본문 바로가기

블로그

IT 트렌드의 최신 소식을 만나보세요.

보안

[보안동향] 당신의 데이터가 인질이 된다! ‘랜섬웨어’는 무엇?

2022.03.31

최근 해킹 트렌드는 시스템 파괴보다는 경제적 목적을 위한 공격이 늘어나고 있다는 것입니다. 이러한 공격의 대표적인 예가 바로 랜섬웨어인데요. 랜섬웨어는 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성코드의 한 종류입니다. 시스템 접근에 암호화 조치로 제한을 걸어 복호화에 필요한 비용 지불을 강요하는 방식이죠. 최근에는 개인을 넘어서 기업을 공격대상으로 하며, 그 피해가 점점 늘어나고 있습니다.

오늘날 사이버공간에서 행해지는 표적공격 수단의 하나인 랜섬웨어는 언제부터 시작되었고, 어떤 진화를 거쳤을까요? 이번 글에서는 랜섬웨어의 역사와 진화에 대해 알아보고 대응방안을 살펴보도록 하겠습니다.

1. 랜섬웨어의 역사와 특징

1) AIDS Trojan
인류 최초의 랜섬웨어는 1989년 하버드대학의 Joseph Popp 박사가 제작한 AIDS 트로이목마입니다. Popp박사는 WHO에서 주최한 AIDS 연구회에 참석해 AIDS 정보소개 파일이 포함된 플로피 디스켓을 다른 참석자에게 보냈는데요. 참석자들이 자신의 컴퓨터에 해당 파일을 실행하자, 악성코드가 활동해 컴퓨터 내 모든 파일을 암호화하거나 디렉터리를 숨겼습니다. 그리고 복구를 위해서는 189달러를 파나마의 주소로 송금하라는 메시지를 띄웠다고 합니다.

[그림 1] AIDS Trojan 메시지

2) Vundo
랜섬웨어는 2005년 초기 위장 애플리케이션으로 시작해 해킹, 피싱 등을 통한 사기 행위보다 본격적으로 수익을 창출할 수 있는 방향으로 변화하기 시작했습니다. Vundo 랜섬웨어는 2009년에 등장했으며, 컴퓨터 시스템을 감염시켜 피해자들에게 가짜 보안 소프트웨어를 설치하도록 유인했습니다. 그런데 실제로는 시스템 내 파일을 암호화한 뒤 이를 복구하는 해결책을 판매하는 랜섬웨어였죠. Vundo는 해커들에게 랜섬웨어가 괜찮은 수익을 낼 수 있다는 인식을 심어줬으며, 온라인 결제 플랫폼의 확장과 함께 랜섬웨어가 정교한 도구로 성장하는데 한 몫을 했습니다.

3) Reveton
경찰을 사칭하는 랜섬웨어로 알려진 Reveton은 더욱 사실적인 위협을 가하기 위해 공권력이라는 무기를 이용했습니다. 이 랜섬웨어는 피해자의 기기에서 불법 행위가 적발되었다는 메시지를 보내 기기 몰수 명목으로 사용 불가 처리를 하는데요. 이후 기기를 복구하기 위해서는 벌금을 지급하도록 유도했습니다. 또한, 협박 메시지에는 피해자의 IP주소를 명시하거나 실시간 메시지를 보내 피해자로 하여금 자신이 온라인상에서 감시되고 있다고 믿게 했습니다.

4) CryptoLocker
2013년 등장한 CryptoLocker는 경찰을 사칭하는 속임수를 쓰지 않고 개인키/공개키 암호화 방식을 통해 랜섬웨어의 판도를 바꾸어 놓았습니다. 피해자들이 3일 이내로 금액을 지급하지 않을 시 암호화된 모든 사용자의 파일을 삭제할 것이라는 메시지를 띄웠는데요. 개인키와 공개키 방식을 결합해 해독이 어렵게 만들었습니다. 또한, CryptoLocker는 감염된 웹사이트를 통해 배포되는 스피어 피싱 기법을 사용했는데 이메일 첨부파일 형태로 기업 네트워크에 침투했습니다.

[그림 2] CryptoLocker 랜섬웨어

5) WannaCry
WannaCry 랜섬웨어는 역사상 가장 큰 규모의 랜섬웨어 공격으로, 2017년 5월 스페인에서 첫 공격이 시작됐습니다. 이후 몇 시간 내 수십 개국의 수백 대 컴퓨터가 같은 바이러스에 감염됐고 전 세계적으로 약 25억 대의 컴퓨터가 감염되는 기록을 남겼습니다.

WannaCry는 윈도우 운영체제에서 사용되는 SMB 원격코드의 취약점을 악용했습니다. 일반적인 랜섬웨어와는 달리 인터넷 네트워크에 접속만 해도 감염됐으며 웜바이러스처럼 복제와 배포를 할 수 있었습니다. 미안보국(NSA)에서는 사전에 인지하고 있었던 윈도우 취약점이었으며, 이를 패치하기보다는 강력한 사이버 무기로 개발하려는 계획이 있었는데요. 실제 이를 기반으로 작성된 랜섬웨어라고 합니다.

[그림 3] WannaCry 랜섬웨어

WannaCry로 인해 기업 컴퓨터 시스템과 전 국민의 윈도우 보안 패치 수준이 올라갔다는 언론 보도도 나왔습니다. 그러나 이후 등장하는 Petya 랜섬웨어로 인해 보안패치가 널리 배포되었음에도 같은 취약점으로 동일한 사고를 겪게 됐죠. LeakerLocker 랜섬웨어의 경우 모바일 사용자 기기내에 있는 민감 정보를 연락처 목록에 공유하겠다는 협박을 사용했습니다.

[그림4] 연도별 주요 랜섬웨어 공격 사례

이렇듯 랜섬웨어별 특징과 역사를 되짚어 보면 초기 랜섬웨어는 단순 위장 애플리케이션으로 시작해 사칭이나 협박 등의 심리전을 이용했습니다. 이후 고도의 암호화 기술이나 웜바이러스 등의 기술적 특징을 조합해 진화하게 됐죠.

[표 1] 랜섬웨어의 진화 방향

2. 시사점과 대응방안

컴퓨터와 스마트폰 외에 사물인터넷의 영향으로 우리 일상의 많은 IoT기기가 인터넷에 연결되고 있습니다. 이런 환경 속에서 해커는 기존의 랜섬웨어를 더욱 정교하게 제작해 우리의 생활과 기업 비즈니스에 악영향을 끼칠 수 있죠. 만약, 기업 관리자가 최선의 기술적•관리적 보호조치를 취했음에도 랜섬웨어에 감염됐다면 어떻게 대응해야 할까요?

이 경우, 기업의 의사결정권자는 해커가 요구하는 돈을 지불하거나 지불하지 않는 두 가지 선택지 중 하나를 선택해야 합니다. 보안 전문가의 의견에 따르면 비용을 지불하는 행위가 선례를 남겨 해커의 공격이 계속될 수 있으므로, 비용을 지불하지 않는 것이 이상적이라고 합니다. 해커의 표적공격과 심리전에 설득돼 비용을 지불하는 것이 데이터 복호화를 보증할 수 없다는 것 또한 유념해야 하죠.

랜섬웨어에 대응하기 위해서는 비용을 투자해 데이터를 백업하고 복구의 신뢰성을 확보하는 것이 가장 안전한 사전 예방 방법임을 기억해야 합니다.

[출처]

위키피디아
시만텍 인터넷 보안 위협 보고서 제24호
Trendmicro Ransomware campaign
MANDIANT 랜섬웨어 공격 트렌드

글 ㅣ LG CNS 배준상

챗봇과 대화를 할 수 있어요