랜섬웨어 뭣이 중헌디: ①돈과 데이터 사냥꾼 랜섬웨어

8분

2022.09.22.

3.0K

2017년 5월 전 세계 150개국 30만 대의 PC가 ‘워너크라이(WannaCry)’로 불리는 랜섬웨어에 감염되는 사이버 공격이 발생했다. 윈도우 운영체제에서 제공하는 SMB 취약점인 MS17-010(CVE-2017-0144)을 노린 이 랜섬웨어는 순식간에 전 세계로 확산되어 많은 기관과 기업에 피해를 줬다.

영국 건강의료분야 사이버 안보 보고서인 ‘Securing cyber resilience in health and care: October 2018 update’에 따르면, 영국 의료기관의 1/3이 감염되어 1억 2,000만 달러(한화 약 1,673억 7,600만 원)의 피해가 발생하였다. 중국 국영석유회사(CNPC) 소유의 주유소 2만 개도 감염으로 결제 시스템에 에러가 발생해 일부 카드 결제가 중단되었으며, 미국 물류업체 페덱스의 우편배달 및 물류서비스가 중단되었다. 국내에서도 CGV 영화상영관 광고서버가 감염되어 광고상영이 중단되는 등 전 세계적으로 피해가 확산됐다. 마이크로소프트에서는 이례적으로 서비스가 종료된 윈도우XP까지 보안 업데이트를 결정하며 피해 최소화를 위해 노력했다.

랜섬웨어의 강렬한 존재감은 비단 2017년에 국한된 것이 아니다. 지금까지도 공공, 금융, 제조, 통신, 교육 등 다양한 산업분야에서 랜섬웨어로 인한 피해규모가 매년 사상 최고치에 육박하고 있다. 랜섬웨어를 피하기 위해서는 철저한 대비가 필요하다. 이를 위해 총 2편에 걸쳐 랜섬웨어의 공격 양상과 대응방안에 관한 설명을 진행하고자 한다.

랜섬웨어 공격수법 파헤치기

랜섬웨어(Ransomware)는 몸값을 의미하는 랜섬(Ransom)과 소프트웨어(Software)의 합성어로 시스템을 잠그거나 데이터를 암호화하고 잠금 해제나 복호화를 빌미로 금전을 요구하는 악성프로그램을 의미한다. 시스템의 디렉터리나 화면을 잠그는 ‘락커(Locker) 방식’과 파일이나 데이터를 암호화하는 ‘크립토(Crypto) 방식’으로 분류된다.

락커 크립토 비교 — 락커(Locker)와 크립토(Crypto)의 비교 <출처: 본인>

캐나다 사이버 보안센터에서 발표한 ‘랜섬웨어 플레이북(Ransomware Playbook)’에 따르면, 랜섬웨어 감염원인은 3단계로 분류할 수 있다. 먼저 1) 공격대상 시스템에 초기 접근(Grains Access)한다. 이후 2) 시스템 제어(Takes Control)를 통해 파일 및 데이터 암호화 등을 진행하고, 3) 피해가 발생하는 단계(Impacts Organization)로 이어진다.

초기 접근(Grains Access): 해커가 랜섬웨어 감염대상의 인프라 및 네트워크에 접근할 수 있는 공격표면(Attack Surface) 및 방법을 발견.
시스템 제어(Takes Control): 해커가 연결된 시스템 및 장치에 대한 접근 권한을 획득.
조직 영향도 발생(Impacts Organization): 데이터 복사 및 데이터 암호 이후 복구를 저지하기 위해 백업된 데이터를 삭제하고 몸값을 요구.

랜섬웨어 공격 과정 — 랜섬웨어 공격이 발생하는 과정 <출처: 캐나다 사이버 보안센터>

공격대상에 접근하기 위해 악성 이메일 발송, 패스워드 추측 및 무차별 대입공격, 소프트웨어 취약점 악용과 같은 공격 방식을 사용한다. 먼저 악성 이메일을 이용한 공격방식은 간단하다. 메일 수신자에게 랜섬웨어를 동봉한 이메일을 발송해 수신자가 랜섬웨어를 실행하게 하는 것이다.

이때 수신자가 메일을 열람하게 하기 위해서 사람의 신뢰를 이용하여 비밀정보를 획득하는 기법인 사회공학기법이 주로 활용된다. 경찰청, 금융감독원, 법원, 택배발송, 자문요청, 보안위반메일 등 공포, 친근감, 궁금증, 욕망 등 심리적인 약점을 파고드는 멘트를 이용해 이메일에 포함된 랜섬웨어 설치를 유도하는 것이다. 특히 최근에는 코로나19 확산으로 인한 질병감염의 사회적 불안감을 악용해 자가검사키트나 확진자 동선공유 등의 정보로 가장한 악성 이메일이 기승을 부리고 있다.

패스워드 추측 및 무차별 대입공격도 고전적인 공격방식이지만, 꾸준히 이용되고 있다. 매년 전 세계적으로 가장 많이 사용되는 패스워드를 조사해서 발표하는 노드패스(NordPass)에 따르면, 수억 명의 사용자가 여전히 간단한 패스워드를 사용하고 있다. 2021년 50여 개국에서 가장 많이 사용된 패스워드는 ‘123456’이 차지했으며, 뒤를 이어 ‘123456789’, ‘12345’, ‘qwerty’, ‘password’등이 높은 순위를 차지했다.

50여 개 국가 대상 2021년 가장 많이 사용된 패스워드 상위 10개 <출처: NordPass>

재미있는 점은 가장 많이 사용되는 패스워드에서도 국가별 특징이 보이는 것이다. 일반적으로 상당수의 국가는 숫자나 영문자의 순차배열이 높은 순위를 차지하고 있다. 이에 반해 국내 패스워드 목록에서 눈에 띄는 것은 ‘1q2w3e’, ‘qwer1234’, ‘1q2w3e4r5t’등 자판배열을 이용한 패스워드가 높은 순위를 차지하고 있다.

국내에서는 보안 가이드를 통해 패스워드 복잡도 설정 등이 제시됨에 따라 다른 국가들과는 다르게 취약한 패스워드 목록에 자판배열 기반의 패스워드들로 변형된 것으로 판단된다. 물론 가이드상에서 부적절한 패스워드 설정방법으로 사전에 명시된 단어조합이나 키보드 자판의 일련 나열, 유추 가능한 단어 등에 대해서 명시하고 있다. 하지만 모든 것을 자동으로 필터링하는 것은 현실적인 한계가 존재하기 때문에 이러한 결과가 도출된 것으로 보인다. 위 목록에 명시된 사용하는 경우에는 사용자가 가입한 웹사이트나 시스템 정보들이 해킹당할 위험이 높아지는 걸 명심해야 한다.

마지막 공격방식은 위에 언급한 워너크라이처럼 소프트웨어 취약점을 악용하는 것이다. 보통 사람들은 해커가 공격할 때 알려지지 않은 취약점을 이용하는 걸 더 위험하다고 생각한다. 알려지지 않은 취약점을 노리는 ‘제로데이(Zero-day)’는 발생 원인이나 대응방안이 공개되지 않기 때문에 잠재적인 위험요소라고 할 수 있다.

하지만 더 위험한 것은 이미 알려진 취약점임에도 불구하고 보안 조치를 취하지 않은 경우다. 알려지지 않은 취약점은 취약점을 발견한 해커그룹 및 일부 사용자만 인지하지만, 알려진 취약점은 모든 사람이 이를 알고 악용할 수 있기 때문이다. 워너크라이가 수많은 피해를 야기할 수 있었던 것도 취약점이 알려졌는데도 불구하고 빠르게 조치되지 않아 해커 그룹이 공격 대상을 확보하는데 용이했기 때문이다.

사이버 공격의 핫이슈, 랜섬웨어 공격 패러다임의 변화

'10년이면 강산도 변한다'는 말처럼 랜섬웨어도 다양한 공격사례들을 통해 발전을 거듭해 왔다. 워너크라이 사태가 발생한 2017년경의 랜섬웨어 공격은 데이터 암호화에 집중해 왔다. 하지만 시간이 지나면서 다수의 랜섬웨어 공격그룹들이 우후죽순처럼 생겨나고 피해사례공유나 예방교육들로 인한 랜섬웨어 감염률 저하 등의 복합적인 환경이 결합하면서 범죄수익 감소로 이어지게 되었다.

해커들은 범죄수익 감소의 국면을 타개하기 위해 단순 데이터 암호화에 그치던 공격형태를 다변화하기 시작했다. 이전처럼 해킹으로 데이터를 암호화는 건 동일하나 암호화 이전 데이터 확보한 것이다. 이렇게 탈취한 데이터는 피해자를 이중으로 협박하는 무기로 활용된다.

랜섬웨어 발전현황 — 랜섬웨어 공격의 발전현황 <출처: TrendMicro>

피해자 입장에서는 랜섬웨어 감염 사실이 공개되는 것만으로도 불편한 상황인데 개인정보나 사진처럼 민감 데이터가 탈취당한 사실이 공개되면 이중 피해를 겪게 된다. 해커의 상당수는 데이터가 저장된 기관을 상대로 협상을 시도하지만, 성인사이트 가입정보처럼 데이터 소유자의 사회적 지위와 결부되어 있는 경우에는 개인과 조직 모두에게 금전요구를 할 때도 있다.

2021년 하반기 금융권을 겨냥한 신종 디도스(DDoS) 공격도 새로운 공격방식 중 하나였다. ‘랜섬 디도스(Ransom DDoS)’라고 불리는 해당 공격은 해커들은 이메일을 통해 금전을 지불하지 않으면 디도스 공격을 가해 서비스를 마비시키겠다고 협박한다. 랜섬웨어로 탈취한 데이터가 없어도 서비스를 못 하게 하는 심리적 압박을 가할 수 있기 때문에 많은 기업이 피해를 입었다.

랜섬웨어 = IT의 발전과 사회변화를 담은 집합체

랜섬웨어는 단순히 파일이나 데이터를 암호화하는 공격행위 정도로 치부될 수 있다. 하지만 랜섬웨어의 공격과정과 피해규모를 살펴보면 IT발전과 사회변화가 반영된 집합체라 할 수 있다.

익명성과 은닉성을 제공하는 비트코인, 이더리움, 라이트코인, 모네로, 이오스 등 암호화폐가 탄생하지 않았다면 랜섬웨어 생태계는 지금 같은 규모로 성장하지 못했을 것이다. 악성 이메일 발송, 패스워드 추측 및 무차별 대입공격, 소프트웨어 취약점 악용의 공격방식이 여전히 사용될 수 있는 것은 ‘나는 해커들의 공격대상이 되지 않을 거야’라는 보안 인식이 만들어낸 산출물이다.

‘지피지기 백전불태(知彼知己百戰不殆)’라고 한다. 이번 글을 통해 랜섬웨어의 공격방식을 간단히 살펴봤으니 다음 편에서는 피해를 예방할 수 있는 대응 방안에 관해 설명해보겠다.

로그인하고 자유롭게 의견을 남겨주세요.