유형 다양화, 제작 대행·입금 상담까지…한층 강력해진 ‘랜섬웨어’

[안랩] Petya 감염 화면사용자 PC를 감염시켜 그 안에 저장된 파일을 암호화해 인질로 잡고 금전을 요구하는 ‘랜섬웨어(Ransomeware)’. 최근 많은 사용자들에게 피해를 입히며 가장 위협적인 악성코드로 떠올랐다.

랜섬웨어에 감염되면 속수무책이다. 공격자들이 요구하는 대가(비트코인)를 지불하지 않은 한 암호화된 파일을 복구하는 방법이 거의 전무한 상황이다. 하지만 대가를 지불하더라도 모든 파일이 복구된다는 보장도 없다.

때문에 평소에 운영체제(OS)·소프트웨어(SW)·백신(안티바이러스) 최신 업데이트 등 보안관리에 신경 쓰고 작업한 문서 등의 백업을 일상화하는 것이 최선책으로 꼽힌다.

이스트소프트가 랜섬웨어 피해사례를 분석, 올 초에 발표한 결과에 따르면, 사용자가 랜섬웨어 감염 피해를 당한 감염 경로는 ▲출처가 불분명한 이메일 첨부 파일 열람 ▲DBD(Drive by Download, 변조된 사이트 접속·주요 인터넷 커뮤니티 배너 광고) ▲애드웨어 서버 변조 ▲해외 불법 스트리밍 사이트 접속 ▲토렌토 등 불법 P2P 프로그램 사용 등으로 나타났다.

6일 안랩(대표 권치중)이 올해 1월부터 3개월 동안 국내외에서 발견된 주요 랜섬웨어(13종)의 특징과 흐름을 분석한 결과에 따르면, 랜섬웨어의 유포방법이 다양화되고 있으며 유포에 악용되는 파일 형태가 확대되며 더욱 강력해지고 있다. 랜섬웨어 제작과 배포를 대행하는 서비스도 포착됐다.

◆랜섬웨어 유포방식 ‘다양화’

“이메일 첨부파일, 메신저 전파 등 고전 기법에 각종 응용프로그램, OS, 웹 취약점 및 토렌트 등 유포 방식 증가”

2014년 발견된 크립토락커는 문서파일로 위장한 이메일 첨부파일 및 조직 내부에서 사용하는 메신저 프로그램의 대화 메시지를 통해 전파하는 전통적인 방식을 사용했다.

올 1분기에는 이런 전통적 방식에 더해 운영체제(OS), 응용 프로그램, 웹 서버의 보안 취약점 등을 활용하는 방식이 발견됐다. 또한 국내·외 웹 사이트와 연계되어 동작하는 광고 사이트의 정상적인 네트워크를 악용하는 멀버타이징(Malvertising), 사용자의 PC가 직접 서버가 되어 사용자끼리 파일을 공유하는 토렌트(Torrent)서비스를 악용하는 등 감염 효과를 극대화시키기 위한 다양한 시도가 발견됐다.

◆유포 파일 형태 ‘확대’

“문서(.doc, .pdf), 화면보호기(.scr)등 기존 악용 파일에 매크로, 자바스크립트(.js)까지 활용”

초기 랜섬웨어는 문서파일(.doc, .pdf)로 위장하거나, 화면 보호기 파일(.scr)로 유포됐다. 이같은 유형은 현재도 꾸준히 발견되고 있다.

올 1분기에는 기존 파일 형태 외에 매크로와 자바스크립트 등을 활용하는 등 유포에 악용되는 파일 형태도 확대됐다.

최근 이슈가 된 록키(locky) 랜섬웨어는 미국,  일본, 중국 등 해외에서 온 송장(invoice),  지급(Payment)등을 위장한 정상 문서파일에 악성 매크로를 포함시켜 실행을 유도해 랜섬웨어를 외부에서 다운로드 하는 방식이 발견된 이후, 첨부파일에 프로그래밍 언어인 자바 스크립트(.js)를 포함시켜 이를 실행하면 랜섬웨어를 다운로드하는 방식의 변종도 발견됐다.

 ◆랜섬웨어의 ‘서비스화’

“랜섬웨어 제작대행, 입금 유도 라이브챗, 수준높은 디자인 등 서비스화 가속”

기존 랜섬웨어에는 없었던 새로운 변화도 나타났다. 먼저 랜섬웨어를 제작·배포하려는 사람을 대행해 랜섬웨어를 제작해주는 ‘RaaS(Ransomware as a service)’가 등장했다. 이 제작자들은 랜섬웨어의 전파, 감염 현황에 대한 정보를 ‘고객’에게 제공하기도 한다.

또 감염자를 대상으로 현재 상황과 입금방법을 상담하는 ‘라이브챗’ 기능을 탑재한 랜섬웨어도 등장했다. 디자인도 정식 서비스처럼 수준높게 구성해 피해자가 마치 ‘피해 구제 서비스’를 받는 것처럼 착각하도록 제작한 랜섬웨어도 있었다.

랜섬웨어는 수많은 신·변종이 지속적으로 발생하고 있기 때문에 피해를 줄이기 위해서는 ▲수상한 이메일 첨부파일 및 URL 실행 금지, ▲중요한 데이터는 외부 저장장치로 백업, ▲백신 최신 업데이트 유지, ▲OS와 SW 프로그램 최신 보안패치 적용 ▲신뢰할 수 없는 웹사이트 방문 자제 등 기본 보안 수칙을 생활화 하는 자세가 필요하다.

안랩 ASEC대응팀 박태환 팀장은 “2013년부터 미국, 중국, 일본, 독일, 영국 등 글로벌 지역에서 피해를 기록한 랜섬웨어는 점점 버전 업그레이드나 다른 영역과 제휴를 하는 등 나름의 실적을 위한 ‘서비스 체계’를 갖춰가고 있다”며 “앞으로 랜섬웨어는 더욱 교묘해지고 고도화할 가능성이 높아 법인 및 개인 사용자들의 주의가 필요하다”고 말했다.

안랩은 V3 제품군과 기업용 지능형 위협 대응 솔루션인 ‘안랩 MDS’로 랜섬에어에 대응하고 있다. 랜섬웨어 피해를 줄이기 위해서는 사용 중인 V3의 엔진 최신 업데이트, MDS 사용 고객은 실행보류(Execution Holding) 기능을 활용하는 것이 좋다고 회사측은 강조했다.

이스트소프트는 통합 백신 ‘알약’ 공개용 버전에 랜섬웨어 차단 기능을 추가해 제공하고 있다.

하우리는 랜섬웨어에 관한 정보와 취약점 방어 솔루션을 ‘랜섬웨어 정보센터(http://www.hauri.co.kr/Ransomeware)’에서 제공한다.

1분기 랜섬웨어글. 바이라인네트워크
<이유지기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다