랜섬웨어는 개인과 기업에게 모두 위협적인 사이버 공격이 되고 있다. 랜섬웨어는 APT 공격 기법을 결합하면서 지능화되고 있는데, 사회공학적 기법을 이용해 사용자를 유인하고, 방어 기술을 지능적으로 우회해 기존 방어 시스템으로 막을 수 없게 만든다. 랜섬웨어의 역사와 최근 공격기법을 알아본다. <편집자>
랜섬웨어 늘면서 금융정보 탈취 공격 줄어
랜섬웨어는 APT와 같은 단계를 거쳐 공격을 진행한다. 인터넷 익스플로러(IE), 어도비 플래시 플레이어, 이메일 첨부파일 등 다양한 경로를 통해 1차 실행파일이 다운로드 된다. 이후 암호화를 수행하기 위한 2차 실행파일이 다운로드되고 암호화키를 전송하기 위한 C&C 서버와 통신을 시도한다. 랜섬웨어는 미리 하드코드된 여러 IP 리스트와 URL을 통해 C&C 서버와 HTTPS 암호화 통신을 시도하고 최종 공격준비를 마친다.
안경진 포티넷코리아 차장은 “샌드박스 솔루션은 악성코드가 C&C 서버와 통신해 페이로드를 받는 것을 차단하면 랜섬웨어를 막을 수 있다고 하지만, 최근 C&C 서버와의 통신 없이 암호화를 진행하는 신종 랜섬웨어도 발견되고 있어 한 가지 보안 기능만으로 랜섬웨어를 원천적으로 차단하는 것은 불가능하다”고 지적했다.
악성코드 개발자들은 백신 등 보안 솔루션이 탐지하지 못하는 제품을 지속적으로 개발해 지하시장에 판매하고, 악성코드를 유통하는 전문 기업이 이를 공격그룹에 판매한다. 지하시장에는 랜섬웨어 악성코드와 공격용 툴킷이 함께 판매되기 때문에 공격그룹은 이를 구입해 웹이나 이메일을 통해 유포하고, 공격에 성공하면 비트코인으로 수익을 챙긴다. 공격 성공시 개발그룹도 일정한 성공 수수료를 받게 되며, 랜섬웨어 서비스(RaaS)도 이들에 의해 제공된다.
기존의 APT 공격·개발그룹도 이 시장에 뛰어들면서 APT 공격기법과 접목하고 있다. 파이어아이는 록키 랜섬웨어 변종 분석 보고서에서 “록키 랜섬웨어가 급증하면서 금융정보를 수집하는 드라이덱스 유포는 거의 중단됐다. 공격자들이 금융 트로이목마보다 수익성이 좋은 랜섬웨어를 활용하고 있는 것”이라고 분석했다.
가장 악명높은 익스플로잇킷으로 꼽히는 ‘앵글러 익스플로잇 킷’을 개발한 사이버 범죄조직 ‘러크(Lurk)’가 그 대표적인 사례를 보여준다. 카스퍼스키랩과 국제 사법기관의 공조로 검거된 러크 범죄조직은 러시아의 기업과 은행에서 4500만달러 이상 훔친 혐의를 받고 있다.
이들은 가장 정교하게 제작된 공격 킷으로 꼽히는 ‘앵글러’를 개발해 공격에 사용해왔으나, 은행의 보안 수준이 높아지면서 공격에 성공하지 못하게 되자 현금 조달을 위해 임대사업을 벌인 것으로 보인다.
“IoT 기기로 랜섬웨어 확산될 것”
랜섬웨어 개발그룹과 공격그룹은 성공자금을 이용해 새로운 해킹 기술을 개발하고, 취약한 웹서버를 숙주로 만들어 악성코드를 유포하고 있다. 지하시장은 피해자가 돈을 줄수록 더욱 성장하게 돼 있으며, 더욱 풍부한 자금을 기반으로 더 수준 높은 개발자를 영입해 더욱 차단이 어려운 고급 악성코드와 공격 툴킷을 개발하게 될 것이다.
김남욱 이셋코리아 대표는 “향후 랜섬웨어는 IoT 등 네트워크에 연결된 모든 단말을 대상으로 공격을 확산해나갈 것이다. 게임 아이템, 스마트 가전기기, 자동차 등 모든 사물이 랜섬웨어 피해를 입게 될 것”이라며 “사이버 킬 체인 전략에 의한 랜섬웨어 차단이 필요하다”고 경고했다.
랜섬웨어 피해를 막기 위해서는 기본적인 보안수칙에 충실해야 한다. 백신 등 보안 프로그램을 설치하고 실시간 감시 기능을 켜두며, 최신 DB를 유지한다. OS와 애플리케이션의 보안패치를 최신으로 유지하고, 신뢰할 수 없는 웹사이트 방문을 자제하고 의심스러운 이메일을 받았을 때 반드시 발신자를 확인하고, 첨부파일을 열어볼 때 주의해야 한다. 가급적 관리자 권한을 사용하지 않도록 하고, 데이터는 주기적으로 백업해 안전한 곳에 보관한다.
특히 최근 랜섬웨어가 APT 공격 기법을 채택하고 있으므로, APT 공격 방어를 위한 단계별 보안 전략을 정비해야 한다. 탐지-침투-확산-정보유출 및 파괴/시스템 파괴로 이뤄지는 각 단계에 적절한 보안 정책을 수립해야 한다.
