> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
[2017 랜섬웨어②] 방어 기술 우회하는 랜섬웨어
악성코드 없이 취약점만으로 공격…iOS도 안전지대 아니다
     관련기사
  [2017 랜섬웨어①] “사물 랜섬웨어(RoT) 시대 온다”
2017년 04월 21일 10:36:44 김선애 기자 iyamm@datanet.co.kr

랜섬웨어가 더 강력해져서 돌아왔다. APT 기법을 적용해 타깃 사용자에게 정교하게 맞춘 공격 방식을 택하고 있으며, IoT와 산업제어시설을 노려 심각한 피해를 입힐 수 있게 한다. 서비스형 랜섬웨어(RaaS), 오픈소스 랜섬웨어가 등장하면서 누구나 쉽게 공격을 할 수 있는 환경이 조성됐으며, 비트코인과 같은 암호화 화폐가 다양하게 나오고 있어 돈세탁과 추적 방지도 쉬워졌다. 새로운 국면을 맞은 랜섬웨어 공격 동향을 살펴본다.<편집자>

랜섬웨어 공격은 올해 대대적인 변화를 시도하고 있다. 사람들이 랜섬웨어에 대한 경각심이 높아지면서 의심스러운 파일을 열어보지 않고, 웹사이트 보안도 강화돼 웹을 통해 불특정 다수를 대상으로 악성코드를 유포하는 것도 어려워졌다. 보안솔루션의 랜섬웨어 차단 기술이 발달해 사전에 차단되는 확률이 높아졌으며, 국가간 공조도 강화되면서 랜섬웨어 악성코드를 배포하는 것이 쉽지 않아졌다.

한승철 엔피코어 대표이사는 “지난해에는 ‘랜섬웨어 공황’이라는 표현이 어울릴 만큼 두려움이 컸지만, 올해는 상대적으로 차분하게 대응하고 있는 것으로 보인다”며 “전염병이 발생하면 사람들이 손을 씻는 횟수가 잦아져 감기환자가 급감하는 것처럼, 랜섬웨어 피해를 입은 사람들이 늘어나면서 사람들은 기술적인 복구가 어렵다는 사실을 알게 되고, 보안수칙을 지키고 정기적인 데이터 백업 등을 습관화 해 랜섬웨어 피해를 줄여나가는 것으로 보인다”고 설명했다.

진화한 보안 기능 교묘하게 우회하는 공격

사람들이 랜섬웨어 공격 방식을 알고 의심스러운 실행파일을 열어보지 않고 신뢰할 수 없는 웹사이트 방문을 자제하면서 지난해 중반부터 랜섬웨어 감염 빈도가 크게 줄어들었다. 그러자 공격자들은 정상적인 업무문서를 위장해 첨부파일을 보내는가 하면, 실행파일의 확장자 앞에 .docx, .hwp, .ppt 등 일반적으로 사용하는 오피스 문서의 확장자를 추가해 일반 문서처럼 보이게 했다.

이메일 보안 솔루션이 첨부파일을 세밀하게 분석하게 되면서 악성링크 첨부가 어렵게 됐다. 공격자는 이를 우회하는 방법으로, 타깃 사용자가 퇴근한 후 메일을 보내는데, 여기에 악성사이트 주소를 숨겨놓으면서 링크 연결은 끊거나 정상 사이트로 연결한다. 메일보안 서버가 해당 메일을 분석하면서 웹사이트 주소를 발견하고 연결했을 때 연결이 되지 않으면 위협이 없다고 판단하고 메일서버로 보낸다. 다음날 아침 공격자는 이 링크를 다시 연결하며, 사용자가 메일의 첨부파일을 실행하면 악성웹사이트로 연결되 공격이 개시된다.

최재우 시만텍코리아 이사는 “최근 이메일 보안 솔루션들도 연결된 모든 링크를 끝까지 추적해 악성여부를 판단하고 있다. 공격자들은 보안 솔루션이 분석할 때 링크를 끊거나 다른 사이트로 연결시켰다가, 메일서버로 들어가면 악성사이트를 다시 연결하는 우회방법을 사용한다”며 “모든 환경에서 연결된 링크를 분석하고 조사하는 시스템이 필요하다”고 말했다.

파일명을 통해 실행파일을 감추는 방식도 알려지면서 첨부파일의 형식을 꼼꼼하게 따져보게 되자, 아예 악성코드 없이 랜섬웨어 공격을 단행하는 방법도 유행하고 있다. 취약점을 이용해 악성코드를 이용하지 않고 침투하는 공격 방식으로, 지난해 하반기부터 오픈소스 소프트웨어의 취약점을 이용한 공격이 많이 늘었다. MySQL, 몽고DB 등 오픈소스 DBMS, 오픈X 등 오픈소스 광고 플랫폼 사용자들이 실제 피해를 입었으며, 공격자는 오픈소스의 취약점을 이용해 루트권한을 뺏고, 서버에 저장된 DB를 삭제하고 연결을 끊은 후 비트코인을 요구했다.

믿었던 맥OS도 뚫렸다

안전할 것이라고 믿었던 애플도 뚫렸다. 맥OS를 대상으로 한 공격이 발견된 것이다. 이셋이 공개한 맥OS 타깃 랜섬웨어는 애플의 소프트웨어 개발도구인 스위프트로 제작돼 토렌트에서 유포되고 있다.

이 랜섬웨어는 소프트웨를 크랙해 무료로 사용할 수 있도록 해주는 패치도구로 가장한다. 동영상 편집 소프트웨어인 ‘어도비 프리미어 프로’와 맥버전 ‘마이크로소프트 오피스’로 가장했다. 단 이 랜섬웨어는 C&C 서버와 통신하기 위한 코드가 없어 피해자가 돈을 지불해도 공격자는 암호화 키를 보내지 못하고 피해입은 파일은 복구할 수 없다.

이스트시큐리티 관계자는 “지난해 하반기부터 한글로 정교하게 작성된 메일과 첨부파일을 통해 일부 단체, 관심분야를 가진 사람들 등 특정 그룹을 대상으로 타깃 공격을 시도하는 것이 포착되고 있다. 또한 서비스형 랜섬웨어가 성행하면서 랜섬웨어 공격자들은 올해에도 랜섬웨어 감염을 통해 수익화에 초점을 맞추고 여러 가지 시도를 할 것으로 보인다”며 “아울러 랜섬웨어 공격자들은 2017년에 수익을 목적으로 공격 대상 범위를 넓히기 위해 스마트폰을 대상으로 한 랜섬웨어를 본격적으로 제작하고 유포할 것으로 예상된다”고 설명했다.

ICS·IoT, 랜섬웨어에 무방비

안전성이 가장 높다고 알려진 폐쇄망은 랜섬웨어에 더 쉽게 감염될 수 있다. ICS/SCADA 망은 전용망을 이용하기 때문에 인터넷을 통해 악성코드가 들어올 수 없다. 그러나 최근 폐쇄망도 원격지원이나 데이터 송·수신을 위해 TCP/IP로 연결되는 구간이 있으며, 이 구간은 제대로 보호되지 않아 심각한 보안위협에 노출돼 있다.

지난해 우크라이나 정전사고를 일으킨 ‘킬디스크(KillDisk)’ 악성코드는 리눅스 시스템을 공격하는 것으로, 랜섬웨어 공격으로도 활용될 수 있다는 분석이 나온바 있다. 폐쇄망을 구성하는 대부분의 시스템이 리눅스 기반이기 때문에 킬디스크 랜섬웨어가 폐쇄망으로 침투한다면 언제든 공격에 성공할 수 있다.

박동훈 닉스테크 대표이사는 “폐쇄망을 공격한 랜섬웨어는 춘천 시내버스 정류장 버스정보 안내기 공격 사례를 통해 국내에서도 알려졌다. 이 서비스는 별도의 망으로 운영됐음에도 랜섬웨어에 감염됐으며, IoT·ICS/SCADA를 충분히 공격할 수 있다는 사실이 확인됐다”며 “정해진 서비스만 제공하는 단말에 대해서는 화이트 프로세스를 정의하고, 그 외 악성 코드 및 랜섬웨어가 동작하는 것을 차단해 보다 안전성을 확보해야 한다”고 밝혔다.

   
▲SCADA 네트워크보호를 위한 산업용 방화벽 적용 구성도(자료: 포티넷)

IoT를 타깃으로 하는 랜섬웨어 위협 역시 지난해부터 지속적으로 제기돼 왔다. 스마트카, 스마트 가전기기 등 값비싼 기기를 잠그고 사용하려면 돈을 지불하라고 협박한다면 돈을 지불하지 않을 사람은 많지 않을 것이다. 2월에는 호주의 한 호텔의 객실문을 제어하는 시스템이 랜섬웨어에 감염된 사고도 있었다.

스마트TV 해킹 사고가 실제로 발생했다는 사실이 알려지면서 스마트 가전기기를 이용한 랜섬웨어 공격도 현실로 다가올 것이라는 경고도 나온다. 위키리크스가 공개한 CIA 사이버정보센터 문서에서는 CIA가 스마트 TV를 악성코드에 감염시켜 전원이 꺼진 상태에서도 방에서 들리는 소리를 수집해 CIA 서버로 전송한 사실이 기록돼 있어 전 세계를 경악하게 만들었다.

만일 의료기기, 헬스케어 장비가 랜섬웨어에 감염된다면 수술이나 치료를 받는 도중의 환자 생명이 위험해질 수 있다. 주행 중인 스마트카에 랜섬웨어 공격을 진행해 자동차를 갑자기 멈추게 하거나 오작동을 일으켜 사고를 발생시킬 수도 있다.

김남욱 이셋코리아 대표는 “2017년은 랜섬웨어의 해가 될 것이라고 예측하는 사람이 많지만, 아주 빠른 미래에는 ‘잭웨어(Jackware)의 시대’가 될 것이다. 또한 IoT는 RoT(Ransomware of Thing)로 변화하게 될 것”이라며 “랜섬웨어는 인터넷에 연결된 모든 것을 위협하게 될 것”이라고 말했다.

잭웨어는 장치를 통제한 후 몸값을 요구하는 악성코드로, 디지털 통신이 주 목적인 장치를 탈취한다. 커넥티드카의 통신을 탈취하면 자동차를 운행할 수 없으며, 스마트냉장고를 탈취하면 원격에서 냉장고 온도를 올릴 수 있다. 스마트TV를 마음대로 조작해 사생활을 녹음·녹화할 수 있다. ICS/SCADA 통신을 제어하게 된다면 재앙이 일어날 수 있다. 

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  랜섬웨어, 지능형 공격, 오픈소스 랜섬웨어, RaaS, 악성코드
가장 많이 본 기사
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr