랜섬웨어, 뭣이 중헌디: ② 랜섬웨어와 맞서 싸우기

이전 글에서 랜섬웨어의 주요 기능과 범죄자금을 최대화하기 위한 해커들의 공격 패러다임의 변화를 설명했다. 이번 편에서는 랜섬웨어라는 공격에 맞서서 ‘지피지기 백전불태(知彼知己 百戰不殆)’하기 위한 대응방안에 관해서 설명할 예정이다.

랜섬웨어 대응을 예방 및 대응 프로세스

랜섬웨어에 대응하는 방법은 랜섬웨어 감염을 기점으로 감염 전 예방 프로세스와 감염 후 대응 프로세스로 구분된다. 랜섬웨어 대응 방안을 2가지 관점으로 분류한 것은 감염 여부에 따른 주요 활동목적이 다르기 때문이다. 랜섬웨어 예방 프로세스에서는 감염으로 이어질 수 있는 공격조건을 사전에 제거하는 것이 목적이다. 랜섬웨어 대응 프로세스에서는 랜섬웨어 감염으로 인한 추가 피해를 최소화하고 피해 시스템을 정상화하는데 소요되는 시간을 단축하는 것이 가장 중요하다.

• 랜섬웨어 예방 프로세스: 랜섬웨어 감염 원인 제거를 통한 선제적인 사고방지(사전관점)
• 랜섬웨어 대응 프로세스: 랜섬웨어 감염으로 인한 추가피해 최소화 및 서비스 정상화(사후관점)

랜섬웨어 감염 전 예방 프로세스

보안기업 코브웨어(COVEWARE)의 2022년 상반기 랜섬웨어 유형별 시장점유율 분석에 따르면, 2022년 1분기에는 Conti V2, LockBit 2.0, BlackCat, Hive, AvosLocker 순으로 랜섬웨어 시장을 점유했다. 2022년 2분기에는 BlackCat, LockBit 2.0, Hive, Quantum, Conti V2, Phobos 순으로 점유율이 나타났다. 상반기에 활동이 두드러진 Conti V2, LockBit 2.0, Hive, BlackCat 등은 대표적인 RaaS 랜섬웨어로 파일 암호화뿐만 아니라 데이터 탈취 등을 함께 사용하는 다중 공격수법을 활용한다. 그 때문에 랜섬웨어 감염 원인을 파악하는 것이 중요하다.

2022년 상반기를 강타한 랜섬웨어 공격그룹들이 사용한 초기 공격기법은 악성 이메일 발송, 패스워드 추측 및 무차별 대입공격, 소프트웨어 취약점 악용 이외에도 마이크로소프트 윈도우 운영체제에서 원격에서 운영체제에 접근하기 위해 지원하는 RDP(Remote Desktop Protocol)을 이용한 공격이 두드러졌다. 코로나19 등의 영향으로 재택근무 등 원격으로 접근할 수 있는 환경이 확산함에 따라 RDP 공격(RDP Compromise)이 증가한 것으로 보인다.

랜섬웨어 공격을 막기 위해서는 이 그룹들의 공격초기 진입지점을 차단해야 한다. 무엇보다 조직에서 보안강화를 위해 수행하고 있는 보안 프로세스를 수행하고 모니터링하는 것이 중요하다. 다만 일반적으로 조직에서 보안강화를 위해 수행하는 예방 프로세스는 조직의 규모와 성격, 예산 등에 따라 다를 수밖에 없다. 그래서 이번 글에서는 예방할 수 있는 다수의 방법 중 사용자 관점의 예방방안을 제시하고자 한다.

한국인터넷진흥원(KISA)에서는 ‘랜섬웨어 피해 예방 5대 수칙’을 통해 조직과 사용자가 랜섬웨어 감염을 예방할 수 있는 방안을 제시하고 있다. 특히 가장 많은 피해자가 발생하는 악성 이메일 발송으로 인한 피해를 예방하기 위해서는 출처가 불명확한 이메일과 URL 링크를 실행하지 않는 것이 우선이다. 또한 이메일의 SPF, DNS, 콘텐츠 등을 검사하여 악성 메일을 차단하는 ‘스팸메일 차단솔루션’이나 악성 첨부파일의 파일 콘텐츠 구성요소를 검사하여 안전한 요소만 추출하여 재조립해주는 ‘콘텐츠 무해화 솔루션(CDR, Content Disarm & Reconstruction)’ 등을 통해 악성코드를 차단하는 것도 추천한다.

하지만 이러한 솔루션이 활용해도 모든 악성 이메일이 차단되는 것은 아니다. 해커들은 사용자 심리를 이용한 사회공학기법으로 솔루션을 우회하기 때문에 보안 솔루션 이외에도 주기적인 모의훈련을 통한 악성메일 대응이 필요하다.

이와 함께 소프트웨어 취약점 악용을 대응하기 위해서는 모든 소프트웨어를 최신버전으로 사용해야 한다. 다만 자동 보안 업데이트를 설정한 경우를 제외하고는 수동 업데이트 적용 시 서비스 영향도나 기술적 이슈에 직면할 수 있다. 또한 서비스가 종료되는 EoS(End of Service)의 경우에는 보안 패치가 어려워서 보안 위험성이 증가한다. 이에 따라 EoS 대상을 주기적으로 파악하고 대체 서비스를 마련하는 걸 추천한다.

꾸준한 보안 업데이트만큼 중요한 것은 최신 백신 프로그램을 설치하는 일이다. 물론 기업에서는 백신 프로그램 이외에도 다수의 엔드포인트 보안솔루션을 이용하여 사용자 영역의 보안 위협을 대응하고 있다. 개인 사용자는 최신 백신 프로그램을 설치하고 유지하는 것만으로도 최소한의 보안 조치를 할 수 있다.

윈도우 운영체제 이용자라면 윈도우8부터 악성코드 탐지 및 제거 기능을 제공하는 ‘마이크로소프트 디펜더(Microsoft Defender, 구 윈도우 디펜더)’를 활성화해서 사용하면 좋다. 다수의 백신 프로그램 제품을 테스트하여 순위를 매기는 사이트인 AVTEST 결과에 따르면, 다른 상용 백신 프로그램에 비해서도 우수한 성능을 보이고 있기 때문에 사용 백신 프로그램 사용이 어려울 때 차선책으로 사용할 수 있다.

또한 랜섬웨어는 파일공유 사이트에서 윈도우 정품인증을 위한 불법 인증툴, 게임위장 설치파일, 불법공유 영화 및 자막파일 등으로 위장하여 유포되는 경우가 많다. 이를 방지하기 위해 공식 소프트웨어를 받거나 정식 파일공유 사이트라고 해도 해시(Hash: 다양한 길이를 가진 데이터를 고정된 길이를 가진 데이터로 매핑한 값)를 추출하여 정상 파일 여부를 확인해야 한다.

끝으로 랜섬웨어에서 가장 중요한 예방 프로세스는 단연코 백업이다. 트로이목마(Trojan), 웜(Worm), 바이러스, 스파이웨어(Spyware) 등의 다른 악성코드는 치료가 가능하지만, 랜섬웨어는 구동 이후 복호화 키 없이 데이터를 복구하는 것은 거의 불가능하다. 물론 상당한 시간과 비용이 소요하면 암호화 알고리즘을 분석하여 복구도구를 개발할 수는 있지만, 실제로 매우 어려운 현실이다.

기업에서 랜섬웨어에 대응하려면 조직의 규모와 기술적 방안 등 다양한 조건들을 고려해야 한다. 한국인터넷진흥원에서 이를 위해 ‘랜섬웨어 대응을 위한 안전한 정보시스템 백업 가이드(2018.02)’를 발표했으니 참고하면 된다. 해당 가이드에서는 백업 절차 및 백업 시스템 구축, 백업정책, 백업시스템 보호 대책을 잘 명시하고 있다.

랜섬웨어 감염 후 대응 프로세스

랜섬웨어 예방 프로세스를 수행했는데도 감염사고가 발생할 수 있다. 이때는 피해를 최소화할 수 있는 3단계 프로세스를 기억하면 된다. 랜섬웨어에 감염되면 1) 먼저 랜섬웨어 증상을 확인한다. 그다음 2) 피해 최소화를 위한 네트워크 절체 및 시스템을 종료한다. 이후 3) 데이터 복구를 수행하는 단계로 이어지게 된다.

1) 랜섬웨어 감염증상 확인

랜섬웨어에 감염되면 사용자가 인지할 수 있는 몇 가지 특징이 존재한다. 파일 암호화, 파일확장자 변경, 랜섬노트, 부트영역 암호화 등이다. 이때 랜섬웨어 종류를 파악해야 추가피해예방 및 복호화 도구 존재여부 등을 파악할 수 있다.

2022년 활발하게 활동 중인 HIVE 랜섬웨어는 버전별로 파일확장자가 다르다. HIVE V1은 .hive, HIVE V2는 .w2tnk, HIVE V3는 .ju1ps로 변경되고, HIVE V4부터는 랜덤한 문자열로 변경된다. 기존 랜섬웨어는 암호화한 파일의 확장자를 랜섬웨어명으로 변경하였으나 최근에는 랜덤 문자열로 변경하는 추세다. 현재 HIVE 랜섬웨어는 한국인터넷진흥원 차세대암호융합팀에서 복구 도구를 무료로 배포하고 있다.

2) 피해 최소화를 위한 긴급사고 조치

감염증상 확인 시에 랜섬웨어 종류를 확인해야 하는 이유는 다른 네트워크도 감염하는 웜(Warm) 기능이 추가될 수 있기 때문이다. 가령 마운트락커(MountLocker), 다크레디에이션(DarkRadiation), 류크(Ryuk) 등은 웜 기능이 포함되어 네트워크 공유자원 환경에서 추가 감염이 발생할 수 있다. 따라서 이러한 유형의 랜섬웨어 증상이 보이면 반드시 빠르게 네트워크 절체가 필요하다.

또한 이동식 저장장치나 외장하드 등 외부 저장장치까지 암호화될 수 있기 때문에 랜섬웨어 감염 사실을 인지 후에는 바로 외부 저장장치의 연결을 해제해야 한다. 부트영역 암호화 랜섬웨어는 감염을 인지하지 못하거나 PC 실행이 불가능하기 때문에 재부팅하기 전에 랜섬웨어 종류를 파악하고 PC를 종료해야 한다.

3) 데이터 복구수행

랜섬웨어 예방 프로세스에서 구축해둔 백업 절차에 따라서 랜섬웨어로 인한 데이터 및 시스템 복구를 진행한다. NAS, 클라우드, 외장디스크 등을 통해 백업된 데이터를 이용해 서비스를 정상화 하는 과정이다. 여기서 중요한 것은 상당수의 백업 대상이 데이터에 초점에 맞춰져 있기 때문에 운영체제 및 소프트웨어 등이 위∙변조된 경우에는 운영체제 재설치 등에 소요되는 시간과 비용을 고려해야 한다. 따라서 랜섬웨어 대응 모의훈련 시에 조직 내 서비스 가용성 허용범위를 고려하여 주기적으로 검토해야 한다.

랜섬웨어를 막기 위한 변화의 시작

최근 랜섬웨어 공격을 살펴보면 대규모 기업을 대상으로 한 APT 공격 증가, 서비스형 랜섬웨어(RaaS, Ransomware as a Service)의 확산, 국가지원 해킹그룹의 참여, 협상 금액의 상향화 등이 두드러진다.

이는 랜섬웨어가 새로운 자금원으로 주목받으면서 기존의 해킹그룹에 국가지원을 받는 해킹그룹까지 가세한 결과다. 러시아 해킹그룹인 다크사이드(DarkSide)에 의한 미국 대형 송유관 기업의 랜섬웨어 감염이나 레빌(Revil) 해킹그룹이 시도한 세계 최대 정육 기업의 랜섬웨어 감염사례를 볼 때 산업 및 국가 등에 상관없이 돈을 벌 수 있다면 무자비한 사이버 공격을 진행하고 있다.

랜섬웨어는 지금도 멈추지 않고 있다. 다양한 기술의 변화와 우리의 실수를 호시탐탐 노리고 있기 때문에 최신버전 보안 업데이트, 중요 파일 백업, 패스워드 복잡도 설정과 같이 사소한 보안 인식을 다시금 되새겨 보길 바란다.

요즘IT의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.