랜섬웨어 공격자들은 수익성을 높이기 위해 저렴한 상용 공격툴을 이용해 감염이 쉬운 PC를 노린다. 높은 몸값을 받기 위해서는 PC의 데이터보다 서버의 중요 데이터를 인질로 잡는 것이 좋지만, 서버는 감염이 어렵기 때문에 잘 사용하지 않는다.
그렇다고 해서 서버가 랜섬웨어로부터 안전한 것은 아니다. 올해 초 발생한 미국 헐리우드 장로병원 랜섬웨어 감염 사고는 병원의 의료장비와 시스템이 모두 마비돼 1만700만달러의 비용을 치러야만 했다.
트렌드마이크로는 자사 블로그를 통해 “서버 역시 랜섬웨어의 안전지대가 아니다”라며 서버 보호의 주요성을 강조했다. 최근 유행하고 있는 SAMSAM 랜섬웨어의 경우, 자바 기반 웹 애플리케이션 서버인 제이보스(JBoss)의 취약점을 통해 기관 내 서버에 침투한 뒤 웹쉘을 추가, 공격자가 시스템을 원격 제어할 수 있게 했다. 공격자는 서버를 통제하면서 서버의 파일을 암호화하고 감염된 네트워크로 이동하면서 더 높은 수익을 얻을 수 있는 공격 대상을 찾아낸다.
트렌드마이크로의 ‘2016 상반기 위협 분석 보고서'에서는 랜섬웨어로 인해 암호화된 파일의 절반 이상이 기업과 직접적으로 연관된 파일이라고 분석했다. 서버상의 데이터 파일, SQL 파일, 그리고 웹페이지는 가장 쉽게 공격의 대상이 되는 파일 유형이다.
네트워크 공유 서버·패치 안된 취약점 노려
서버가 랜섬웨어 공격을 직접 받는 경우도 있지만, 동일 네트워크에 속한 엔드포인트에 감염된 랜섬웨어 전염으로 인한 간접 공격을 받는 것이 일반적이다. 특히 파일 공유 기능을 이용해 공격이 진행되는데, 랜섬웨어 패밀리는 엔드포인트 감염 후 사용 가능한 공유 네트워크를 탐색한다. 랜섬웨어의 공격 방식에 따라 더 많은 서버에 직접적인 영향을 가할 수 있게 된 것이다.
서버가 직접 공격을 받는 경우는 서버의 취약점을 노리는 것이다. 서버에 설치된 애플리케이션 뿐 아니라 서버를 직접 공격하는 것도 있는데, 최근에 발견된 페어웨어(FAIRWARE) 멀웨어 패밀리는 무차별 대입 공격을 통해 서버로 침투하는데 성공했다. 이 공격은 웹서버를 주로 공격했으며, 몸값으로 2비트코인를 요구했다.
크라이시스(Crysis) 랜섬웨어 패밀리는 자신의 원격 데스크톱 프로토콜(RDP)이 인터넷에 개방돼 있는 시스템에 무차별 대입 공격을 시도했다. 이것은 일반 데스크톱과 서버를 모두 포함할 수 있다. 무차별 대입 기기를 통해 네트워크로 침투하여 추가 공격을 위한 발판을 마련할 수 있다.
이러한 공격은 네트워크의 의심스러운 행동을 탐지하는 보안 솔루션을 통해 완화할 수 있. 또한 초기 설정된 암호를 변경하고 원격 네트워크에서의 로그인을 허용하지 않는 방법으로 위협을 완화할 수 있다.
가상 패치 사용으로 패치 업그레이드 위험 낮춰
서버를 표적으로 하는 정교한 랜섬웨어 공격은 어떤 수단을 사용하든 조직에 침투하고 공격 대상에 대한 추가 정보를 얻는다. 적합한 공격 대상이 선정되면 이에 따른 적절한 공격이 가해집니다. 표적형 공격이라면 정보를 탈취하고, 랜섬웨어는 데이터를 암호화한다.
이것은 표적형 공격에 대응하기 위한 솔루션이 랜섬웨어 공격 대응에도 적용될 수 있다는 것을 의미한다. 특히 효과적인 하나의 해결책은 바로 적절한 패치 관리 전략이다.
기업의 환경을 보호하는 것과 비즈니스 운영을 유지하는 것에 균형을 유지하기란 매우 까다롭다. IT 관리자들은 네트워크 경계를 확보하면서 일상 업무를 지원하고, 중요한 서비스의 가동 시간을 유지하는 불가능 해 보이는 과제에 직면해 있다. 새로운 패치가 발표되면 실제 시스템에 배포하기 전에 테스트를 실시해야 한다. 따라서 많은 경우 패치가 백 버너에 안착하는 경우가 발생한다. 미션 크리티컬 시스템 및 서버를 재부팅해야 하는 경우 생산성에 부담이 될뿐더러 비즈니스 중단이 발생할 수 있기 때문이다.
이러한 문제를 해결하기 위해 가상패치를 사용할 수 있다. 기업에서 즉시 패치를 적용하지 않더라도, 암호화 랜섬웨어로부터 보호할 수 있다. 이 솔루션 기술은 IT 관리자가 다운타임 및 추가 운영비용 없이 취약한 서버와 엔드포인트를 보호할 수 있다.
트렌드마이크로는 서버 패치의 중요성을 강조하면서 랜섬웨어 대응을 위한 다층 보안설계를 소개했다. 이메일, 웹, 엔드포인트, 네트워크 단의 체계적인 보안 전략이 필요하며, 자사의 ‘딥시큐리티’가 해답이 될 수 있다고 소개했다.
