최근 2017년 6월에는 모 웹 호스팅 업체의 Linux 웹 서버 및 백업 서버 153대가 “랜섬웨어”에 감염되어, 5,500여 개에 달하는 개인과 기업 홈페이지가 접근할 수 없었던 사건이 있었습니다. 특히 이 사건은 기업에서 주로 사용하는 Linux 서버가 감염된 국내 최초의 사고 사례였으며, 그 결과로 사업주가 힘들게 일군 회사를 매각하는 일까지 벌어지며 많은 이들의 아쉬움을 불러일으키기도 했습니다.
이와 같은 랜섬웨어는 시스템 화면 또는 파일 등을 암호화하여 사용자가 시스템 접근하지 못하도록 제한하고, 사용자에게 복구를 위한 돈을 지급할 것을 강요하는 일종의 악성 프로그램입니다. 기존의 전통적인 해킹은 보안 수준이 높은 기업을 대상으로 오랜 시간이 걸려 공격을 해야 하지만, 랜섬웨어는 보안 수준이 낮은 일반인을 대상으로 할 수 있으며, 간단한 공격으로도 짧은 시간에 상당한 대가를 가져갈 수 있으므로 최근의 많이 나타나는 해킹 형태입니다. 이런 랜섬웨어의 피해는 날로 심각해져 가고 있습니다.
이번 글에서는 최근의 랜섬웨어의 진화와 랜섬웨어 감염 프로세스에 대해 알아보고 끝으로 대응 방안에 대해 확인해 보겠습니다.
l 화면 잠금형 랜섬웨어1
이런 랜섬웨어는 2013년경 큰 변화를 맞이하는데, 시스템 내부의 문서 파일(Office, 그림 파일, 음악 파일 등)을 암호화하는 형태의 Crypt0L0cker가 등장하면서 치료나 복원이 무척 어려운 형태로 진화하였습니다. 이때 이후로 등장하는 대부분의 랜섬웨어는 파일을 암호화하는 형태를 유지하게 됩니다.
2014년경에는 암호화 파일을 복구하는 대가로 비트코인을 요구하는 랜섬웨어가 나타났고, 다양한 언어로 번역되어 전 세계로 그 피해가 확산 되었습니다.
2016년에는 감염 경로가 확대되어 스팸메일을 통해 전달되는 랜섬웨어(Locky)가 등장하였고, 클라우드 서비스를 이용하여 전달되는 랜섬웨어(PETYA)가 나타났습니다. 또한, 사용자에게 음성으로 감염 사실을 알려주는 랜섬웨어(CERBER) 등 다양한 형태의 랜섬웨어가 등장했습니다.
얼마 전인 2017년 4월에는 Windows에 내장된 파일 공유 프로그램의 취약점을 이용하여 네트워크 내부로 전파되는 WannaCry 랜섬웨어가 전 세계적으로 12만 대 이상을 감염시켜 랜섬웨어로 온 세상이 떠들썩 했습니다.
랜섬웨어가 우리나라에 본격적으로 알려진 것은 2015년 방문자 수 10위권에 해당하는 모 커뮤니티 사이트를 통해 랜섬웨어가 전파되는 일이 발생하면서부터입니다. 초기 랜섬웨어는 취약한 웹페이지를 통해 확산되었으나, 대부분 취약한 페이지가 영어 등 외국어 페이지였기 때문에 언어적 차이로 인해 피해가 크게 드러나지 않았습니다.
그러나 2015년 발생한 랜섬웨어는 한글화되어 피해가 커지면서 우리나라를 노리는 랜섬웨어로 널리 알려지게 되었습니다. 이때 이용된 랜섬웨어가 바로 한글화된 대화 창으로 비트코인을 요구하는 Crypt0L0cker 였습니다.
l 2015년 모 커뮤니티 사이트 랜섬웨어 감염시 나타난 메시지창2
그 이후 수많은 CCC 나 로키 등 많은 랜섬웨어 들이 한글화된 형태로 등장하였고, 2017년 6월에는 앞서 언급한 리눅스 서버를 감염시키는 랜섬웨어(Erebus)가 등장하기도 하였습니다.
l 랜섬웨어의 진행 과정
과정에 대한 내용과 형태는 아래와 같이 요약할 수 있습니다.
l 랜섬웨어의 진행 과정 요약
※ 인터넷 접근 강화
불법자료의 실행 금지, 위험한 사이트의 접근 금지
단축 URL등 내용을 알 수 없는 사이트 접근 금지
중요 시스템 접근 단말의 망분리를 통한 인터넷 차단
※ 시스템 관리 강화
윈도우 뿐만 아니라 MacOS, 리눅스, Unix 등에 대한 검증된 최신 OS 패치 적용
응용 S/W의 최신 패치 적용
출처가 불분명한 프로그램 설치 및 실행 금지
※ 단말 관리 강화
스팸메일 차단 솔루션의 적용
모바일 단말의 경우 스미싱, 큐싱등 차단 솔루션 적용
② 암호화 프로세스의 차단
백신 솔루션을 통한 암호화 프로세스를 차단하는 대응 방안은 다음과 같습니다.
- 시스템 내 미끼 파일을 설치하고 파일 암호화 감시 및 차단
- 사용자가 의도하지 않은 시스템 프로세스의 암호화 처리를 감시 및 차단
③ 피해 확산의 최소화
피해를 입은 경우에도 피해에 대한 확산을 최소화하고 자원을 복원하는 방안
- VDI를 통한 단말 자원을 통제하고 스냅샷 등 기능을 활용하여 피해 최소화
- 분리된 네트워크에 백업 진행 및 실행 권한 차단
- 단말의 경우 네트워크가 분리되고 실행이 불가능한 외부 저장소의 활용
④ 임직원에 대한 보안 인식 교육의 실시
기업 임직원의 행동을 변화 시키기 위한 교육을 수행
- 랜섬웨어의 위험성과 증상, 대응 방안을 교육
⑤ 정부 지원을 활용
정부에서도 랜섬웨어에 대응하기 위한 사이트를 운영하고 있으며 예방과 피해 시 도움을 받을 수 있습니다.
- 보호나라(www.boho.or.kr): 랜섬웨어 정보와 일부 일부 랜섬웨어에 대한 복원 툴을 제공
- 한국 랜섬웨어 침해 대응센터(www.rancert.com): 랜섬웨어 정보와 피해•예방 사례 및 사이트 안전 검사, 단말 안전검사 진행
지금까지 랜섬웨어에 대하여 진화과정과 진행 프로세스, 그리고 대응 방안에 대해 알아보았습니다. 점차 다양해지고 복잡해지는 랜섬웨어의 공격으로부터 시스템을 안전하게 보호하시는 데 도움 되시길 바랍니다.
글ㅣLG CNS 보안컨설팅팀
* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
- 하우리, 알기 쉬운 랜섬웨어, 2015.11.04 (http://www.hauri.co.kr/imageupload/board_image/2015NovWed08.png) [본문으로]
- 한국 타겟형 랜섬웨어 크립토락커(CryptoLocker)분석, 2015.04.21 http://www.wins21.co.kr/blog/blog-sub-01.html?t=31&num=68 [본문으로]
- KISA, 안드로이드를 목표로 한 랜섬웨어 탐지, 2014.05.21 (https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=21088) [본문으로]
- KISA, 애플 맥(Mac) 기기 대상 랜섬웨어 발견, 2017.03.06 (https://www.krcert.or.kr/data/trendView.do?bulletin_writing_sequence=25244) [본문으로]
- 시만텍, Can Ransomware Outsmart a Smartwatch? (https://www.youtube.com/watch?time_continue=4&v=shn3OM0hwwM) [본문으로]
- 보안뉴스, 인터넷나야나 공격 해커, 26억 원 상당의 비트코인 요구, 2017.06.11 (http://www.boannews.com/media/view.asp?idx=55228) [본문으로]
- 인터넷 나야나, [15차공지] 인터넷나야나 대표이사 황칠홍입니다. 2017.07.06 (http://notice.nayana.com/category/notice/) [본문으로]
'IT Solutions > Security' 카테고리의 다른 글
| 랜섬웨어의 진화와 대응 방안 (0) | 09:30:00 |
|---|---|
| 개인정보가 개인정보가 아니어야 한다!? (0) | 2017.08.21 |
| 중국 개인정보 안전규범의 강화! 어떻게 준비해야 할까? (0) | 2017.08.07 |
| 개인영상정보 보호는 어떻게 이루어질까? (0) | 2017.07.17 |
| 기업 담당자가 읽어야 할 사물인터넷 보안 대응 방안 (0) | 2017.07.10 |
| 클라우드 컴퓨팅 보안을 위한 정보보호 고려사항 (0) | 2017.06.15 |
