기업 노리는 ‘랜섬웨어’…“보안 불감증 이용해 더 쉽게 공격”
상태바
기업 노리는 ‘랜섬웨어’…“보안 불감증 이용해 더 쉽게 공격”
  • 김선애 기자
  • 승인 2016.08.01 10:36
  • 댓글 0
이 기사를 공유합니다

보안 의식 없는 사용자 습관 개선 급선무…클라우드 플랫폼 공격해 더 많은 피해 양산

랜섬웨어 공격이 기존의 사이버 공격과 결합되면서 빠르게 진화하고 있으며, 클라우드 기반 서비스를 노려 더 큰 피해를 일으키고, 공격자의 수익성을 극대화하고 있다. 이와 같은 랜섬웨어는 전문 조직에 의해 서비스 방식(RaaS: Ransomware-as-a service)으로 제공되고 있어 방어를 더욱 어렵게 만들고 있다.

특히 랜섬웨어는 보안의식 없는 사용자의 습관을 이용해 더 쉽고 광범위하게 피해를 양산하고 있다. 사용자들은 습관적으로 이메일 첨부파일을 실행해보고, 보안에 취약한 웹사이트에 접속하며, PC 보안 프로그램을 설치하지 않거나 있어도 활성화하지 않는다.

▲랜섬웨어 산업화 속도가 빨라지면서 새로운 랜섬웨어 공격그룹도 급속도로 늘고 있다. (자료: 시만텍 ‘랜섬웨어 스페셜 보고서 2016’)

신뢰할 수 없는 문서 매크로 사용 금지

트렌드마이크로에 따르면 올해 급속도로 퍼지고 있는 케르베르(Cerber) 변종이 오피스365 고객을 타깃으로 해 많은 피해자를 양산하고 있다. 기업이 클라우드 기반 생산성 플랫폼을 사용해 민감한 기업 데이터를 관리하는데 주목하고 있으며, 클라우드 상의 정보에 접근할 수 없을 때 기업 운영에 심각한 영향을 미칠 것으로 예상하고 있다고 설명했다.

클라우드 플랫폼을 이용하는 공격은 오피스365 사용자를 타깃으로 한다. 공격자들은 매크로를 조작한 악성파일을 첨부해 오피스365 고객에게 발송한다. MS는 오피스 제품을 이용한 악성코드 유포를 방지하기 위해 오피스 제품의 기본 설정을 ‘매크로 사용 안함’으로 하고 있지만, 사용자들은 첨부파일을 열 때 매크로 사용을 허용한다.

지난달 시만텍이 발표한 ‘랜섬웨어 스페셜 보고서 2016’에서도 매크로를 이용한 랜섬웨어 악성파일에 대한 경고가 나왔다. 매크로를 이용한 악성코드 유포 공격이 증가하면서 보안 전문가들은 매크로 사용에 주의할 것을 권고하고 있지만, 사용자들은 편의에 의해 매크로를 습관적으로 활성화한다.

윤광택 시만텍코리아 상무는 “매크로는 업무 편의를 위해 많이 사용하는 기능이지만, 악성코드가 매크로를 이용해 활성화되는 사례가 많기 때문에 신뢰할 수 있는 문서가 아니라면 매크로를 활성화하지 않는 것이 좋다. 그러나 사용자들은 습관적으로 매크로 사용을 활성화하고 있으며, 이것이 위험한 행위인지 인지하지 못하고 있다”고 지적했다.

서비스형 랜섬웨어 발전하며 방어 더욱 까다로워

랜섬웨어는 탐지 시스템을 우회하는 다양한 기술을 사용하고 있는데, 이중으로 압축된 윈도우 스크립트 파일을 활용해 악성코드 탐지 시스템에서는 활동하지 않도록 한다.

시만텍 보고서에서는 C&C 통신조차 하지 않는 악성코드가 등장해 악성코드 탐지 단계가 줄어들고 있다고 밝혔다. 악성코드는 시스템에 다운로드 된 후 C&C와 통신해 페이로드를 내려받으며, 이 페이로드가 실제 공격에 이용되는데, 최근 악성코드는 시스템에 다운로드 된 후 곧바로 파일을 암호화하도록 설계돼 있어 감염 즉시 암호화가 가능하다.

이처럼 랜섬웨어 공격이 빠르게 고도화되는 중요한 이유는 서비스 방식으로 제공되고 있기 때문이다. 랜섬웨어는 악성코드 개발그룹과 유통그룹, 공격그룹으로 분업화돼 있으며, 개발그룹은 공격그룹(고객)이 원하는 대로 악성코드를 개발해 납품하거나, 서비스 방식으로 제공해 사용한 만큼 돈을 받고, 성공률을 보장하며, 성공했을 때 성공 수수료도 받게 된다.

공격자 그룹간 경쟁도 치열

랜섬웨어 산업에서 경쟁이 치열해지면서 개발그룹 혹은 공격그룹간 ‘혈투’가 벌어지기도 한다. IT 전문 매체 ‘씨넷’의 보도에 따르면 ‘키메라’ 랜섬웨어 그룹이 ‘미샤’ 랜섬웨어 그룹의 암호화 키 3500개를 공개한 것으로 알려졌다.

시만텍은 지난해 기존의 APT 공격그룹과 새로운 랜섬웨어 공격그룹의 경쟁이 치열해지면서 서로를 공격하는 일이 발생할 것이라고 전망한 바 있는데, 키메라 그룹과 미샤 그룹의 싸움이 그 시작이 될지 관심이 쏠리고 있다.

한편 랜섬웨어 산업이 크게 확장되면서 어설프게 설계된 ‘실패한’ 랜섬웨어 공격도 등장하기 시작했다. 악성코드에 공격서버 계정 정보가 들어있거나, 암호화를 하지 못하고 삭제해버리는 악성코드가 등장한다.

이미 오래 전 백신 시그니처에 등록된 랜섬웨어 악성코드를 이용하는 공격도 여전히 발생한다. ‘백신 무용론’을 믿으며 PC에 아무런 보안 프로그램도 설치하지 않는 ‘용감한’ 사용자를 노리는 것이다.

‘보안 불감증’으로 피해 확산

실제로 보안 프로그램을 사용하지 않는 사람들이 상당히 많으며, MS 윈도우의 기본 보안 프로그램인 ‘윈도우 디펜더’만으로도 대부분의 악성코드를 제거한다고 믿는 사용자들도 꽤 있다. 이는 기존 백신 프로그램에 대한 강력한 불신에서 기인한 것으로, 백신 프로그램은 오탐이 많고 리소스를 많이 차지하며, 실제 공격을 막지 못한다고 생각하기 때문이다.

또한 랜섬웨어 피해를 입었을 때, 쉽게 돈을 주는 분위기가 형성된 것도 문제다. 일부 HDD 복구업체들은 공격자에게 비트코인을 대신 보내주는 서비스를 제공하고 수수료를 챙기기도 한다. 피해자들은 돈만 주면 중요한 파일을 살릴 수 있기 때문에 쉽게 이러한 복구 업체를 찾게 된다.

일부 기업에서는 랜섬웨어 공격에 대비해 비트코인을 구입해두고, 피해를 입었을 때 빠르게 대처한다는 전략을 만들기도 해 ‘보안 불감증’의 심각성을 드러내기도 했다.

보안 전문가들은 “랜섬웨어는 돈 되는 악성코드라는 인식 때문에 더 많은 사이버 범죄자들이 이 시장에 뛰어들면서 빠르게 신변종 공격을 만들어내고 있다. 사용자의 보안 의식을 개선하고, 보안 수칙 준수를 생활화 해야 한다”고 말했다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.