랜섬웨어 공격 트렌드와 보안 아키텍처 구현 방안 > 기술/보안

아카마이 테크놀로지스 / 김현도 이사

1. 랜섬웨어(Randomware)의 정의와 진화 방식

한국인터넷진흥원(KISA)의 정의에 따르면 랜섬웨어는 악성코드의 일종으로 인질을 뜻하는 영어 랜섬(Ransom)과 소프트웨어 (Software)의 합성어이다. 랜섬웨어는 사용자 장비 또는 네트워크 스토리지 디바이스의 파일을 암호화하는 멀웨어의(Malware) 한 가지 유형이며 랜섬웨어에 의해 암호화된 파일에 대한 접속 권한을 복구하려면 사용자가 일반적으로 추적이 어려운 비트코인과 같은 전자 결제 방식을 통해 ‘랜섬(몸값)’을 공격자에게 지불하게 만드는 방식이 일반적이다. 일반적인 컴퓨터는 물론 서버, 모바일 장비와 DSLR카메라까지 대상이 된다.

<그림1. 랜섬웨어에 감염된 윈도우 단말의 바탕화면>

<그림2. 랜섬웨어에 의해 단방향 암호화 처리된 사용자들의 파일들>

최초의 랜섬웨어는 1989년 처음 만들어졌다. AIDS 트로이 목마라고 불리는 이 체계는 당시 널리 사용되던 플로피 디스크를 이용하여 물리적으로 배포되었는데, 랜섬웨어 제작자들은 해당 디스크에 AIDS과 관련된 전문가들의 자료가 집약된 데이터베이스가 저장되어 있다고 주장했다. AIDS 트로이 목마는 사용자가 프로그램을 특정횟수 이상 실행하기 위해서는 파나마 우체국으로 미화 198달러를 보낼 것을 요구했으며 ‘조셉 포프’ 박사가 작성한 것으로 의심되었다고 한다. 이후 1996년 ‘아담 영’과 ‘모티 융’에 의해 본격적인 진화가 시작되었다. 랜섬웨어는 공격대상 파일이나 스토리지에 특정한 암호화 알고리즘을 이용하여 암호화시키는 방식이 사용되는데 이때 단방향 또는 양방향 암호화가 사용된다. 단방향 암호화는 한번 암호화 하면 다시 복호화 할수 없는 반면, 양방향 암호화는 암호화한 후 복호화가 가능한 특징을 가지고 있다.

<그림3. 랜섬웨어 파일 암호화 과정>

랜섬웨어를 배포하고 감염되기를 기다리지 않고 여러 기법들을 이용해 좀 더 정교하게 이용자들이 단말에서 실행되도록 다양한 형태의 피싱(Phishing) 기법과 함께 사용되는 경우가 일반적이다.

코로나바이러스감염증-19(COVID-19) 확산과 더불어 급증하고 있는 피싱기법의 한 사례에서는 질병통제센터의 이메일 주소를 도용하여 최신 감염자수를 알려주는 URL을 클릭하도록 유도하는 피싱기법과 함께 해당 URL을 클릭하면 랜섬웨어가 사용되었다.

<그림4. 질병통제센터의 웹사이트(www.cdc.gov)를 도용한 피싱메일. 메일 발신주소는 cdc-gov.org>

이처럼 랜섬웨어는 대부분 정교한 피싱 이메일을 통해 배포되며 일부 케이스에서는 정상적인 메일을 가장하여 URL이 아닌 랜섬웨어가 첨부파일로 포함되어 있는 경우가 많다.
그렇기 때문에 랜섬웨어나 피싱공격의 대응 방안으로 다양한 예방 캠페인을 전개하기도 하지만 이는 사용자의 보안의식을 높이는 것을 기대하는 방식이기 때문에 보안체계 구축과는 별개의 노력으로 간주되어야 한다.

2. 랜섬웨어의 종류와 감염 증상

CryptoLocker, CryptoWall, CrypMIC등의 종류
마이크로소프트 윈도우 운영체제를 사용하는 x86 컴퓨터를 대상으로 하며 인터넷 익스플로러, 플래쉬의 취약점을 이용한 드라이브 바이 다운로드 (Drive By Download) 방식으로 감염된다. 컴퓨터 시스템과 파일들을 RSA-2048키를 이용해 암호화하며 이를 복구하기 위한 개인키는 CryptoLocker의 컨트롤 서버에 저장한다. 암호화 하는 과정에서 RAM을 주로 사용하기 때문에 시스템이 특별한 이유없이 느려지는 현상이 나타나며 특정한 시간 이내까지 몸값을 지불하지 않으면 감염된 파일들은 삭제된다.
Cerber등의 종류
해당 랜섬웨어에 감염되면 시스템오디오를 통해 감염되었다는 사실을 알린다. 암호화된 파일을 .cerber[1-4]의 확장자로 변형시키며 주로 스팸메일보다는 멀웨어에 감염된 웹사이트의 접속을 통해 감염된다. 광고소프트웨어나 P2P를 통해서 감염되는 경우도 일부 알려져 있다.
이후 Magniber 라고 알려진 랜섬웨어가 비슷한 유형으로 알려져 있는데 ‘readme.txt’라는 파일이 각 디렉토리마다 생성되며 윈도우 작업스케쥴러에 랜섬웨어 실행 파일을 15분마다 실행시키도록 자동등록되는등 복합적인 방법이 사용된다.
MBR(Master Boot Record) 감염 종류
MBR은 운영체제 시스템이 어떤 디스크에 어떻게 위치해있는지를 식별하는 정보이다. 보통 디스크의 첫번째 섹터인 512Byte에 저장되어 있으며 이를 감염시킴으로써 사용자 파일이나 운영체제 파일을 암호화하지 않고도 효과적으로 사용자의 시스템을 마비시킨다. Santana, Goldeneye, Bad Rabbit과 같은 이름의 랜섬웨어가 이에 속한다.
WannaCry
윈도우 통신 프로토콜중 하나인 SMB(Server Message Block) 취약점 / CVE-2017-0144를 이용해 WannaCry랜섬웨어가 스스로 주변으로 자체 전파하는 것이 특징이다. 특정확장자를 가지는 내부파일들의 확장자가 .WNCRY로 변경되며 감염시스템 화면에 안내문구를 표시한다. 기존 랜섬웨어와는 다르게 운영체제 취약점을 이용하기 때문에 전파의 속도가 기존 피싱이나 스팸메일보다 훨씬 빠르게 전파되었다.

<그림5. WannaCry 랜섬웨어에 의한 감염 증상>

3. 랜섬웨어 피해를 방지하기 위한 보안체계 구축

시그니쳐 기반의 랜섬웨어 실시간 스캔
랜섬웨어에 의한 감염증상 발생시 나타나는 증상들을 유형별로 분류하여 이를 탐지하는 EPP(End Point Protection) 보안 정책에 이를 반영합니다. 예를 들어 outbound의 UDP 6892포트에 특정수준이상의 트래픽이 발생하거나 HTTP Request header의 URL string에 특정 문자열이 탐지되는 경우, 또는 특정 payload내의 문자열이 발견되는 경우등을 예로 들 수 있다. 새로운 패턴의 시그니쳐가 발견되는 경우 동일한 방식으로 이를 EPP 보안 정책에 다시 반영하는 등의 보안운영 체계의 관리 역시 필요하다.
엔터프라이즈 네트워크 기반
각 엔터프라이즈 운영 시스템의 보안 업데이트를 최신화하고 불필요한 포트를 차단하는 등의 기본 보안방침은 기본이다.
또한 랜섬웨어의 접촉 자체를 차단하기 위한 보안 시스템 측면에서의 체계 구축은 필수다.

<그림6. anysite.com이라는 사이트 접속 과정을 도식화>

DNS 검사: 사용자 단말에서 요청하는 모든 도메인은 Recursive DNS에 의해 IP address로 전환되고 이 과정을 DNS Resolving이라고 표현하는데, 이 시점에서 높은 수준의 보안 가시성을 확보해야 한다. DNS 검사를 통해 확인된 악성 도메인으로의 요청은 자동으로 차단되어야 한다. DNS를 1차 보안 레이어로 사용해 웹 접속이 이루어지기 전에 초기 단계에서 위협을 선제적으로 차단할수 있기 때문이며 DNS 검사를 통해 사용자 단말이 접속하려는 콘텐츠 종류를 확인하고 해당 콘텐츠가 기업의 제한적 사용 정책 (AUP)을 위반할 경우 접속 관리하는 역할까지 수행한다.
URL 검사: 도메인 뿐만 아니라 HTTP 및 HTTPS의 URL은 역시 보안성 측면에서 중요한 분석 대상중 하나가 될 수 있으며 랜섬웨어나 악성 URL로 판단되는 경우 적절한 차단이나 관리를 해야 한다.
페이로드(payload) 분석: DNS/URL뿐만 아니라 HTTP/HTTP의 실제 데이터에 해댕하는 페이로드를 스캔해야 한다. 스캔에 사용되는 엔진은 시그니처, 시그니처리스, 머신 러닝, 샌드박스 등 다양한 기술을 사용해 잠재적인 악성 파일(실행 및 문서 파일)에 대해 포괄적인 제로데이 방어를 제공하는 기능을 갖추고 있어야 한다.

참고자료

저작권정책

K-ICT 클라우드혁신센터의 저작물인 『랜섬웨어 공격 트렌드와 보안 아키텍처 구현 방안』은 K-ICT 클라우드혁신센터에서 아카마이 테크놀로지스 김현도 이사에게 집필 자문을 받아 발행한 전문정보 브리프로, K-ICT 클라우드혁신센터의 저작권 정책에 따라 이용할 수 있습니다.
다만 사진, 이미지, 인용자료 등 제3자에게 저작권이 있는 경우 원저작권자가 정한 바에 따릅니다.

기술/보안

지식정보

랜섬웨어 공격 트렌드와 보안 아키텍처 구현 방안

저작권정책