“랜섬웨어, APT 공격기법과 유사…킬체인 전략으로 대응해야”

올해 가장 위협적인 악성코드로 떠오른 ‘랜섬웨어’로 인한 피해를 막을 방법으로 시만텍이 다계층 방어를 통한 ‘사이버킬체인’ 전략을 제시했다.

랜섬웨어는 악성코드의 한 종류이지만 진화를 거듭하면서 지능형지속위협(APT)공격과 같은 기법을 사용하고 있어 다계층 지능형 위협 보호 방안을 수립해야 한다는 것이다.

윤광택 시만텍코리아 최고기술책임자(CTO)는 26일 오후에 가진 미디어데이 행사에서 “최근 랜섬웨어 공격은 APT 공격과 같은 지능형 공격기법을 사용한다”며 “랜섬웨어는 파일만 암호화할 뿐 악성코드의 한 종류로, 킬체인 전략을 활용해 보호해야 한다”고 말했다.

시만텍 랜섬웨어 미디어데이_발표자 윤광택 시만텍코리아 CTO기업 표적형 랜섬웨어, 다계층 ‘방어-확산방지-대응’ 전략 필요

시만텍에 따르면, 랜섬웨어는 대규모로 무차별하게 감염시키는 공격 형태가 여전히 성행하고는 있지만 기업 사용자를 대상으로 하는 랜섬웨어 패밀리가 발견되는 등 이제는 기업이 공격자들의 핵심 표적이 되고 있다.

기업을 대상으로 한 표적형 랜섬웨어 공격은 사실상 사이버스파이 활동이나 APT 공격자들이 사용하는 것과 유사한 기술과 툴을 활용해 높은 수준의 전문성을 보인다.

랜섬웨어 패밀리는 자바스크립트, 파워쉘(PowerShell), 파이썬(Python) 등 다양한 프로그래밍 언어로 사용하고 있다. 스크립트형 언어를 사용해 보안 제품의 탐지를 우회하기도 한다. 또 암호화 기능 외에 새로운 위협을 가하기도 한다.

돈을 지불하지 않으면 사진, 동영상 등 개인 데이터를 인터넷에 게시하겠다고 위협하는 ‘키메라(Chimera)’ 랜섬웨어도 등장했다.

랜섬웨어는 주로 이메일 URL·첨부파일 또는 웹사이트에서 익스플로잇 킷이나 악성광고(Malvertisement) 공격을 통해 사용자를 감염시키는 방법을 사용한다. 취약한 사용자를 감염시키고 외부 명령·제어(C&C)와 통신해 최종적으로 파일을 암호화하는 단계로 공격을 진행한다.

윤 CTO는 “랜섬웨어는 사용자가 운영체제(OS)와 브라우저 플러그인 패치만 잘 해도 감염을 피할 수 있다. 이메일과 웹을 통해 유입되는 악성코드를 차단하거나 설치하지 않도록 통제해야 한다. 네트워크 단계에서 이를 탐지하지 못해 감염된다 하더라도 악성코드가 실행될 때 엔드포인트단에서 이상행위를 탐지해 막을 수 있다면 파일 암호화를 피할 수 있다. 설사 감염됐다 하더라도 해당 악성코드가 외부 C&C와의 통신하는 것을 막는다면 피해를 막을 수 있다”고 강조했다.

이메일과 웹을 통한 악성코드 유입을 차단하고, 엔드포인트단에서 감염을 차단하며, C&C 통신을 통한 감염 피해 확산을 방지할 수 있는 다계층의 ‘방어(Prevent)-확산방지(Contain)-대응(Respond)’ 전략이 필요하다는 얘기다.

악성코드 유입단계에서 사전 방어하기 위해서는 이메일 보안, 침입 방지, 다운로드 인사이트, 브라우저 보호, 익스플로잇 차단 등이 필요하다.

확산 방지 단계에서 시만텍은 행동 기반 탐지, 진화된 머신러닝 등을 포함해 고도의 기술이 적용된 안티바이러스 엔진을 각 단계에 작동시켜 악성코드를 차단해야 한다고 제안했다.

이어 윤 CTO는 “공격자들이 툴킷을 사용해 악성코드 변종을 쉽게 만들지만 C&C 서버를 많이 만들기는 어렵기 때문에 해당 정보를 타기관 등과 공유해 위협 인텔리전스를 확보하는 것이 중요하다”고 강조하기도 했다.

랜섬웨어 감염 43%는 기업 사용자, 서비스업종 피해 가장 많아   

그림4. 랜섬웨어 기업 vs 개인 감염율이날 시만텍이 공개한 ‘랜섬웨어 스페셜 보고서 2016’에 따르면, 랜섬웨어는 점차 정교화된 공격 기법으로 비즈니스화 되고 무차별적 공격에서 점차 ‘기업’을 겨냥한 표적 공격으로 변화하고 있다.

조사 결과, 랜섬웨어 감염의 약 43%는 기업 사용자였던 것으로 나타났다. 기업을 겨냥한 공격은 성공시 수천대의 컴퓨터를 감염시켜 운영 장애와 매출, 평판에 심각한 타격을 입힘으로써 몸값이 훨씬 늘어날 수 있기 때문이다.

피해를 입은 산업별 통계를 보면, 서비스업(38%)과 제조업(17%), 공공(10%), 금융권 및 부동산(10%) 등이 주로 피해를 입은 것으로 나타났다.

신규 랜섬웨어 패밀리는 지난 2014년 77개 발견됐는데, 2015년 한 해 동안 이보다 30%가 증가한 100개가 발견돼 사상 최대치를 기록했다.

그림1. 랜섬웨어 신규 패밀리 비율특히 파일을 암호화하고 금전을 요구하는 크립토 랜섬웨어(crypto-ransomware)의 확산이 지속됐다. 올해 발견된 랜섬웨어 가운데 단 1개를 제외하고는 모두 크립토 랜섬웨어였다. 크립토 랜섬웨어는 가장 효과적인 형태로 자리매김하고 있음을 알 수 있다.

국가별 감염 현황을 보면 전체 감염 건수에서 31%를 차지한 미국이 가장 높았고 이탈리아(8%), 일본(8%) 순으로 나타났다. 한국은 28위로 랜섬웨어 감염국 톱(Top) 30에 포함됐다.

요구하는 대가(몸값)도 지속적으로 증가하고 있다. 2014년에는 372달러(약 43만원)에서 2015년 294달러(약 34만원)로 감소했지만 올 상반기에는 전년대비 2.3배 가까이 상승한 679달러(약 77만원)를 기록했다.

올 1월에는 7ev3n-HONE$T (Trojan.Cryptolocker.AD)로 알려진 랜섬웨어가 컴퓨터 한 대 당 13개 비트코인인 5083달러(약 577만원)를 요구하면서 최고 몸값을 기록하기도 했다.

그림3. 랜섬웨어의 평균 요구액(몸값)랜섬웨어는 사이버 범죄의 인기 비즈니스 모델로 자리 잡고 있다. 랜섬웨어 서비스(RaaS, Ransomware as a service) 확산은 전문기술 수준이 상대적으로 낮은 공격자도 자체 랜섬웨어를 확보할 수 있도록 해 더 많은 사이버 공격자를 양산시킨다. 실제로 랜섬웨어 공격을 위한 키트나 공격 대행 서비스 상품은 인터넷 암시장을 통해 마치 쇼핑몰에서 물건을 사듯 쉽게 거래되고 있다.

윤 CTO는 “랜섬웨어가 사이버 공격자들의 새로운 골드러시가 되면서 비즈니스 모델로 진화하고 있다”며, “랜섬웨어가 기업을 겨냥해 지능형 공격기법을 적용하고 표적 공격을 확대하고 있음을 고려했을 때, 단순히 랜섬웨어라는 악성코드만 대응하는 것이 아니라 신종 위협을 비롯해 기업 내 전방위적인 악성코드 대응 전략을 수립하는 것이 필요하다”고 밝혔다.

시만텍은 기업 사용자와 개인 사용자에게 ▲운영체제(OS)를 비롯한 모든 소프트웨어를 항상 최신으로 업데이트할 것 ▲수상한 이메일, 특히 링크나 첨부 파일을 포함하고 있는 이메일은 주의할 것 ▲콘텐츠 확인을 위해 매크로 실행을 권고하는 MS오피스 이메일의 첨부 파일의 경우 각별히 조심할 것. 이메일의 출처를 신뢰할 수 없다면, 매크로를 실행하지 말고 즉시 삭제할 것 ▲중요한 데이터는 주기적으로 백업할 것 등을 권고하고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다