최근 랜섬웨어(Ransomware) 감염으로 큰 피해를 본 기업들에 관한 기사를 빈번하게 접할 수 있습니다. 랜섬웨어란 사용자 디바이스 또는 네트워크 스토리지 디바이스의 파일을 암호화해 금전을 지불할 것을 요구하는 악성코드의 한 가지 유형입니다.
2000년대 중반에 처음 등장한 랜섬웨어는 약 15년 이상 지속적인 변천과 발전을 거듭하며 현재까지 사이버 위협의 큰 부분을 차지하고 있습니다. 최초로 발견된 것으로 알려진 랜섬웨어는 단순하게 파일을 압축하고 암호를 설정하는 형태로 시작되었으나, 점차 시간이 지나면서 다양하고 고도화된 기술과 전략을 사용하기 시작했습니다.
이러한 전략의 일환으로, 랜섬웨어 공격자들은 개인보다는 상대적으로 경제적 손실의 규모가 큰 기업을 주요 목표로 하고, 가상화폐를 통해 금액을 지불 받아 익명으로 돈을 송금 받고 있습니다. 또한 한 대의 PC를 감염시킨 이후 동일한 네트워크에 연결된 다른 여러 PC로 감염을 전파해 피해 범위를 확대했으며, 심지어 이러한 랜섬웨어를 제작해 판매하는 서비스형 랜섬웨어(RaaS)가 등장하기도 했습니다.
일부 랜섬웨어 분석 업체에 의하면 지난 한 해 동안 국내의 랜섬웨어 피해 금액이 1조 원이 넘는다고 합니다. 그렇다면 랜섬웨어 피해자들은 공격자들의 어떤 기술과 전략에 속수무책으로 당하고 있는 것일까요?
이번 시간에는 이러한 최신 랜섬웨어의 특징인 파일리스(Fileless) 기법, 투 트랙(Two Track) 전략과 이에 대한 대응 방안에 대해 알아보도록 하겠습니다.
‘파일리스’ 파일 없는 악성코드?
● 파일리스(Fileless)란
최신 악성코드가 자주 사용하는 고도의 기술인 파일리스(Fileless)는 하드디스크 내에 악성 파일을 생성하지 않고도 오직 메모리에서만 악성 행위를 할 수 있도록 하는 기법입니다. 이를 위해서 악성코드는 기존 운영체제에 자체적으로 내장된 프로그램이나 도구를 활용합니다.
이런 악성코드를 영어적 표현으로 ‘Living off the Land(LoL)’라고 부르기도 하는데요. 직역하면 ‘땅에서 농사를 짓고 먹고사는’, ‘자급자족의 시스템 속에서 살아가는’이라는 뜻입니다. 즉, 따로 악성 파일을 생성하지 않고 기존의 운영체제가 이미 가지고 있는 도구를 사용하는 것만으로 모든 악성 행위를 수행하는 것이죠.
● 파일리스 기법에서 자주 사용되는 윈도우 도구
앞서 파일리스 악성코드가 기존의 피해자 PC에 이미 존재하는 도구를 활용한다고 말씀드렸는데요, 그렇다면 파일리스 악성코드는 윈도우의 어떤 도구를 활용해 악성 행위를 수행하는지 두 가지를 소개해 드리겠습니다.
1) 윈도우 관리 도구(Windows Management Instrument)
윈도우 관리 도구(WMI)란 Windows NT4.0 / 95부터 모든 윈도우 운영체제에 탑재된 기능으로, 윈도우 운영체제에서 사용하는 수많은 자원을 로컬 또는 원격 환경에서 관리할 수 있도록 설계된 도구입니다.
2) 파워쉘(Power Shell)
파워쉘은 일반 윈도우 명령어 쉘(cmd)보다 더 많고 강력한 기능을 제공하는 인터페이스 및 스크립트 언어입니다. 파워쉘 또한 윈도우 관리 도구와 동일하게 윈도우 운영체제에 기본으로 탑재되어 있습니다.
이러한 ‘파워쉘’과 ‘윈도우 관리 도구’는 시스템 관리자에게는 편리한 관리자 업무 수행이 가능하도록 하지만, 이것이 공격자에 의해 활용될 경우 간편하게 기존의 보안솔루션에 탐지되지 않고 은밀한 공격을 할 수 있는 최적의 도구로 악용될 수 있습니다.
공격자는 위의 두 가지 도구를 사용해 공격 대상의 정보를 손쉽게 수집할 수 있으며, 공격에 활용할 악성 스크립트와 같은 데이터를 임시로 보관하고 이를 주기적으로 실행시킬 수 있습니다. 이는 디스크에 저장하지 않고 메모리를 주로 활용하는 파일리스 기법에서, 메모리의 휘발 특성으로 인해 전원공급 중단 시 심어 놓은 악성코드가 사라질 수 있다는 점을 보완하는 역할을 하는 것이기도 합니다.
● 파일리스 악성코드에 대한 기존 대응 방안의 한계
이러한 파워쉘과 윈도우 관리 도구를 통해 이루어진 악성 행위는 안티바이러스(Anti-Virus) 솔루션을 통한 ‘사전 탐지’와, 침해 사고 발생 이후의 ‘사후 분석’을 어렵게 만듭니다.
기존의 안티바이러스는 과거에 악성 행위를 하는 것으로 알려진 악성 파일만이 가지고 있는 하나의 특성인 서명 값(Hash)와 일치하는 파일이 생성 및 실행될 경우 이를 탐지합니다. 이때 PC 안에 파일이 생성되었다는 것은 컴퓨터의 ‘하드디스크’에 파일이 기록되었다는 것을 의미합니다. 그러나, 파일리스 악성코드는 탐지할 파일 자체가 하드디스크에 기록되지 않고 ‘메모리’에서만 실행되니 안티바이러스 솔루션을 빠져나갈 수 있는 것이죠.
또한 악성 행위가 일어난 이후에 어떠한 악성 행위가 있었는지 사후분석을 수행할 때에도 어려움을 겪게 됩니다. 위 두 가지 도구는 일반 시스템 관리자에 의해서도 빈번히 활용되므로 악성 행위와 정상 행위를 명확히 구분해 내는 것에 어려움이 있기 때문입니다.
● 파일리스 기법이 사용된 랜섬웨어 감염 사례
지난 2017년, 파일 공유 프로토콜(SMB) 취약점을 악용해 전 세계 150여 개국의 1만 개 이상의 기관과 20만 명의 개인 피해자를 감염시킨 것으로 알려져 큰 파장을 불러일으킨 “WannaCry” 랜섬웨어에서도 이러한 파일리스 기법이 사용되었습니다.
WannaCry는 특정 C&C 서버로부터 파워쉘로 작성된 악성 스크립트(in3.ps1 등)를 다운로드해 실행시켜, 앞서 설명한 윈도우 관리 도구인 WMI 클래스(systemcore_Updater4)에 악성코드를 등록합니다. 또한, WMI에 추가 악성 스크립트를 등록해 재부팅 시에도 동작하도록 연결하는 작업을 수행한 것으로 확인되었습니다.
‘투 트랙 전략’ 복호화 후에도 금전 요구?
● 투 트랙 전략(Two Track)이란?
파일리스 기법이 랜섬웨어의 기술적인 부분에서 발전이라면, 투 트랙 전략은 공격자들이 금전적 이득을 얻기 위해 취하는 전략적 부분의 진화라고 볼 수 있습니다. 기존의 랜섬웨어는 컴퓨터의 모든 파일을 암호화해, 복호화에 대한 금전적 보상을 요구하는 방식으로 이루어집니다. 따라서 이미 인터넷에 배포된 툴을 통해 복호화가 가능하거나 데이터 백업이 되어있는 경우에는 쉽게 문제가 해결되죠.
그러나, 이제는 자체적인 데이터 복구가 가능하다고 안심할 수 없는 상황이 되었습니다. 공격자들이 단순 암호화뿐만 아니라 정보 유출을 무기로 협박하는 두 가지 방법(Two Track)을 사용하고 있기 때문입니다. 이들은 자신들이 해킹에 성공한 기업의 중요 정보를 가지고 있으며 돈을 주지 않으면 이 정보를 모두 인터넷에 공개하겠다고 주장합니다.
● 투 트랙 전략이 사용된 랜섬웨어 감염 사례
하나의 사례로, 최근 해외의 A 社는 MAZE 랜섬웨어에 감염되어 해당 랜섬웨어의 공격자들로부터 데이터를 유출의 협박을 받고 있는 것으로 알려지기도 했습니다. 실제로 감염된 PC에 나타난 랜섬노트에는 3일 안에 금액을 지불하지 않으면 데이터를 공개하겠다는 내용을 찾아볼 수 있었습니다.
대응 방안
그렇다면 이렇게 다양한 기법으로 고도화된 랜섬웨어 공격에 어떻게 대응해야 하는지 한번 알아보도록 하겠습니다.
● 출처가 불분명한 메일 열람 및 URL 링크, 첨부파일 실행에 유의
피싱 메일은 공격자가 다른 네트워크에 있는 특정 PC로 최초 진입하고자 할 때 가장 간단하게 시도할 수 있는 방법입니다. 사용자가 속을 만한 내용으로 위장해 메일을 작성한 뒤, 첨부파일이나 URL로 악성코드를 전달하기만 하면 되기 때문입니다.
MS에서 발간한 보안 인텔리전스 리포트에 따르면 피싱 메일을 통한 공격은 지속적인 증가 추세에 있으며, 실제로 피싱 메일에 사용되는 콘텐츠 또한 점점 더 정교하게 발전해 가고 있는 양상을 보이고 있습니다.
● 주요 서비스 포트 접근 통제 및 패스워드 강화
공격자들은 인터넷에 공개되어 있는 서비스를 발견하는 것으로부터 시작하는 경우가 많으며 실제 백신 업체의 통계 자료에 따르면 랜섬웨어 최초 공격 경로 가장 많이 지목된 것은 원격 데스크톱 서비스(RDP, Remote Desktop Protocol)에 대한 침해였습니다.
이렇게 원격 데스크톱 서비스를 비롯해 외부에서의 접근이 가능한 서비스를 사용해야 할 경우에는 접속자에 대한 IP를 지정해 사용하도록 접근 통제가 이루어져야 합니다. 물론 원칙적으로는 원격에서 접속하지 못하도록 하는 것이 맞습니다. 또한, 인터넷상에 이러한 서비스가 반드시 열려 있어야 하는 경우 무작위 대입 공격에 대응하기 위해 접속 계정의 패스워드 복잡도를 강화하고 주기적 변경이 이루어져야 합니다.
● 엔드포인트 보안 솔루션(EDR) 활용
EDR(Endpoint Detection and Response) 솔루션은 엔드포인트단에서의 프로세스 생성, 레지스트리 변경, 인터넷 접속기록, 파일 다운로드 등의 다양한 정보를 수집하고 비정상 행위를 탐지할 수 있는 기능을 제공하는 솔루션입니다.
단순 ‘파일’ 기반의 탐지를 제공하는 안티바이러스 소프트웨어와는 달리, EDR을 통해서는 악성코드가 수행하는 초기 접근, 침해 지속, 측면 이동 등의 악성 ‘행위’ 자체를 탐지할 수 있고 원한다면 원격지에서 특정 프로세스를 종료하는 등의 강력한 대응까지 가능합니다.
● 중요 데이터 백업 및 암호화와 백신 최신 업데이트 적용
중요 데이터는 정기적으로 분리된 네트워크에 존재하는 별도의 매체에 백업해 저장해야 하며 필요한 경우 암호화해 보관할 수 있도록 해야 합니다. 또한, 사용하고 있는 백신을 항상 최신 버전으로 업데이트해 파일 기반의 이미 알려진 공격에 대해서 방어할 수 있도록 해야 합니다.
지금까지 최신 랜섬웨어에서 나타나는 두 가지 특징에 대해서 알아보았습니다. 현재도 진화를 거듭하는 랜섬웨어 공격으로 인해 각 기업과 개인은 크고 작은 피해를 입고 있습니다. 이러한 공격으로부터 시스템을 지키기 위해 사용자들은 더욱 관심과 경각심을 가지고 대응 방안에 따라 조치를 취해야 할 것입니다.
글 l LG CNS 보안서비스팀
[참고 자료]
- https://asec.ahnlab.com/1249
- https://www.bleepingcomputer.com/news/security/business-giant-xerox-allegedly-suffers-maze-ransomware-attack/
- https://www.cisecurity.org/blog/top-10-malware-april-2020/
- https://www.microsoft.com/security/blog/2019/12/02/spear-phishing-campaigns-sharper-than-you-think/
- https://www.coveware.com/blog/q2-2020-ransomware-marketplace-report