랜섬웨어 총정리

1. 랜섬웨어의 개념

랜섬웨어는 피해자의 데이터, 파일, 장치 또는 시스템을 잠그고 암호화하는 공격이다. 그래서 공격자는 몸값을 받을 때까지 해당 시스템에 접근하거나 사용할 수 없도록 만든다.

초창기 랜섬웨어는 피해자가 파일과 시스템에 액세스하는 것을 방지하기 위해 암호화만 사용했다. 그러나 정기적인 백업을 받은 피해자는 데이터를 복원할 수 있었기 때문에 몸값을 지불할 필요가 없었다. 그래서 언제나 백업이라는 것은 여전히 소중하게 여겨지는 것일 테다. 그런데 그것을 가만히 냅둘 공격자가 아니다. 공격자들은 피해자를 협박하여 몸값을 지불하도록 추가 위협을 가하는 사이버 갈취 전술을 통합하기 시작했다. 또한, 공격자들은 조직이 데이터를 복원하는 것을 막기 위해 피해자의 백업을 점점 더 표적으로 삼기 시작했다. Veeam의 '2023년 랜섬웨어 동향 보고서' 내용에 따르면, 전년도 랜섬웨어 공격의 93% 이상이 특히나 백업 데이터를 표적으로 삼았다는 사실이 드러났다.

악성 코드는 사용자 시스템에 대한 무단 액세스를 가능하게 하는 악성 소프트웨어를 총칭하는 용어라고 할 수 있다. 랜섬웨어는 피해자가 데이터에 다시 액세스할 수 있도록 데이터 잠금을 해제하고 해독하기 위해 비용을 요구하는 악성 코드의 하위 개념인 것이다.

랜섬웨어는 개인, 조직, 심지어 정부기관까지 이르러 치명적일 수 있다. 이러한 공격은 지속적으로 성공을 거두고 있기 때문에 금전적인 동기를 지닌 공격이 점점 일반화되고 있다. Verizon의 '2023년 데이터 위반 조사 보고서'에서는 전체 데이터 위반 케이스의 24%에 랜섬웨어가 관여한 것으로 나타났다. 또한, Sophos의 '2023년 랜섬웨어 현황'에서는 지난 1년 동안 조직의 66%가 랜섬웨어 공격을 경험했다고 한다.

 

2. 랜섬웨어 공격의 과정

랜섬웨어는 일반적으로 6가지의 단계를 따른다. 

 

ㄱ. 악성코드 유포 및 감염

 

공격자는 몸값을 요구하기 전에 피해자의 시스템에 침투하여 악성 코드를 감염시켜야 한다. 가장 일반적인 랜섬웨어 공격은 피싱, 원격 데스크탑 프로토콜(RDP) 및 자격 증명 남용, 기타 소프트웨어 취약점이다.

 

가장 널리 사용되는 사회 공격 유형인 피싱은 여전히 모든 유형의 맬웨어에 대한 최고의 공격 방법이다. 공격자는 합법적인 것처럼 보이는 이메일, 사이트 등에 악성 파일을 엮어 사용자가 무의식적으로 악성 코드를 설치하도록 속인다. 스미싱, 스피어 피싱, 워터링 홀 같은 것들은 타깃을 속임으로써 공격하는 모든 형태의 피싱 공격이라 할 수 있다.

RDP 및 자격 증명 남용은 합법적인 사용자로 로그인한 후, 네트워크를 감염시키려는 목적으로 Brute Force Attack이나 자격 증명 스터핑 공격을 사용하거나, 다크 웹 등에서 자격 증명을 구매하는 것들이 있다. 공격자가 가장 선호하는 방식인  RDP는 관리자가 거의 모든 곳에서 서버와 데스크탑에 엑세스할 수 있게 하고, 사용자가 원격으로 데스크탑에 엑세스할 수 있게 해주는 프로토콜이다. 이때 부적절하게 구현된 RDP는 일반적인 랜섬웨어의 진입점으로 쓰이게 되는 것이다.

 

소프트웨어 취약점도 랜섬웨어 감염의 빈번한 표적이 된다. 공격자는 패치가 적용되지 않았거나 오래된 소프트웨어를 공격하여 피해자의 시스템에 침투한다. 역사상 가장 큰 랜섬웨어 사건 중 하나인 워너크라이(WannaCry)는 패치되지 않은 윈도우 SMB 프로토콜 버전의 취약점인 이터널블루 Exploit과 관련이 깊기도 하다.

ㄴ. 명령과 통제

랜섬웨어 공격자가 설정하고 운영하는 C&C(명령 및 제어) 서버는 암호화 키를 대상 시스템에 보내고 추가 악성코드를 설치하며 랜섬웨어의 다른 단계를 진행한다.

ㄷ. 탐색과 네트워크 측면 이동
이 단계에서는 공격자가 성공적인 공격을 하기 위한 작업을 한다고 볼 수 있다. 먼저 타깃 네트워크에 대한 정보를 수집한 다음, 감염을 다른 장치로 확산시키고 액세스 권한을 높여 귀중한 데이터를 찾는 작업이 포함된다.

ㄹ. 악의적인 도난 및 파일 암호화
이 단계에서 공격자는 데이터를 C&C 서버로 유출하여 강탈 공격에 사용한다. 그런 다음, 공격자는 C&C 서버에서 전송된 키를 사용하여 데이터와 시스템을 암호화한다.

ㅁ. 갈취
공격자는 몸값을 요구한다. 이제 조직은 자신이 랜섬웨어 공격의 피해자라는 것을 알고 있다.

ㅂ. 해결
피해 조직은 공격을 해결하고 복구하기 위해 조치를 취해야 한다. 여기에는 백업 복원, 랜섬웨어 복구 계획 실현, 몸값 지불, 공격자와 협상 또는 처음부터 시스템 재구축이 포함될 수 있을 것이다.

 

2.1 랜섬웨어 공격이 조직에 미치는 영향

공격의 정교함, 공격자의 동기, 피해자의 방어 능력에 따라 랜섬웨어의 결과는 사소한 불편함부터 비용이 많이 들고 고통스러운 복구, 완전한 파괴까지 다양할 수 있을 것이다.

사람들은 "랜섬웨어에 걸렸습니다.."라는 말을 들으면 대개 몸값 요구 금액에 마음이 쏠릴 수밖에 없다. Sophos 조사에 따르면, 2023년 평균 랜섬웨어 지불액은 154만 달러(한화 약 20억)로 전년도의  약 81만 달러보다 상당히 증가했다.

그러나 각 조직이 랜섬웨어 공격을 당함으로써 지불한 총 비용은 앞서 말한 평균 몸값을 훨씬 상회한다. IBM의 '2023년 데이터 침해 비용 보고서'에 따르면, 랜섬웨어 공격에 따른 평균 금액은 513만 달러(한화 약 66억)로 전년 대비 13% 증가했으며, 이 비용은 몸값 지불 비용은 제외한 것이다. 그러니 몸값까지 고려한다면, 평균적으로 랜섬웨어로 인한 피해 금액이 86억에 달했다는 것이다.

그렇게 피해 금액이 늘어난 데에는 다양한 요소가 있다. 데이터 유출 또는 손실 정도, 시스템의 가용 중지 시간, 생산성의 저하 여부, 수익 손실, 법률 및 규정 위반으로 인한 벌금 등이 그것에 속한다.

한편, 그렇게만 끝나면 차라리 다행이다. 랜섬웨어의 공격은 다음과 같은 여파를 낳는다. 조직의 평판 손상, 직원의 사기 저하(특히 보안 부서), 고객의 신뢰도 및 충성도 저하, 이후에도 공격의 타깃이 될 가능성 증가 등이 있다. 그런데 국내의 경우 사이버 보험도 여전히 규모가 작은 데다가 가입을 하기가 쉽지가 않다.

 

3. 랜섬웨어의 유형

랜섬웨어에 대해 학습하다 보면, 뭐 이렇게 많나 싶다. 그렇게나 많은 랜섬웨어는 전달 방식과 공격 정도에 따라 정의되고 분류된다. 전송에는 RaaS, 자동 전송, 사람에 의한 전송이 있다. 공격 정도는 데이터 가용성 침해, 데이터 파괴, 데이터 삭제, 데이터 유출 및 갈취 등이 있다.

 

- Locker: 피해자의 데이터나 시스템을 완전히 잠근다.

- Crypto: 피해자의 파일 전체 또는 일부를 암호화한다.
- Scareware: 피해자로 하여금 랜섬웨어에 감염되지 않았을 수도 있는 기기가 랜섬웨어에 감염되었다고 믿도록 겁을 준다. 그런 다음, 공격자는 랜섬웨어가 실제로 데이터를 훔치거나 추가 악성 코드를 다운로드할 때, 랜섬웨어를 제거할 것으로 알려진 소프트웨어를 구입하도록 피해자를 속인다.
- Extortionware(=Leakware, Doxware, Exfiltrationware):  공격자가 피해자의 데이터를 훔치고 이를 공개하거나 다크 웹에 판매하겠다고 위협하는 방식이다.
- Wiper: 랜섬웨어처럼 행동하지만, 실제로는 피해자가 몸값을 지불하더라도 시스템에서 데이터를 삭제하는 파괴적인 형태의 악성코드이다. 랜섬웨어 중에서도 신뢰도를 고려해야 한다니 참 말세다.

- 이중 강탈 랜섬웨어: 피해자의 데이터를 암호화하고, 데이터를 유출하여 피해자가 몸값을 두 번 지불하도록 강제한다.

- 삼중 강탈 랜섬웨어: 피해자의 데이터를 암호화하고, 데이터를 유출하며, 또한 피해자를 갈취하며 세 번째 위협을 추가한다. 종종 이 세 번째 공격은 DDoS 공격 이거나 피해자의 고객, 파트너, 공급업체 및 이해관계자가 몸값을 지불하거나 처음 감염된 조직에 지불을 촉구하는 것이다. 이로 인해 공격자는 단일 공격에 대해 3번 이상의 몸값을 받을 수 있다.

 

* 랜섬웨어 유형이 아닌 그저 전달 모델인 RaaS가 랜섬웨어 유형 목록에 포함되는 경우가 있다. RaaS는 랜섬웨어 개발자가 랜섬웨어 운영자에게 악성코드를 판매하고, 랜섬웨어 운영자는 개발자에게 공격 수익의 일정 비율을 제공하는 구독 기반 모델이다. 랜섬웨어와는 엄연히 다른 것이다.

 

4. 일반적인 랜섬웨어의 타겟

중요 인프라, 교육, 의료 등 특정 산업이 랜섬웨어 피해자가 되어 헤드라인을 장식하는 경향이 있기는 하다. 그런데 그건 그게 그만큼 영향력이 크니까 뉴스에 자주 나오는 것일 뿐, 규모나 업종에 관계없이 어떤 조직도 랜섬웨어 공격으로부터 면역되지 않는다는 것에 유의하는 게 중요하다.

Sophos 보고서 내용에 따르면, 다음의 분야가 랜섬웨어 공격의 먹음직스러운 먹잇감으로 뽑혔다.
교육,  건설 및 부동산, 정부 및 지자체, 미디어 & 엔터테인먼트, 소매, 에너지 및 유틸리티 인프라, 유통 및 운송, 금융 서비스, 법률 서비스, 보건 의료, 제조 및 생산, IT & 기술 및 통신...으로 말이다. 이 항목을 보면 고개가 갸우뚱해질 수 있다. 사실상 뭐 대부분의 회사를 말하는 게 아닌가 싶으니 말이다.

 

5. 최근의 랜섬웨어 공격 동향

랜섬웨어 운영자가 돈이 많은 대규모 조직을 표적으로 삼는 소위 빅 게임 헌팅이 최근 몇 년간 폭발적으로 증가했다. 결국 공격자들에게 중요한 건 Ransom이니 말이다. 특히 2010년대 후반부터는 위에서 말한 이중 강탈, 삼중 강탈 랜섬웨어를 포함한 더욱 강력하고 악랄한 랜섬웨어가 기승을 부리기 시작했다. 거기에 RaaS의 공격에서의 정교함이 더해지며, 기술적 능력이 본래 부족한 공격자도 랜섬웨어를 효과적으로 이용할 수 있게 된 것이다. 실제로 2021년에는 Revil의 RaaS 운영으로 인한 랜섬웨어 공격은 사상 최대 규모의 랜섬웨어 사건 중 하나였다. 100만 개 이상의 장치가 감염되었을 정도니 말이다. 참고로 Revil은 영화 Resident Evil에서 따왔다고...한다.

6. 랜섬웨어 공격을 탐지하는 방법

랜섬웨어 예방 모범 사례를 따르는 조직이라도 필연적으로 공격의 희생양이 될 수 있다. 실제로 많은 전문가들은 기업이 이를 여부의 문제가 아니라 시기의 문제로 고려해야 한다고 말한다. 사실 그 말은 비단 랜섬웨어에만 해당하는 말이 아닐 것이다. 공격은 언제나 When이 핵심이다.

만일, 보안 부서 직원이 초기 단계에서 랜섬웨어 공격을 탐지 할 수 있다면 공격자가 중요한 데이터를 찾아 암호화하고 유출할 시간을 갖기 전에 이를 격리하고 제거할 수 있을 것이다.

중요한 첫 번째 방어선은 디지털 서명을 기반으로 알려진 랜섬웨어 변종을 인식할 수 있는 맬웨어 방지 도구이다. XDR 및 SIEM 플랫폼과 같은 일부 제품은 비정상적인 동작을 검색하여 인식할 수 없는 새로운 랜섬웨어 변종을 포착한다. 가능한 손상 지표에는 비정상적인 파일 실행, 네트워크 트래픽 및 API 호출이 포함되며, 이들 모두는 활성 랜섬웨어 공격을 가리킬 수 있다. 끊임없는 의심을 해야 한다는 것이다.

일부 조직에서는 속임수 기반 탐지를 사용하여 공격자를 쫓아내고, 보안 부서에 공격자의 존재를 알리는 역할을 하는 가짜 IT 자산으로 공격자를 유인한다. 이것이 허니팟이다. 사이버 미끼는 배포 및 유지 관리에 상당한 리소스가 필요하기야 하지만 오탐률이 매우 낮기 때문에 랜섬웨어와의 싸움에서 귀중한 무기가 된다.

 

7. 랜섬웨어 공격을 예방하는 방법

솔직히 랜섬웨어 예방에 관한 확실한 대응책이란 없다고 생각한다. 보안이라는 게 사실 그렇지 않은가. 언제, 어디서, 무슨 경로로 들어올지 모르는 공격을 완벽하게 예방한다는 것은 불가하며, 가능할지라도 보안 팀에 그정도의 예산을 편성하는 기업은 거의 없을 테니 말이다. 그렇기에 우리는 적은 예산에서 다각적인 예방 전략을 펼쳐야만 한다.

 

ㄱ. 심층적인 보안

악의적인 활동을 차단하기 위해 작동하는 계층화된 보안 제어가 포함되어야 한다. 맬웨어가 하나의 제어 장치를 몰래 통과하는 경우, 다른 중복 보안 메커니즘이 이를 막을 수 있어야 하기 때문이다. 최소한의 맬웨어 방지, 다단계 인증, 방화벽, 이메일 보안 필터링, 웹 필터링, 네트워크 트래픽 분석, 허용 목록/거부 목록 세팅, 엔드포인트 탐지 및 응답, 최소 권한 원칙 및 보안 원격과 같은 기본 사이버 보안 도구 세팅, VPN 및 제로 트러스트 네트워크 엑세스를 포함한 기술, RDP 사용 제한 혹은 차단 등이 권고된다. 

ㄴ. 고급 보안 제어
예산이 된다는 가정 하에, 고급 보호 기술은 새로운 공격을 발견할 가능성이 높다는 것은 당연지사일 테다. Xtended Detection and Response (XDR), Managed Detection and Response, Secure Access Service Edge, SIEM, User and Entity Behavior Analytics, Zero-trust Security, 그리고 Cyber Deception 등의 기술 도입을 고려해보면 좋을 것이다.

ㄷ. 패치 관리

2017년 5월 WannaCry 랜섬웨어 공격이 처음 발생했을 때 타깃이 되었던 취약점이 있었다. 그리고 그것은 이미 알려진 취약점으로, 마이크로소프트가 2달 전에 패치를 발표했던 것이었다. 그러나 그 패치를 적용하지 않은 조직이 많았고, 워너크라이의 희생이 되었다. 패치 관리 및 업데이트는 꾸준히 해야만 한다. 제로 데이 공격이라면 모르겠다만, 이미 패치가 나온 것을 가지고 공격을 당하면 이것은 보안 부서의 명백한 실책일 것이다. 물론 패치로 인해 회사의 업무 운영에 영향을 미치는 성능의 문제가 발생할 수는 있다. 그럴 때에는 회사 내에서 따져봐야 한다. 패치를 도입함으로써 생기는 성능 저하 VS 잠재적으로 발생할 치명적인 보안 사고, 둘 중 어느 것을 고를지 말이다.

 

ㄹ. 데이터 백업
백업은 언제나 필수 중의 필수다. 그럼 또 모든 직원들은 입을 모아 말할 것이다. 망분리는 필수 중의 필수라고 말이다. 그리고 언제나 기억해야 한다. 백업은 랜섬웨어 방어의 중요한 부분이기는 하지만, 특히 이중, 삼중 강탈 공격의 경우에서는 백업의 힘이 줄어든다는 점을 말이다. 클라우드 기반 백업을 사용하는 조직은 데이터가 제대로 관리되고 있는지 철저히 확인해야 할 것이다.

ㅁ. 보안 인식 교육

사실 식상하기는 해도, 결국 모든 공격의 예방에서 이것을 빼놓으면 시체이긴 하다. 최종 사용자 교육은 맬웨어 예방에 있어서 가장 중요하면서도 가장 어려운 요소일 것이다. 나도 군대에서 보안 감사를 소대장 대리로 홀로 준비하며 인원들에게 통신보안, 정보보안 교육을 시킨 적이 있는데, 진짜 말 안 듣는다. PX를 걸든, 뭘 걸든, 소용이 없었다. 보안 수칙을 따라야 하는 이용자가 결국 가장 원하는 것은 '편의성'이다. 그것을 언제나 염두에 두고 교육을 진행해야 할 것이다. 보안 부서는 대부분의 큰 기업에서 일반 사원들의 적이라고 불리는데, 이왕 적으로 인식될 거라면 교육이라도 확실히 해야하지 않겠는가 싶다.

 

8. 랜섬웨어 공격 발생 시 대응

랜섬웨어 공격은 위에서도 말했듯, 시기의 문제일 뿐이다. 그렇기에 평소에 프레임워크를 만들고, 그것을 연습하는 것이 중요하다. 일반적인 프레임워크는 다음과 같다.

 

ㄱ. TF팀 소집

이 그룹에는 단순 보안 부서의 높은 분들만 있어야 하는 것이 아니라, 법률 팀도 포함되어야 할 것이다. 그리고 일종의 사고 대응반은 미리 숙지해야 할 것들이 있다. 사건 발생 시 어떤 역할과 책임이 있는지, 어떤 식으로 소통을 할지 등을 말이다.

 

ㄴ. 사고 분석

맬웨어가 얼마나 멀리, 깊게 확산되었는지 가능한 빠르게 확인해야 할 것이다.

 

ㄷ. 초기 대응

맬웨어의 영향을 최소화하기 위해 각 시스템과 장치를 즉시 연결 해제하고 격리해야 한다. 감염을 최대한 억제하고, 백업 리소스가 손상되지 않았는지 확인해야 한다.

 

ㄹ. 본격 조사

랜섬웨어 공격이 얼마나 이뤄졌는지, 심각도는 어느 정도인지 최대한 많은 정보를 수집한다. 잠재적인 결과까지 평가한 후, 경영진의 의사 결정권자에게 권장 사항을 제시해야 한다. 제일 하기 싫은 일이 이것을 높은 분에게 말하는 일이 되지 않을까 싶다..

 

ㅁ. 악성코드 제거 및 복구

감염된 중앙 시스템 인스턴스를 삭제 및 교체하고, 깨끗한 백업 데이터로 공격의 영향이 있는 엔드포인트를 지우고 복원한다. 다음으로, 복원된 데이터를 검사하여 악성코드가 제거되었는지 확인해야 한다. 마지막으로, 모든 시스템, 네트워크 및 계정의 비밀번호를 변경해야 한다.

 

ㅂ. 이해관계자에 연락

사고 대응 계획에 따라 사고의 세부 사항을 이해관계자에게 전달해야 한다. 당연히 회사 내부 직원은 물론이고, 고객, 비즈니스 파트너, 랜섬웨어침해대응센터 등을 포함할 것이다.

 

ㅅ. 정상화 공지

규정 준수 및 회사 정책에 따라 정부 기관과 고객에게 회사가 정상화되었다는 내용을 알려야 한다. 모든 시스템, 데이터 및 애플리케이션이 엑세스 가능하고, 정상적으로 작동하며, 공격자가 다시 공격에 뛰어들 취약점이 없는지, 기존의 취약점이 있었다면 해결이 되었는지를 공지해야 한다. 최소한의 신뢰 복구를 위한 과정이 될 것이다.

 

ㅇ. 분석 및 학습

사태가 진정되고 조직이 다시 정상적으로 운영되면 공격의 세부적인 사항을 심도있게 분석하고, 향후의 재발 방지를 위해 조직이 수행해야 하는 과제를 정리할 필요가 있다. 그에 따라 사고 대응 계획을 업데이트해야 할 것이다. 여기서 주의해야 할 게 있다. 사후 분석 보고서에 비난이 포함되어서는 안 된다는 것이다. 안 그래도 서글픈 보안 부서인데, 비난을 해서 좋을 게 없다.