할 수 있고, 개발자는 추적을 피하면서도 수익을 올릴 수 있습니다. 다크웹을 통해 익명성이 보장되고 가상자산으로 자금세탁까지 가능하기 때문에 이러한 서비스형 랜섬웨어(RaaS)가 자연스럽게 등장한 셈입니다.
◇ 악명 높은 랜섬웨어와 주요 특징
워너크라이(WannaCry) 2017년 5월 12일(현지 시간기준) 스페인, 영국, 러시아 등을 시작으로 전 세계에서 피해가 보고된 악성코드로, 다양한 문서파일(doc, ppt, hwp 등) 외 다수의 파일을 암호화합니다. 마이크로소프트 윈도우 운영체제의 SMB(Sever Message Block, MS17-010)을 이용해 악성코드를 감염시키고, 해당 PC 또는 서버에서 접속 가능한 IP를 스캔해 네트워크로 전파됩니다. 워너크라이 랜섬웨어에 감염되면, 파일들을 암호화한 바탕화면을 변경하고, 확장자를 .WNCRY 또는 .WNCRYT로 변경합니다. 변종이 지속적으로 발견되고 있으며, 미진단 변종이 존재할 수 있기 때문에 사용자는 백신뿐만 아니라 윈도우 운영체제 최신 보안 패치를 반드시 적용해야 합니다.
록키(Locky) 2016년 3월 이후 이메일을 통해 유포되고 있으며, 수신인을 속이기 위해 Invoice(인보이스 발행), Refund(환급) 등의 제목으로 사용자를 속입니다. 자바스크립트(java script) 파일이 들어있는 압축파일들을 첨부하고, 사용자가 이를 실행할 경우 자동으로 랜섬웨어를 내려받아 감염시킵니다. 록키 랜섬웨어에 감염되면, 파일들이 암호화되고, 확장자가 .locky로 변하며, 바탕화면과 텍스트 파일로 복구 관련 메시지가 출력됩니다. 최근 록키 랜섬웨어는 연결 IP 정보를 동적으로 복호화하고, 특정 파라미터를 전달해 실행하는 경우만 동작하는 등 존재를 숨기는 방식도 사용합니다.
크립트XXX(CryptXXX) 지난 2016년 5월, 해외 백신 개발사가 복호화 툴을 공개한 이후, 기존의 취약한 암호화 방식을 보완한 크립트XXX 3.0 버전이 유포되고 있습니다. 초기에는 ‘앵글러 익스플로잇 키트(Angler Exploit Kit)’를 이용했으나, 최근에는 뉴트리노 ‘익스플로잇 킷(NeutrinExploit Kit)’을 사용하는 추세입니다. 크립트XXX에 감염되면 파일 확장자가 .crypt 등으로 변하고, 바탕화면 복구안내 메시지가 출력됩니다. 또한, 비트코인 지불 안내 페이지에는 한글 번역도 제공하고 있습니다. 실행파일(EXE)이 아닌 동적 링크 라이브러리(DLL) 형태로 유포되는 악성코드며, 정상 프로세스인 rundll32.exe를 svchost.exe 이름으로 복사 후 악성 DLL을 로드해 동작합니다. 현재 등장한 버전은 네트워크 연결 없이도 파일을 암호화하고 있습니다.
케르베르(CERBER) CERBER는 말하는 랜섬웨어로 유명합니다. 감염 시 “Attention! Attention! Attention!? Your documents, photos, databases and other important files have been encrypted”라는 음성 메시지를 출력합니다. 케르베르는 웹 사이트 방문 시 취약점을 통해 감염되며, 이후 파일을 암호화 하고 확장자를 .cerber로 변경합니다. 악성코드 내에 저장돼 있는 IP 주소와 서브넷 마스크 값을 사용해 UDP 패킷을 전송하며, 네트워크가 연결되지 않더라도 파일은 암호화 윈도우즈 볼륨 쉐도우(Windows Volume Shadow)를 삭제해 윈도우 시스템 복구가 불가능하도록 만듭니다. 최근에는 이메일 통해 유포되는 정황도 발견됐습니다.
크립토락커(CryptoLocker) 2013년 9월에 최초로 발견된 랜섬웨어로 자동실행 등록이름이 크립토락커(CryptoLocker)로 돼 있는 것이 특징입니다. 웹 사이트 방문 시 취약점을 통해 감염되거나 이메일 내 첨부파일을 통해 감염됩니다. 국내 대형 커뮤니티 중 하나인 클리앙에서는 드라이브 바이 다운로드 기법을 통해 한글화된 크랍토락커가 유포되기도 했습니다. 크립토락커는 확장자를 encrypted, ccc로 변경합니다. 파일을 암호화한 모든 폴더 내에 복호화 안내파일 2종(DECRYPT_INSTRUCTIONS.*·HOW_TO_RESTORE_FILES.*)을 생성하며, 윈도우즈 볼륨 쉐도우을 삭제해 시스템 복구가 불가능하도록 만듭니다.
테슬라크립트(TeslaCrypt) 2015년 국내에 많이 유포된 랜섬웨어로 2016년 5월경 종료로 인해 마스터키가 배포됐습니다. 취약한 웹 페이지 접속 및 이메일 내 첨부파일로 유포되며, 확장자를 ecc, micr 등으로 변경하는 것이 특징입니다. 드라이브 명에 상관없이 고정식 드라이브(DRIVE_FIXED)만을 감염 대상으로 지정하며, 이동식 드라이브나 네트워크 드라이브는 감염 대상에서 제외합니다. 악성코드 감염 시 (Howto_Restore_FILES.*)와 같은 복호화 안내 문구를 바탕화면에 생성합니다.
[자료=한국인터넷진흥원]
랜섬웨어 공격은 어떻게 발생할까?
KISA가 실제 분석한 랜섬웨어 피해 사례의 원인으로는 △공격자가 쉽게 접근할 수 있는 웹 서버의 취약점 패치를 진행하지 않고 △여러 서버 관리자 ID와 비밀번호를 동일하게 사용했으며 △다요소 인증(MFA)등 접근제어 정책 부재 △관리자 PC에 대한 망분리 미실시 △AD 배포정책 및 안전점검 미흡 △소프트웨어 업데이트 체계에 대한 보안 모니터링 미흡(공급망 공격 대비) 등으로 조사됐습니다.
앞서 언급한 것처럼 오늘날 랜섬웨어 공격은 오랜 기간에 걸친 지능형 지속위협의 결과물입니다. 공격자는 기업 시스템의 보안 약점을 찾아 침투하고, 관리자 권한을 얻어 연결된 수많은 시스템에 조금씩 악성코드를 유포하고, 이 과정에서 정보를 유출합니다. 충분한 사전작업이 끝난 뒤 랜섬웨어를 실행해 공격 사실을 알리고 유출 정보를 바탕으로 기업을 협박합니다. 바꿔 말하면, 공격자가 이러한 준비를 하는 동안 기업보안담당자는 침투 사실을 인지하고 대응책을 마련할 수 있는 기간이 있는 셈입니다.
사이버 공격자는 침투 이후 악성코드 대량 유포를 위한 거점을 마련하며, 이는 관리자 PC나 개발자 PC혹은 AD서버 등이 될 수 있습니다. 최근에는 기업 내부에서 상대적으로 관리가 허술한 테스트 서버를 이용하기도 합니다. 이 때문에 주요 거점에 대한 주기적인 점검이 필요하며, 백업을 통한 피해 예방 등 철저한 관리가 요구됩니다. 안전한 서버나 매체에 백업 데이터를 보관하지 않으면 백업을 위한 정보 자체가 랜섬웨어에 감염될 수 있기 때문에 백업 서버에 대한 망분리 및 접근제어 정책이 필요합니다.
특히, 백업 데이터로 시스템을 복원하는 데도 오랜 기간이 걸릴 수 있기 때문에 업무 정상화를 위해 어떤 시스템을 먼저 복구해야 하는지 우선순위를 정하고, 주요 데이터가 제대로 백업되고 있는지 점검하는 등 대응전략을 수립해야 합니다.
관리자 권한을 제대로 관리하는 것 역시 중요합니다. 공격자는 우선, 웹셸 업로드 기법을 이용해 서버에서 시스템 권한을 획득하고, 원활한 원격 접속을 위해 서버 내에 원격제어용 악성코드를 설치하고, 가짜 계정을 생성해 해당 계정에 관리자 권한을 부여합니다. 특히, 이 과정에서 보안 솔루션 탐지를 우회하기 위해 랜섬웨어 대신 윈도우 운영체제의 암호화 기능인 ‘비트로커(BitLocker)’를 사용한 사례도 있습니다.
이는 사용자 데이터 보호에 유용한 기능이지만, 해당 기능의 권한이 해커에게 넘어갈 경우 정상적인 기능을 통해 타인이 자신의 데이터를 암호화해 협박하는 것도 가능합니다. 관리자 권한을 통해 비트로커 기능을 실행하고 주요 데이터가 보관된 디스크를 암호화한 뒤 금전을 요구합니다. 복구 키 및 설정한 암호가 있어야 파일에 접근할 수 있다는 점과 이를 통해 ‘몸값’을 요구한다는 점에서 기존 랜섬웨어 공격과 같은 맥락입니다.
한국인터넷진흥원은 랜섬웨어 대응 전략으로 ‘점검하라’, ‘대응하라’, ‘훈련하라’를 제시했습니다. 우선 점검하라는 것은 오늘날 랜섬웨어 공격은 상당한 기간에 걸쳐 이뤄지기 때문에 공격 진행 단계를 탐지해 선제적 대응이 필요하다는 의미입니다. 대응하라는 것은 점검 단계에서 특이사항이 발견될 경우 포맷 같은 단편적인 조치가 아니라 후속대응이 중요하다는 의미입니다. 공격 징후가 발견됐다면 KISA 등에 신고하고 기술지원을 받거나 기업이 이용하고 있는 정보보호 업체를 통해 상세히 점검하며 침투 경로 및 활동 범위를 식별해 조치해야 합니다. 마지막 훈련하라는 것은 감염된 상황을 가정하고 데이터 복원에 대한 훈련이필요하다는 의미입니다. 이러한 훈련을 통해 복원 우선순위를 결정하고. 백업 설정이 안 된 영역이나 불가능한 영역도 파악할 수 있습니다. 특히, 백업 데이터 감염 사례도 많기 때문에 안전한 저장매체에 잘 보관하고 있는지 확인해야 합니다.
◇ 랜섬웨어 감염 경로
신뢰할 수 없는 사이트 신뢰할 수 없는 사이트의 경우 단순한 홈페이지 방문만으로도 ‘드라이브 바이 다운로드(Drive by Download)’ 기법을 통해 랜섬웨어같은 악성코드에 감염될 수 있습니다. 이를 방지하기 위해서 사용하는 PC 운영체제 및 각종 소프트웨어 버전을 최신으로 유지해 취약점을 제거해야 하며, 음란물, 온라인 도박 사이트 등은 보안 관리가 미흡한 사이트인 만큼 이용을 자제해야 합니다.
스팸메일 및 스피어피싱 출처가 불분명한 이메일은 첨부파일이나 메일 본문에 있는 URL을 통해 악성코드를 유포할 수 있습니다. 따라서 사용자는 첨부파일 실행 또는 URL 링크 클릭에 주의해야 합니다. 최근 사용자들이 메일을 열어보도록 유도하기 위해 ‘연말정산 안내’, ‘세금계산서 발행’, ‘이력서 첨부’ 등 일상생활과 밀접한 내용은 물론, ‘국제 정세’, ‘북한 동향’ 등 특정 분야 전문가를 노리는 이슈를 사용하기도 합니다. 출처가 명확한 첨부파일도 바로 실행하기보다는 일단 PC에 저장 후 백신 등으로 검사한 뒤 열어보는 것이 좋습니다.
파일공유 사이트 토렌트, 웹하드 등 P2P 사이트를 통해 불법 복제 콘텐츠(소프트웨어, 영화 등)를 내려받을 경우, 파일 자체가 랜섬웨어 등 악성코드일 가능성도 있습니다. 실제로 이러한 공격 방식은 ‘유료 소프트웨어 크랙’, ‘최신 게임’, ‘윈도우 11 설치파일’ 등 소프트웨어 최신 버전이 출시되는 시기에 맞춰 빈번하게 발생하기도 합니다. 설치파일뿐만 아니라 동영상 등의 파일을 내려 받고 이를 실행할 경우, 악성코드에 감염되는 사례도 있어 이에 대한 주의가 필요합니다.
소셜 미디어(SNS) 최근 페이스북, 링크드인 등 SNS에 올라온 단축 URL 및 사진을 이용해 랜섬웨어를 유포하는 사례가 발견됐습니다. 특히 SNS 계정 해킹을 통해 신뢰할 수 있는 사용자로 위장해 다이렉트 메시지 등으로 악성 URL을 직접 보낼 수 있기 때문에 주의가 필요합니다.
네트워크망 사이버 공격자는 네트워크를 통해 최신 보안패치가 적용되지 않은 PC를 스캔하고, 악성코드를감염 및 확산시킵니다. 이를 방지하기 위해서는 사용하는 PC 운영체제와 소프트웨어 최신 보안 패치를 적용해 항상 보안 상태를 최신으로 유지해야 합니다.
[자료=한국인터넷진흥원]
출처 : 보안뉴스, Technology photo created by rawpixel.com – www.freepik.com
![[주간 IT/보안뉴스] 2024년 4월 셋째주 ‘사이버 위기에 따른 보안 시스템 고도화’](https://pplus.co.kr/wp-content/uploads/2024/04/300-20240419-title-500x383.png)
![[주간 IT/보안뉴스] 2024년 4월 둘째주 ‘세계로 뻗어 나가는 K보안…솔루션·서비스 범위 확대’](https://pplus.co.kr/wp-content/uploads/2024/04/300-20240411-title-500x383.png)