랜섬웨어란?
랜섬웨어는 일종의 맬웨어(악성 소프트웨어)로, 사이버 범죄자들이 이용합니다. 컴퓨터나 네트워크가 랜섬웨어에 감염되면 해당 랜섬웨어에서 시스템에 대한 액세스를 차단하고 데이터를 암호화합니다. 사이버 범죄자들은 데이터를 풀어주는 대신 몸값을 요구합니다. 랜섬웨어 감염을 방지하려면 제대로 감시해야 하고 보안 소프트웨어도 필요합니다. 맬웨어 공격의 피해자들은 감염 후 세 가지 옵션 중 선택할 수 있습니다. 즉, 몸값을 지불하거나 맬웨어를 제거하거나 기기를 다시 시작하는 것입니다. 갈취 트로이 목마에서 자주 사용하는 공격 벡터에는 원격 데스크톱 프로토콜, 피싱 이메일, 소프트웨어 취약점이 있습니다. 랜섬웨어 공격 대상은 개인과 기업이 모두 해당될 수 있습니다.
랜섬웨어 식별 – 기본적인 구별 방법
특히 다음 두 가지 유형의 랜섬웨어가 널리 사용됩니다.
- Locker 랜섬웨어. 이 악성 코드 유형은 기본 컴퓨터 기능을 차단합니다. 예를 들어, 데스크톱에 대한 액세스가 거부되거나 마우스와 키보드가 부분적으로 사용 불가 상태가 됩니다. 이는 사용자가 대금을 지불하도록 몸값을 요구하는 창과 상호 작용을 지속할 수 있게 하는 것입니다. 그 외에는 컴퓨터가 작동되지 않습니다. 하지만, Locker 맬웨어의 경우 중요한 파일을 목표로 하지 않고 그저 사용자가 접근하지 못하게 할 뿐입니다. 따라서 데이터를 완전히 파괴하는 경우는 거의 없습니다.
- Crypto 랜섬웨어. Crypto 랜섬웨어의 목표는 사용자의 중요 데이터(문서, 사진, 동영상)를 암호화하지만, 기본적인 컴퓨터 기능을 방해하지는 않습니다. 사용자가 자신의 파일을 볼 수는 있지만 액세스할 수 없으므로 매우 당황하게 됩니다. Crypto 개발자들은 몸값 요구에 카운트다운을 덧붙여서 '기한까지 몸값을 지불하지 않으면 모든 파일은 삭제된다'고 합니다. 다수의 사용자들이 클라우드나 외부의 물리적 저장 장치에 백업할 필요를 느끼지 않으므로 Crypto 랜섬웨어는 엄청난 충격을 줄 수 있습니다. 그 결과, 파일을 돌려받기 위해 몸값을 지불하는 피해자들이 많습니다.
Locky, Petya, co.
지금까지 랜섬웨어와 두 가지 주요 유형을 살펴보았습니다. 다음으로 몇 가지 잘 알려진 예를 통해 랜섬웨어의 위험성을 식별할 수 있습니다.
Locky
Locky는 2016년 조직적인 해커 집단에 의해 최초로 공격이 감행된 랜섬웨어입니다. Locky는 160개가 넘는 파일 유형을 암호화하고 감염된 첨부 파일이 있는 가짜 이메일을 매개체로 전파되었습니다. 사용자들은 이메일 속임수에 넘어가 본인의 컴퓨터에 랜섬웨어를 설치했습니다. 이 방법을 피싱이라고 하며, 소셜 엔지니어링으로 알려진 형식입니다. Locky 랜섬웨어는 디자이너, 개발자, 엔지니어 및 테스터가 주로 사용하는 파일 유형을 대상으로 합니다.
WannaCry
WannaCry는 2017년 150개 이상의 국가에서 감행된 랜섬웨어 공격으로, Windows의 보안 취약점을 악용하도록 설계되었으며, NSA에서 제작하고 Shadow Brokers 해커 그룹이 유출했습니다. WannaCry는 전 세계 23만 대 이상의 컴퓨터에 영향을 미쳤습니다. 영국의 NHS 병원 중 1/3이 이 공격을 받았고 9,200만 파운드의 손해를 입은 것으로 추정됩니다. 사용자들은 잠금 상태로 접근이 불가능했고 몸값을 비트코인으로 지불하라는 요구를 받았습니다. 이 공격으로 오래된 시스템 문제가 드러났는데, 해커가 공격 당시 패치 프로그램이 출시된 지 오래된 운영 체제의 취약점을 악용했기 때문입니다. WannaCry로 인한 전 세계의 피해 금액은 대략 미화 40억 달러로 추정됩니다.
Bad Rabbit
Bad Rabbit은 2017년에 발생한 랜섬웨어 공격으로, 소위 드라이브 바이 공격을 통해 확산되었습니다. 안전하지 않은 웹사이트가 공격 전달에 사용되었습니다. 드라이브 바이 랜섬웨어 공격에서는 사용자가 실제 웹사이트를 방문해도 해커에 의해 손상된 사이트라는 사실을 알지 못합니다. 대다수 드라이브 바이 공격의 경우, 사용자는 그저 손상된 페이지를 호출할 뿐입니다. 하지만 설치 프로그램에 악성 코드가 숨어 있어, 이를 실행하면 감염으로 연결됩니다. 이것을 맬웨어 드로퍼라고 합니다. Bad Rabbit은 사용자가 가짜 Adobe Flash 설치 프로그램을 실행하게 하여 컴퓨터를 맬웨어에 감염시킵니다.
Ryuk
Ryuk는 2018년 8월에 확산된 암호화 트로이 목마로, Windows 운영 체제의 복구 기능을 사용 불가 상태로 만들었습니다. 외부 백업 없이 암호화된 데이터를 복원할 수 없게 합니다. Ryuk는 또한, 네트워크 하드 디스크도 암호화했습니다. 그 충격은 대단해서 미국의 많은 조직들이 요구 받은 몸값을 지불했습니다. 총 손해 금액이 64만 달러가 넘는 것으로 추산됩니다.
Shade/Troldesh
Shade 또는 Troldesh 랜섬웨어 공격은 2015년 발생했으며, 스팸 이메일에 포함된 감염 링크나 첨부 파일을 통해 확산되었습니다. 흥미롭게도, Troldesh 공격은 이메일을 통해 피해자와 직접 연락했습니다. '좋은 관계'를 맺었던 피해자들은 할인을 받았습니다. 하지만, 이는 극히 예외적인 경우입니다.
Jigsaw
Jigsaw는 2016년에 시작된 랜섬웨어 공격입니다. 이 공격의 이름은 Saw 영화 시리즈를 통해 잘 알려진 인형 이미지가 표시된 데서 비롯되었습니다. 몸값을 지불하지 않은 상태로 한 시간이 지날 때마다 Jigsaw 랜섬웨어가 파일을 추가로 삭제했습니다. 공포 영화의 이미지를 사용해서 피해자에게 더 많은 스트레스를 주었던 공격이었습니다.
CryptoLocker
CryptoLocker는 2007년에 처음 발견된 랜섬웨어로, 감염된 이메일 첨부 파일을 통해 확산되었습니다. 이 랜섬웨어는 감염된 컴퓨터에서 중요 데이터를 찾아 암호화했습니다. 약 50만 대에 달하는 컴퓨터가 피해를 입었습니다. 사법 기관과 보안 회사들의 노력으로, CryptoLocker 전파에 사용되도록 하이재킹된 가정용 컴퓨터의 전 세계 네트워크를 관리 및 통제할 수 있게 되었습니다. 이로 인해, 기관과 회사들은 범죄자들이 알지 못하게 네트워크를 통해 전송되는 데이터를 가로챌 수 있었습니다. 결국, 온라인 포털을 만들어 피해자들이 데이터를 잠금 해제할 수 있는 키를 확보했습니다. 그 결과, 범죄자들에게 몸값을 지불하지 않고 데이터가 해제되었습니다.
Petya
Petya(ExPetr와 다름)는 2016년 발생한 랜섬웨어 공격으로, 2017년에 GoldenEye로 부활했습니다. 특정 파일을 암호화하는 대신, 피해자의 하드 디스크 전체를 암호화합니다. MFT(Master File Table)를 암호화하는 방법으로, 하드 디스크의 파일에 액세스할 수 없게 만듭니다. Petya 랜섬웨어는 기업의 HR 부서로 확산되었는데, 감염된 Dropbox 링크가 포함된 가짜 애플리케이션이 사용되었습니다.
Petya의 변형으로 Petya 2.0이 있으며 일부 주요 요소에서 차이가 있습니다. 하지만 공격 감행 측면에서는 둘 다 기기에 치명적입니다.
GoldenEye
Petya는 GoldenEye로 부활하여 2017년에 전 세계 랜섬웨어 감염을 주도했습니다. GoldenEye는 WannaCry의 '죽음의 형제'라고도 하는데, 2천 개 이상의 표적을 공격했으며 여기에는 러시아의 유명 석유 생산 기업과 여러 은행이 포함됩니다. 이와 같이 경종을 울리는 사건이 거듭되는 가운데, GoldenEye는 체르노빌 핵 발전소의 Windows 컴퓨터에 접근하지 못하게 하여 직원이 방사능 수치를 직접 점검해야 하는 상황까지 발생했습니다.
GandCrab
GandCrab은 피해자의 외설적 습관을 폭로하겠다고 협박한 악의적인 랜섬웨어로, 피해자의 웹캠을 해킹한 후 몸값을 요구했습니다. 몸값을 지불하지 않으면 피해자의 부끄러운 장면을 온라인에 게시하겠다는 것입니다. 2018년 처음 등장한 이후 GandCrab 랜섬웨어는 여러 버전으로 발전해 왔습니다. 'No More Ransom' 운동의 일환으로, 보안 공급업체와 경찰 기관에서는 랜섬웨어 복호화 도구를 개발하여 피해자들이 GandCrab으로부터 민감한 데이터를 복구할 수 있도록 지원합니다.
B0r0nt0k
B0r0nt0k는 Crypto 랜섬웨어로, Windows 및 Linux 기반 서버에서 주로 활동합니다. 이 유해 랜섬웨어는 Linux 서버의 파일을 암호화하고 '.rontok'이라는 파일 확장명을 붙입니다. 이 경우 파일에 대한 위협일 뿐 아니라, 시작 설정을 바꾸고 기능 및 애플리케이션을 비활성화하며 레지스트리 항목과 파일, 프로그램을 추가합니다.
Dharma Brrr 랜섬웨어
Brrr는 새로운 Dharma 랜섬웨어로, 해커가 직접 설치한 후 인터넷에 연결된 데스크톱 서비스에 침투합니다. 해커가 이 랜섬웨어를 활성화하면 곧바로 파일을 찾아 암호화하기 시작합니다. 암호화된 데이터는 파일 확장명이 '.id-[id].[email].brrr'이 됩니다.
FAIR RANSOMWARE 랜섬웨어
FAIR RANSOMWARE는 데이터를 암호화하는 것이 목적인 랜섬웨어입니다. 강력한 알고리즘을 사용하여 피해자의 모든 개인 문서와 파일을 암호화합니다. 이 악성 코드로 암호화한 파일에는 확장명이 '.FAIR RANSOMWARE'로 추가됩니다.
MADO 랜섬웨어
MADO 랜섬웨어는 Crypto 랜섬웨어의 또 다른 유형입니다. 이 랜섬웨어로 암호화된 데이터는 확장명이 '.mado'가 되고, 더 이상 열리지 않습니다.
랜섬웨어 공격
앞서 언급했던 대로, 랜섬웨어는 전 방면에 걸쳐 표적을 찾습니다. 대개 랜섬웨어가 요구하는 금액은 100달러에서 200달러 사이입니다. 하지만, 일부 기업 공격에서는 훨씬 많은 금액을 요구하는데, 특히 공격자가 차단한 데이터로 인해 기업에 엄청난 재정적 손실이 있을 경우 더욱 그러합니다. 사이버 범죄자들은 이러한 방법으로 큰 돈을 벌 수 있습니다. 다음 두 가지 예는 랜섬웨어 유형보다 사이버 공격 피해자가 더 중요한 경우입니다.
WordPress 랜섬웨어
WordPress 랜섬웨어는 그 이름대로 WordPress 웹사이트 파일을 표적으로 합니다. 피해자는 랜섬웨어가 늘 그렇듯이 몸값을 갈취당했습니다. WordPress 사이트의 수요가 많아질수록 랜섬웨어를 사용하여 사이버 범죄자들이 공격할 가능성도 더 증가합니다.
Wolverine 케이스
Wolverine Solutions Group(의료 서비스 공급업체)은 2018년 9월 랜섬웨어 공격의 희생자였습니다. 맬웨어가 이 업체의 파일을 대량 암호화하여 직원들이 열 수 없게 되었습니다. 다행히, 10월 3일에 포렌식 전문가들이 복호화하여 데이터를 복원할 수 있었습니다. 그러나, 이 공격으로 많은 환자 데이터가 손상되었습니다. 이름, 주소, 의료 데이터 및 기타 개인 정보가 사이버 범죄자의 수중에 들어갔을 수 있습니다.
RaaS(Ransomware as a Service)
RaaS(Ransomware as a Service)를 통해 기술적 능력이 낮은 사이버 범죄자들도 랜섬웨어 공격을 감행할 수 있게 되었습니다. 맬웨어를 구매할 수 있게 되었으므로, 소프트웨어의 프로그래머들이 위험은 줄이고 이익은 높이는 결과를 얻게 된 것입니다.
결론
랜섬웨어 공격은 다양한 양상을 띠며 그 유형과 규모가 매우 다양합니다. 사용된 랜섬웨어의 유형에서는 공격 벡터가 중요한 요소가 됩니다. 공격의 규모와 정도를 추정하려면 항상 가장 중요한 문제가 무엇인지 또는 삭제 또는 게시될 가능성이 있는 데이터가 무엇인지를 고려해야 합니다. 랜섬웨어 유형에 관계없이 사전에 데이터를 백업하고 보안 소프트웨어를 적절히 채택하여 공격의 강도를 현저히 줄일 수 있습니다.
추천 제품:
