랜섬웨어의 미래

게시일: 2017-07-28 l 작성자: Trend Micro

랜섬웨어는 비즈니스에 가장 강력한 위협 중 하나입니다. 디지털화된 데이터, 중요한 응용프로그램 및 기타 시스템 등이 많이 사용되고 중요한 자산이 됨으로써 이러한 자산에 대한 접근이 막힌다면 기업에 큰 재앙이 될 것입니다.

직원 교육 및 감염 예방 능력 향상을 위한 노력에도 불구하고, 랜섬웨어 공격은 여전히 지속되고 있습니다. 이러한 시점에서 기업은 현재의 위협에 따라 즉각적으로 대응함과 동시에 앞으로 일어나 미래에 어떻게 기업을 보호할 것인가도 고려해야 합니다.

랜섬웨어의 역사

트렌드마이크로의 연구 보고서인 “랜섬웨어 – 과거, 현재 그리고 미래” 에 따르면 랜섬웨어는 2000년대 중반 그 샘플이 처음 출현하면서 사이버 범죄 집단이 피해자를 강탈하기 위해 가장 많이 쓰는 도구로 급부상합니다. 이러한 초기 랜섬웨어군 중 많은 수가 오늘날 발견되는 새로운 랜섬웨어 샘플과 유사하게 작동합니다. 우선 피해자 시스템에 침투한 후 중요한 파일과 데이터를 암호화 시켜 해독키를 보유한 해커를 제외한 어떤 사람도 암호화된 파일과 데이터에 접근을 할 수 없게 만듭니다. 공격자는 추적이 불가능한 비트코인을 이용하여 해독키 구매를 위한 암호화 파일 몸값을 요구합니다.

이러한 공격의 결과는 다양합니다. 일부 기업은 몸값을 지불하고 올바른 해독키를 받아 피해 시스템을 복구할 수 있었지만, 운이 좋지 않은 다른 피해자들은 몸값을 지불했음에도 불구하고 암호화된 데이터를 원상 복구 시킬 수 없었습니다.

초기 랜섬웨어는 2005년과 2006년 사이 러시아를 중심으로 퍼졌습니다. 그 후 2012년까지 다른 유럽 국가에서도 피해자들이 나타나기 시작했습니다. 그때도 마찬가지로 공격자들은 paysafecard 및 MoneyPak 등과 같은 지불 방법을 통해 몸값을 요구하며 추적이 힘들도록 주의를 기울이며 활동했습니다.

트렌드마이크로에 따르면 일부 초기 랜섬웨어 공격은 그럴듯한 가짜 경고문을 이용하여 사용자를 속이고 돈을 지불하도록 유도했습니다. 또한 다른 샘플에서는 화면을 잠그고 가짜 경고 화면이 화면에서 내려갈 수 없도록 만들었습니다.


랜섬웨어는 다른 사이버 범죄에 비해 유례없는 상승을 보였습니다.

2013년에는 악명 높은 CryptoLocker 를 비롯한 “크립토 랜섬웨어” 샘플이 나왔습니다. 이런 타입의 감염은 암호화 시킨 데이터로의 접근을 차단할 뿐만 아니라 피해자가 몸값을 지불하지 않는 겨우 특정 기간이 지나면 암호화된 파일을 삭제할 수 있는 능력이 있어 점점 더 사용자에게 큰 위협이 되었습니다.

이러한 랜섬웨어의 감염은 2016년도에 그 정점을 찍었습니다. 2015년 29개의 랜섬웨어군이 발견된 것과 비교하여 2016년에는 247개 제품군으로 확대되며 752%라는 엄청난 증가율을 보여줌으로써 2016년의 “랜섬웨어의 해” 라는 별명까지 얻게 되었습니다. 해마다 공격자들은 해커들과 함께 랜섬웨어 감염으로 약 10억 달러에 달하는 이익을 챙겼습니다. 그중 많은 부분이 데이터 백업이 되어 있지 않은 대기업을 대상으로 공격하여 몸값 거래를 성공적으로 이룬 결과였습니다.

2017년 랜섬웨어

이와 같은 랜섬웨어 공격의 수는 2017년 초반 몇 달 만에 250% 증가했으며 대부분의 감염은 미국을 중심으로 이루어졌습니다.

이러한 증가의 대부분은 4월 일어났던 WannaCry (이하 워너크라이) 와 같은 새로운 랜섬웨어와 현재까지도 유럽의 기업, 정부 기관 및 유틸리티 제공 업체를 대상으로 공격하고 있는 Petya (이하 페트야) 등이 차지하고 있습니다. 또한 The Verge 에 따르면 2017년 6월 말 페트야의 변종으로 여겨졌던 새로운 랜섬웨어가 워너크라이 감염에 사용된 것과 동일한 EternalBlue 익스플로잇을 이용하는 사용자에게 영향을 미치고 있다고 보고되었습니다. 이 새로운 변종은 현재 “NotPetya” 라고 불리고 있습니다.

미래에 대한 예측: 지금부터 랜섬웨어는 어디로 갈 것인가?

새롭게 떠오르는 랜섬웨어 샘플 외에도 전문가들은 랜섬웨어의 미래에 대해 몇 가지 중요한 예측을 내렸습니다.

트렌드마이크로는 IoT 시스템에 대한 랜섬웨어 공격 증가를 포함하여 가까운 미래에 랜섬웨어의 전략에 진화가 있을 것이라고 예측했습니다.

또한 IDC 의 Worldwide Healthcare Predictions Report 는 2018년까지 의료 업계에서 나타날 수 있는 랜섬웨어 공격의 수는 2배로 늘어날 것으로 보고 있습니다. 이는 해커가 환자 자료 및 기타 중요한 데이터에 접근할 수 있는 의료 서비스 제공 업체 및 업계 공격에 더 집중하기 시작했기 때문입니다. 더욱이 해커들 사이에서 의료 업계는 뜨거운 관심의 대상이 되고 있습니다.

Converge 의 Shelly Kramer 는 “사이버 공격 커뮤니티들 사이에서 ‘골드러쉬정신’을 창조하며 랜섬웨어의 위협 테크닉이 증가하고 있다” 라고 합니다.

Imperva 의 Elad Erez 는 피해자의 가장 중요한 데이터베이스를 정확히 집어내는 랜섬웨어 공격의 급격한 증가를 예측했습니다. 또한 이러한 공격은 파일 및 데이터베이스 테이블 삭제하거나 데이터베이스 레코드를 변경하는 등 다른 형태의 데이터 손상을 암호화 외에도 활용할 수 있습니다.

랜섬웨어가 계속해서 발전함에 따라 그에 따른 법률을 제정하기 위한 노력이 빠르게 진행되어 가고 있습니다. 법 집행 기관은 Cyber Threat Alliance 및 No More Ransomware 와 같은 다른 기관 들과 협력하여 랜섬웨어군의 출처를 정확히 찾아내고 이후 공격을 방지하기 위해 노력하고 있습니다.

하지만 랜섬웨어 공격은 사라지지 않습니다.

트렌드마이크로는 잠재적 측면으로 봤을 때 랜섬웨어 샘플들은 몸값이 지불될 때까지 기업 운영뿐만이 아닌 전체 도시 심지어 한 나라의 전체 인프라를 마비시킬 만큼 강력한 멀웨어로 진화할 수 있다고 봅니다.

랜섬웨어 시대에서 보호하는 방법

랜섬웨어 공격이 계속해서 심각해지고 복잡해지는 이때, 중요한 데이터 자산을 보다 잘 보호하기 위해 기업이 활용해야 하는 몇 가지 중요한 전략이 있습니다.

  • 직원에게 랜섬웨어의 위험, 감염을 전달할 수 있는 방법 및 의심스러운 활동이 발견될 때의 대처방안 등을 교육합니다.
  • 모든 보안 패치를 가능한 신속하게 마련하여 전체 취약점의 수를 최소화합니다.
  • 중요한 데이터에 대한 접근을 제한합니다.
  • 강도 높은 백업 일정을 통해 중요한 데이터의 복사본을 3개를 적어도 2개의 다른 형식으로 만들고 그중 1개는 사내 네트워크가 아닌 외부에 보관하도록 합니다.

트렌드마이크로는 “Cross-generational 기술 접근 방식을 활용해 평판 기반 분석과 화이트리스트, 어플리케이션 컨트롤, 행동 분석, 네트워크 감시, 취약점 방어, 하이파이 머신러닝 등과 같은 안티 랜섬웨어 기능을 이용하는 것이 컴퓨터 리소스에 최소한의 영향을 미치면서 기업을 보다 더 효과적으로 보호하는 방법” 이라고 설명합니다.

랜섬웨어의 미래와 기업 보호 방법에 대한 자세한 내용은 트렌드마이크로의 전문가에게 문의하시기 바랍니다.


[원문: Forecasting the Future of Ransomware]