랜섬웨어란?

랜섬웨어는 어떻게 작동합니까?

랜섬웨어는 비대칭 암호화를 사용합니다.. 비대칭 암호화란 파일을 암호화하고 해독하기 위해 한 쌍의 키를 사용하는 암호화 방법입니다. 공격자가 피해자마다 고유한 공개 키와 개인 키의 쌍을 생성하며, 파일을 해독하기 위한 개인 키는 공격자의 서버에 저장됩니다. 공격자는 피해자가 대가를 지불한 후에만 피해자에게 개인 키를 제공하는데, 최근 랜섬웨어 캠페인에서는 그마저도 제공하지 않는 경우까지 관찰되었습니다. 개인 키가 없다면 암호화된 파일을 해독하는 것은 불가능에 가깝습니다.

랜섬웨어에는 다양한 변형이 존재합니다. 랜섬웨어 및 기타 맬웨어는 이메일 스팸 캠페인 또는 표적 공격을 통해 배포되는 경우가 많습니다. 맬웨어가 엔드포인트에 자리를 잡으려면 공격 벡터가 필요합니다. 자리를 잡은 맬웨어는 작업이 완료될 때까지 시스템에 머뭅니다.

익스플로잇에 성공한 후, 랜섬웨어는 감염된 시스템에 악성 바이너리를 가져와 실행합니다. 그러면 악성 바이너리가 Microsoft Word 문서, 이미지, 데이터베이스 등 귀중한 파일을 찾아 암호화합니다. 랜섬웨어는 시스템 및 네트워크 취약성을 익스플로잇해 다른 시스템 또는 조직 전체에 확산될 수도 있습니다.

파일이 암호화되면 랜섬웨어는 사용자에게 24시간에서 48시간 이내에 파일을 해독하기 위한 대가를 지불하지 않으면 영원히 파일을 복구할 수 없다는 메시지를 표시합니다. 데이터를 백업해 두지 않았거나 백업마저 암호화되었다면 피해자는 대가를 지불해야 개인 파일을 복구할 수 있습니다.

랜섬웨어가 확산되고 있는 이유는 무엇입니까?

랜섬웨어 공격과 그 변형은 여러 가지 이유로 예방 기술에 대응하며 빠르게 진화하고 있습니다.

• 필요할 때마다 새 맬웨어 샘플을 생성하기 위한 맬웨어 키트를 쉽게 구할 수 있음
• 크로스 플랫폼 랜섬웨어를 생성하기 좋은 유명한 범용 인터프리터를 사용(예를 들어, Ransom32는 JavaScript 페이로드와 함께 Node.js를 사용)
• 선택된 파일만 암호화하는 대신 디스크 전체를 암호화하는 등의 새 기술 사용

오늘날의 도둑들은 기술에 능통할 필요도 없습니다. 랜섬웨어 시장이 온라인에 생겨나 맬웨어 제작자가 잠재적 사이버 범죄자에게 다양한 맬웨어를 제공하고 대가의 일부를 나눠 받기도 하면서 추가 수익을 얻고 있습니다.

랜섬웨어 가해자를 찾는 것이 힘든 이유는 무엇입니까?

비트코인과 같은 익명 암호화폐를 지불 수단으로 사용하면 자금을 추적해서 범인을 찾기가 어렵습니다. 점점 더 많은 사이버 범죄 그룹이 빠르게 수익을 창출할 수 있는 랜섬웨어 설계를 고안하고 있습니다. 랜섬웨어를 개발하기 위한 오픈 소스 코드와 드래그 앤 드롭 플랫폼을 구하기가 쉬워져서 새 랜섬웨어 변종을 빠르게 생성하고 스크립트 초보자도 랜섬웨어를 직접 만들 수 있게 되었습니다. 일반적으로 랜섬웨어와 같은 최첨단 맬웨어는 다형성으로 설계되므로 사이버 범죄자가 파일 해시와 같은 기존 시그니처 기반 보안을 쉽게 바이패스할 수 있습니다.

서비스형 랜섬웨어(RaaS)란 무엇입니까?

서비스형 랜섬웨어는 맬웨어 개발자가 위협을 배포하지 않더라도 자신이 만든 맬웨어로 수익을 창출할 수 있는 사이버 범죄 경제 모델입니다. 기술이 없는 범죄자가 개발자의 맬웨어를 구입해 감염을 배포하고 개발자에게 수익의 일부를 지불합니다. 개발자는 비교적 적은 위험을 감수하며, 개발자의 고객이 대부분의 작업을 수행합니다. 서비스형 랜섬웨어에는 구독제로 운영되는 것도 있고 등록해야만 이용할 수 있는 것도 있습니다.

랜섬웨어 공격을 방어하는 방법

랜섬웨어를 방지하고 공격받을 경우의 피해를 완화하려면 다음 팁을 따르십시오.

• 데이터를 백업하십시오. 중요한 파일에 접근하지 못하게 될 위협을 막는 최고의 방법은 백업 사본을 항상 유지하는 것입니다. 가능하면 클라우드와 외장 하드 드라이브에 함께 유지하는 것이 좋습니다. 사본을 유지하면 랜섬웨어에 감염되더라도 컴퓨터 또는 장치를 초기화하고 백업했던 파일을 다시 설치할 수 있습니다. 이렇게 하면 데이터를 보호할 수 있고 맬웨어 제작자에게 대가를 지불하지 않아도 됩니다. 백업으로 랜섬웨어를 막지는 못하지만 위험을 완화할 수 있습니다.
• 백업을 보호하십시오. 데이터가 존재하는 시스템에서 백업 데이터를 수정하거나 삭제할 수 없도록 해야 합니다. 랜섬웨어는 데이터를 복구할 수 없도록 데이터 백업을 찾아 암호화하거나 삭제하므로, 백업 파일에 직접 액세스할 수 없는 백업 시스템을 사용해야 합니다.
• 보안 소프트웨어를 사용하고 최신 버전을 유지해야 합니다. 모든 컴퓨터와 장치가 종합적인 보안 소프트웨어로 보호되고 모든 소프트웨어가 최신 버전으로 유지되는지 확인하십시오. 업데이트마다 결점에 대한 패치가 있을 때가 많으므로 사전에 장치의 소프트웨어를 자주 업데이트해야 합니다.
• 안전한 웹 검색을 하십시오. 클릭하는 곳을 주의해야 합니다. 모르는 사람의 이메일과 문자 메시지에 응답하지 말고, 신뢰할 수 있는 소스의 애플리케이션만 다운로드해야 합니다. 맬웨어 제작자는 사회 공학을 통해 위험한 파일을 설치하도록 만드는 경우가 많으므로 주의하는 것이 중요합니다.
• 안전한 네트워크만 사용하십시오. 공용 Wi-Fi 네트워크는 안전하지 않은 경우가 많고 사이버 범죄자가 인터넷 사용을 스누핑할 수 있으므로 사용하지 않는 것이 좋습니다. 대신 어디서든 인터넷에 안전하게 연결할 수 있는 VPN을 설치하는 것을 고려해 보십시오.
• 최신 정보를 확인하십시오. 무엇에 주의해야 하는지 알기 위해 최신 랜섬웨어 위협에 대한 정보를 확인하십시오. 랜섬웨어에 감염되었고 파일을 백업해 놓지 못한 경우, 피해자를 돕기 위해 기술 회사들이 제작한 암호 해독 도구가 존재한다는 사실도 알아두십시오.
• 보안 인식 프로그램을 시행하십시오. 조직의 모든 구성원에게 정기 보안 인식 교육을 시행하여 피싱을 비롯한 사회 공학 공격을 예방하십시오. 교육의 효과를 검증하기 위해 정기적으로 훈련과 테스트를 시행하십시오.

주요 랜섬웨어 인시던트 대응 데이터 포인트

당사의 일선 인시던트 대응 전문가가 랜섬웨어를 조사하고 복원하며 일반적으로 다음과 같은 추세를 관찰했습니다.

랜섬웨어 공격의 체류 시간 중앙값(단위: 일)

랜섬웨어 공격의 체류 시간 중앙값은 72.75일이며, 랜섬웨어를  포함한 모든 위협의 중앙값은 56일입니다.

요일별 랜섬웨어 배포

Days of the week highlighted above represent when deployment and execution of the ransomware attack begins, not when the attacker gains initial access.

위험 최소화 및 랜섬웨어 체류 시간 단축

Focus on attacker behavior to reduce the average dwell time of a strategic ransomware actor
from 72 days to only 24 hours or less.

랜섬웨어 공격에 대응하는 9가지 단계

랜섬웨어 공격을 받은 것으로 의심되는 경우 신속하게 조치하는 것이 중요합니다. 다행히 피해를 최소화하고 비즈니스를 빠르게 원상 복구할 확률을 최대화하기 위해 따라야 할 단계가 마련되어 있습니다.

1. 감염된 장치를 격리하십시오. 한 장치에만 영향을 미치는 랜섬웨어는 조금의 불편을 초래할 뿐입니다. 기업의 모든 장치를 감염시킬 수 있는 랜섬웨어는 큰 재앙이며 비즈니스가 완전히 무너질 수도 있습니다. 둘의 차이는 대응 시간에서 비롯되는 경우가 많습니다. 네트워크, 공유 드라이브, 기타 장치의 안전을 보장하기 위해 네트워크, 인터넷, 기타 장치로부터 최대한 빠르게 감염된 장치의 연결을 해제하는 것이 중요합니다. 빨리 행동할수록 다른 장치가 감염될 확률이 줄어듭니다.
2. 확산을 방지하십시오. 랜섬웨어는 빠르게 전파되고, 랜섬웨어에 감염된 장치가 최초 감염자라는 보장이 없으므로, 감염된 장치를 즉각 격리한다고 해도 네트워크의 다른 곳에 랜섬웨어가 존재할 수 있습니다. 랜섬웨어의 확산 범위를 효과적으로 제한하려면 외부에서 운영되는 장치를 포함해 의심스러운 행동을 보이는 모든 장치를 네트워크에서 분리해야 합니다. 네트워크에 연결된 장치는 어디에 있건 위험 요소가 됩니다. 이 시점에 무선 연결(Wi-Fi, Bluetooth 등)을 중단하는 것도 좋은 방법입니다.
3. 피해를 평가하십시오. 어떤 장치가 감염되었는지 확인하기 위해 이상한 파일 확장자 이름으로 최근 암호화된 파일이 있는지 확인하고 이상한 파일 이름이나 파일을 열지 못하는 사용자에 대한 보고를 확인하십시오. 완전히 암호화되지 않은 장치를 발견하면 공격을 억제하고 향후 피해 및 데이터 유실을 방지하기 위해 장치를 격리하고 종료해야 합니다. 네트워크 저장소 장치, 클라우드 저장소, USB 썸 드라이브와 외장 하드 드라이브 저장소, 노트북, 스마트폰, 그 외 다른 모든 벡터를 포함해 영향을 받은 모든 시스템의 전체 목록을 작성하는 것이 목표입니다. 이 시점에 공유를 잠그는 것이 좋습니다. 모두 제한할 수 있으면 모두 제한해야 하고, 그럴 수 없으면 가능한 한 많이 제한해야 합니다. 이렇게 하면 진행 중인 암호화 프로세스를 멈출 수 있고 복원이 진행되는 동안 공유로 인한 추가 감염을 방지할 수 있습니다. 하지만 그전에 암호화된 공유를 확인해야 합니다. 이를 통해 유용한 정보를 얻을 수 있습니다. 평소보다 열려 있는 파일의 수가 훨씬 많은 장치를 발견했다면 최초 감염자를 발견한 것일 수도 있습니다. 그렇지 않다면...
4. 최초 감염자를 찾으십시오. 감염의 원천을 식별하면 감염을 추적하기가 훨씬 쉬워집니다. 그러기 위해서는 안티바이러스/안티맬웨어, EDR, 기타 활성화된 모니터링 플랫폼의 경고를 확인하십시오. 대부분의 랜섬웨어는 악성 이메일 링크 및 첨부 파일을 통해 네트워크에 들어오고 이를 위해서는 최종 사용자의 행동이 필요하므로 사람들에게 의심스러운 이메일을 여는 등의 행동을 했는지 또는 발견한 사항이 있는지 묻는 것도 도움이 될 수 있습니다. 마지막으로, 파일 자체의 속성을 확인해 단서를 찾을 수도 있습니다. 소유자로 표시된 사람이 진입 지점일 확률이 높습니다. (하지만 최초 감염자가 여러 명일 수 있다는 점에 유의하십시오.)
5. 랜섬웨어를 식별하십시오. 더 나아가기 전에 어떤 랜섬웨어 변형에 대응하고 있는지 알아내는 것이 중요합니다. 한 가지 방법은 Trellix가 참여하고 있는 전 세계적인 이니셔티브인 No More Ransom에 방문하는 것입니다. 이 사이트에는 데이터를 되찾는 데 도움이 되는 도구 제품군이 있습니다. 예를 들어 Crypto Sheriff 도구는 암호화된 파일 중 하나를 업로드하면 일치하는 랜섬웨어를 찾아 줍니다. 대가를 요구하는 메시지에 포함된 정보를 사용할 수도 있습니다. 랜섬웨어 변형을 직접 찾지 못한 경우, 검색 엔진에 이메일 주소 또는 대가를 요구하는 메시지를 검색하면 도움이 될 수 있습니다. 랜섬웨어를 식별하고 그 랜섬웨어의 작동 방식을 간단히 알아본 후에는, 가능한 한 빠르게 감염되지 않은 모든 직원에게 경고하여 감염되었을 경우 확인할 수 있는 방법을 알려야 합니다.
6. 랜섬웨어를 당국에 신고하십시오. 랜섬웨어를 억제한 후에는 여러 가지 이유로 법 집행 기관에 연락하는 것이 좋습니다. 먼저 랜섬웨어는 법에 위배되므로, 다른 여느 범죄와 마찬가지로 올바른 당국에 보고되어야 합니다. 둘째, 미국 연방수사국에 따르면 ‘법 집행 기관은 대부분의 조직에서 사용할 수 없는 법적 권한과 도구를 사용할 수 있습니다.’ 국제 법 집행 기관과 협력해 도난당하거나 암호화된 데이터를 되찾고 가해자를 처벌할 수 있습니다. 마지막으로, 공격과 관련해 컴플라이언스 문제가 발생할 수 있습니다. GDPR의 조항에 따르면 EU 시민 데이터와 관련된 침해가 발생한 후 72시간 이내에 ICO에 알리지 않은 경우 비즈니스에 막대한 벌금이 부과될 수 있습니다.
7. 백업을 평가하십시오. 이제 대응 프로세스를 시작할 단계입니다. 가장 빠르고 쉬운 방법은 백업을 사용해 시스템을 복원하는 것입니다. 이상적으로는 감염되지 않고 완전하면서도 활용하기에 충분할 만큼 최근에 만들어진 백업이 있는 것이 좋습니다. 그런 백업이 있다면 다음 단계는 안티바이러스/안티맬웨어 솔루션을 사용해 감염된 모든 시스템 및 장치에서 랜섬웨어를 완전히 지우는 것입니다. 그러지 않으면 시스템이 계속 잠기고 파일이 암호화되어 백업마저 손상될 수 있습니다. 맬웨어의 모든 흔적을 제거한 후 백업을 사용해 시스템을 복원할 수 있으며, 모든 데이터가 복원되었고 모든 앱과 프로세스가 복원되어 정상 실행되는 것을 확인했다면 원래의 비즈니스로 돌아갈 수 있습니다. 안타깝게도 많은 조직이 백업을 생성하고 유지하는 일의 중요성을 깨닫지 못하고, 백업이 필요할 때가 되어서야 백업이 없다는 점을 깨닫습니다. 최신 랜섬웨어는 점점 정교화되고 복원력이 강하므로, 백업을 생성해 놓은 경우에도 랜섬웨어가 백업까지 손상하거나 암호화해 사용할 수 없게 되었다는 것을 알게 될 수 있습니다.
8. 복호화 옵션 살펴보기: 실행 가능한 백업이 없는 경우에도 데이터를 복구할 수 있는 방법이 있습니다. 점점 더 많은 무료 암호 해독 키를 더 이상 랜섬웨어에서 찾을 수 있습니다.대응하고 있는 랜섬웨어 변형에 사용할 수 있는 키가 있고 시스템에서 맬웨어의 모든 흔적을 제거했다면 암호 해독 키를 사용해 데이터의 잠금을 해제할 수 있습니다. 하지만 운 좋게 암호 해독 키를 발견했더라도 복원을 진행하는 동안 몇 시간이나 며칠의 가동 중단이 발생할 수 있습니다.
9. Move on: 안타깝게도 실행 가능한 백업이 없고 암호 해독 키를 찾을 수 없다면 손실을 줄이고 처음부터 다시 시작하는 방법밖에 없을 수 있습니다. 다시 시작하는 것이 빠르고 저렴하지는 않겠지만 다른 선택지가 없다면 최선의 방법입니다.

그냥 대가를 지불하면 안 되는 이유는 무엇입니까?

복구 작업에 몇 주나 몇 달이 걸릴 수도 있으므로 요구대로 대가를 지불하는 방법을 고려하게 될 수 있습니다. 하지만 대가를 지불하는 것이 좋지 못한 방법인 데에는 몇 가지 이유가 있습니다.

• 암호 해독 키를 받지 못할 수 있습니다. 범죄자들은 랜섬웨어에서 요구하는 대가를 지불하면 암호 해독 키를 준다고 말합니다. 하지만 랜섬웨어에 대가를 지불하고 난 뒤의 일은 범죄자 마음대로입니다. 많은 사람과 조직이 대가를 지불하고도 아무것도 돌려받지 못해 수십, 수백, 수천 달러를 날리고도 시스템을 처음부터 다시 구축해야 했습니다.
• 대가를 반복적으로 요구당할 수 있습니다. 대가를 지불하면 랜섬웨어를 배포한 사이버 범죄자는 자신이 칼자루를 쥐고 있다는 것을 알게 됩니다. 돈을 조금(또는 훨씬 많이) 더 지불해야만 작동하는 키를 제공하겠다고 말할 수도 있습니다.
• 부분적으로만 작동하는 암호 해독 키를 받을 수도 있습니다. 랜섬웨어 제작자들은 파일 복구 비즈니스가 아니라 돈을 벌기 위한 비즈니스를 운영합니다. 따라서 받은 암호 해독 키는 범죄자가 거래가 성립되었다고 말하기에만 충분한 수준의 키일 수 있습니다. 게다가 암호화 과정에서 일부 파일이 복구할 수 없을 정도로 손상되는 경우도 있습니다. 그 경우 좋은 암호 해독 키를 사용해도 파일을 잠금 해제할 수 없고 영원히 잃게 됩니다.
• 계속해서 표적이 될 수 있습니다. 대가를 지불하면 범죄자들에게 좋은 투자처라고 알려지게 됩니다. 대가를 지불한 적이 있는 조직은 지불할지 말지 모르는 새로운 표적보다 더 좋은 표적이 됩니다. 동일한 범죄자 그룹이 1~2년 후에 다시 공격하거나 포럼에 로그인해 다른 사이버 범죄자들에게 쉬운 표적이 있다고 알리는 일을 막을 수가 없습니다.
• Even if everything somehow ends up fine, you’re still funding criminal activity Say you pay the ransom, receive a good decryptor key, and get everything back up and running. 그것조차도 최악의 시나리오 중의 최선일 뿐입니다(큰 비용을 지불했기 때문만은 아닙니다). 대가를 지불하면 범죄 활동에 자금을 지원하는 것입니다. 당연한 도덕적인 문제를 제외하더라도, 랜섬웨어가 돈이 되는 비즈니스 모델이라는 생각을 강화하는 것입니다. (아무도 대가를 지불하지 않는다면 범죄자들이 계속 랜섬웨어를 배포할까요?) 공격에 성공하여 큰 수익을 거둔 범죄자들은 준비되지 않은 비즈니스를 계속 공격할 것이며 더 새롭고 비도덕적인 랜섬웨어 변형을 개발하는 데 시간과 돈을 투자할 것입니다. 그 결과 만들어진 랜섬웨어가 향후 여러분의 장치를 감염시킬 수도 있습니다.