PC를 노리는 해커들의 인질극, 랜섬웨어

보안 업계에서 연일 '랜섬웨어'가 화제다. PC내의 중요 파일을 인질로 잡고 몸값을 요구하는 랜섬웨어 해커들이 본격적으로 한국에서의 인질극을 시작했다. 파일 납치 수법도 날로 진화하여 지난 6월 6일에는 대규모 온라인 커뮤니티를 통해 랜섬웨어가 유포되었다. 하루 평균 15건 정도의 피해가 접수되던 랜섬웨어 침해대응센터에 7일 하루 동안 접수된 신고 건수가 200건이 넘었다고 한다. 

이토록 대규모의 피해가 발생한 이유는 랜섬웨어 감염 경로가 변했기 때문이다. 이전에는 이메일, 메신저를 통해 전달된 첨부파일 등 특정파일을 열었을 때 감염되는 방식이었지만, 최근에는 배너 광고가 랜섬웨어 악성코드 배포에 이용됐다. 첨부파일이 미끼를 던져 먹잇감을 낚아채는 방법이었다면, 배너 광고의 경우 호수에 그물을 쳐두고 지나가는 물고기를 전부 잡아들이는 식이다. 이 경우 특별한 알림 없이 '드라이브바이다운로드(Drive-by-Download)' 방식으로 감염돼 사용자가 미처 인식하지 못하는 사이에 데이터를 암호화한다. 

랜섬웨어에 악용된 배너의 특징은 광고 서버가 외부에 있다는 점. 따라서 감염 여부 파악이 늦어졌을 뿐 아니라 유포지 파악도 어려워졌다. 이러한 수법을 '멀버타이징(Malvertising)'이라고 하는데, 악성코드를 뜻하는 '멀웨어(Malware)'와 광고를 뜻하는 '애드버타이징(Advertising)'이 결합된 합성어로, 광고를 변조해 악성코드를 유포하거나 악성 행위를 일삼는 기법을 말한다.

[저작자] by portal gda, flickr [이미지 출처] https://flic.kr/p/HnxuQq

랜섬웨어에 감염될 경우 PC 내의 파일이 암호화되며 해커는 파일 복원을 위해서 랜섬을 요구한다. 이 랜섬은 가상화폐인 비트코인으로 제시되는데, 인질범인 해커는 시간이 지날수록 협상금을 올려 피해자를 초조하게 만든다. 매일 시세가 변하는 비트코인의 특성상 피해금액이 늘어나는 것은 시간 문제다. 게다가 비트코인은 거래내역이 남지 않아 추적이 불가능하다. 제시된 금액을 지불한다고 해도 해커가 암호화를 해제해준다는 것도 장담할 수 없다. 그렇다면 랜섬웨어 감염 파일 복구 업체에 맡기는 것을 어떨까? 이 경우에도 100% 복구가 가능한 것은 아니다. 비트코인으로 랜섬을 지급하든, 복구업체에 의뢰를 하든 돈은 돈대로, 피해는 피해대로 입게 되는 답답하고 억울한 상황이 벌어지게 될 수도 있다. 

[저작자] by portal gda, flickr [이미지 출처] https://flic.kr/p/ALLabw

최근 우리나라가 랜섬웨어 피해국가 세계 3위라는 발표가 있을 정도로 국내 시장은 해커들에게 인기가 높다. 잘 구축된 IT 네트워크와 많은 이용자 수, 높은 경제 수준으로 랜섬웨어 해커들 사이에서 물 반 고기 반으로 소문난 낚시터가 된 듯하다. 이에 해커들은 한글버전의 랜섬웨어를 제작하는 등 각별한 정성을 들여 한국 시장을 진출을 노리고 있다. 

기업 등 대규모 네트워크의 경우 PC 1대의 감염이 전체 네트워크로 확산되면 막대한 피해가 발생한다. 감염 PC의 네트워크 접속 차단이 이루어지지 않는다면 악성코드 전염으로 조직 전체의 업무 마비를 초래하기 때문이다. 따라서 감염자의 IP를 즉각적으로 격리하여 내부 감염 확산을 방지해야 한다. 엔드포인트 보안 프로그램이 감염 여부를 확인한 후, IP 관제 솔루션이 감염 IP의 격리 명령을 네트워크 스위치에 전달하면 랜섬웨어 위험에 적극적으로 대응할 수 있다. 

[저작자] 한드림넷

그러나 결국 예방이 최선이다. 출처가 불분명한 이메일이나 파일, 웹사이트는 열지 말 것, 운영체제 및 각종 백신을 항상 최신 버전으로 업그레이드 할 것, 상대적으로 랜섬웨어 감염 위험이 적은 크롬이나 파이어폭스 등의 브라우저를 사용할 것 등이 대표적인 예방법이다. 그럼에도 불구하고 감염이 되었을 경우를 대비하는 최선의 방법은 중요 파일을 주기적으로 백업해두는 것이다. USB 메모리나 외장하드나에 데이터를 저장하면 피해를 최소화 할 수 있다. 보안 프로그램의 경우, 하루에 수십만 개에 달하는 악성코드가 발견되는 상황이라 시그니쳐 기반의 탐지로는 대처가 불가능하다. 따라서 행위기반의 차단 기술을 구축해둘 필요가 있다. 진화하는 정보통신 기술만큼이나 꾸준히 진화하는 네트워크 위협에서 벗어나기 위해서는 사용자의 주의와 보안관리자의 대처, 적절한 보안 시스템 구축의 삼박자를 고루 갖추어 대비해야 한다.

참고자료:

- IDG Summary (2016), “보안 환경 변화에 따른 엔드포인트 보안의 방향성 : 통합 보안 관리”

 

- “첨부파일에 교묘히 숨어든 랜섬웨어, 이렇게 막아라”, 디지털타임스,

   http://www.dt.co.kr/contents.html?article_no=2016061702100351813001

- “‘데이터 인질’ 잡고 “돈 내라”… 옛소련發 랜섬웨어 한국 습격”, 동아일보

   http://news.donga.com/3/all/20160615/78668437/1

 

- “배너광고 무심코 클릭했다간 ‘랜섬웨어 족쇄’에 덜컥…”, 디지털타임스

   http://www.dt.co.kr/contents.html?article_no=2016061602100151813001

 

- 사이버 공격 점점 고도화…韓 랜섬웨어 피해 세계 3위, 연합뉴스 

  http://www.yonhapnews.co.kr/bulletin/2016/06/13/0200000000AKR20160613076000017.HTML