기업의 데이터를 위협하는 랜섬웨어

2020년은 코로나바이러스감염증으로 인한 경제 혼란과 함께 기업의 디지털 전환 수요가 늘어나면서 데이터 침해, 대량 데이터 도용 및 판매, 신원 도용, 랜섬웨어 등 지금까지와는 다른 새로운 유형 또는 진화된 보안 위협이 빠르게 확산되고 있어 기업들의 주의가 요구되고 있습니다. 2020년 전 세계적으로 비즈니스에 가장 큰 위협을 주는 대표적인 사이버 위협은 랜섬웨어와 랜섬 DDoS 공격으로 집계되고 있습니다.

 

• (보안뉴스) 2020년의 가장 큰 사이버 위협은 압도적으로 랜섬웨어
• (보안뉴스) 2021년 보안 이슈 전망 TOP 5 “재택근무·5G 노리는 랜섬웨어·APT 조직”
• (FORTINET BLOG) New Cybersecurity Threat Predictions for 2021

 

랜섬웨어란 Ransom(몸값)과 Ware(제품)의 합성어로 랜섬웨어는 PC 또는 서버, 네트워크에 이르기까지 모든 파일과 문서를 암호화하는 악성 소프트웨어(Malware)로 과거에는 데이터를 암호화하고, 금전을 요구하는 형태였지만 현재는 소프트웨어 악용 및 결함, 노출된 패스워드 및 취약점을 이용하여 계정 탈취 및 권한을 상승하고 민감정보 및 주요 문서 탐색 및 탈취 등 암호화를 하기 전에 최대한 많은 정보를 취득하고 암호화하여 기업의 데이터를 인질로 잡아 기업 또는 개인에게 금전적인 협상을 요구하고 때로는 탈취한 데이터를 웹사이트(다크 웹[Dark Web])에 노출시키기도 합니다.

일반적으로 랜섬웨어에 감염되면 리소스 사용량이 급증하면서 파일을 암호화하기 때문에 랜섬웨어 감염을 쉽게 의심해 볼 수 있지만 종류에 따라 일정한 간격으로 스케쥴링되어 암호화하는 경우도 있어 사용자가 쉽게 알지 못하는 경우도 발생합니다.

 

최초의 랜섬웨어는 AIDS 트로이 목마(PC 사이보그 바이러스)로 알려져 있으며 1989년 세계 보건기구 (WHO)의 AIDS 컨퍼런스 참석자들에게 20,000 개의 감염된 디스크를 나눠준 생물 학자 Joseph Popp에 의해 만들어졌습니다. 이 랜섬웨어(AIDS 트로이 목마)는 PC가 부팅된 횟수를 계산하여 90이 되면 컴퓨터와 파일을 암호화하고 우체국에 $ 189 또는 $ 378을 보내도록 하여 '라이선스 갱신'을 요구했습니다.

그로부터 30여 년이 지난 지금 랜섬웨어는 더욱더 진화하였으며 교묘해졌습니다. 우리는 과거의 사례를 통하여 랜섬웨어가 기업과 우리의 생활에 얼마나 많은 악영향을 끼치고 있고 얼마나 심각한지에 대해 확인해 볼 수 있습니다.

 

Locky는 한때 가장 악명 높은 형태의 랜섬웨어로 2016년 내내 전 세계의 조직들에게 혼란을 주었으며, Locky는 탐지를 피하기 위해 정기적으로 코드를 업데이트하였고 30개의 언어로 금전 지불을 요구 하였으며, 가장 널리 퍼진 악성 코드 형태 중 하나였으나, 1년이 채 지나지 않아 사라진 것으로 보고 있습니다.

 

Cerber는 2017년 4월 Windows에 대한 랜섬웨어 공격의 90%를 차지할 만큼 가장 지배적인 형태의 랜섬웨어 였습니다. Cerber는 ‘Ransomware-as-a-Service’로 배포되어 기술적 노하우가 없는 사용자가 공격을 수행하고 일부 수익을 원작자에게 돌려주는 대가로 배포되는 랜섬웨어로 2017년 말 사라진 것처럼 보였지만 오늘날 다양한 형태의 'ransomware-as-a-service’ 모델로 발전되고 있습니다.

 

SamSam는 2017년과 2018년 전 세계적으로 악명을 떨쳤던 랜섬웨어로 의료, 정부, 기업 등을 마비 시켰으며, 미국을 중심으로 하여 전 세계를 위협한 랜섬웨어로 네트워크에 대한 접근 권한 및 데이터 복호화에 대한 비용으로 수만 달러를 요구하였습니다.

 

WannaCry는 ‘Wannacrypt’라고도 불리며 Microsoft Windows를 사용하는 컴퓨터를 타깃으로 합니다. 2017년 5월 전 세계적으로 큰 혼란을 일으키기도 했으며 암호화된 데이터를 복호화하기 위해서는 $300의 비트코인을 요구하였고, 일주일 이내에 지불하지 않으면 모든 파일을 영구적으로 삭제한다고 위협하였습니다.

WannaCry는 150개 이상의 국가에서 30만 개의 시스템을 감연 시켰고 네트워크를 무력화시켰습니다. 가장 큰 타격을 입은 러시아는 은행, 통신사, 국가 교통 시스템이 마비되었으며, 영국은 영국 전역의 의료 시스템이 마비되었고, 국내에서는 2017년 8월 LG전자의 키오스에서 WannaCry가 발견되어 네트워크 일부가 마비되었습니다.

 

Sodinokibi는 GandCrab 조직과 제휴하거나 동일한 조직으로 예측되고 있으며, 2019년 4월 처음 등장 후 전 세계적으로 최다 유포된 랜섬웨어로 서비스형 랜섬웨어(Ransomware-as-a-Service)로 운영되고 있습니다.

Sodinokibi 주로 메일의 첨부파일을 이용하거나 홈페이지 탈취 후 특정 링크를 통해 파일을 다운로드하게 하여 감염시키며 Maze, Doppelpaymer 및 Ragnarlocker와 같은 랜섬웨어 조직들처럼 피해자가 금전을 지불하지 않으면 탈취한 데이터를 다크 웹에 노출 시키겠다고 협박하며, 2020년 6월 시만텍 연구원들은 REvil ransomware (Sodinokibi) 운영자가 피해자 네트워크에서 신용카드 또는 POS(Point of Sale) 시스템을 탐색하기 시작했다고 밝히기도 했습니다.

 

2020년 랜섬웨어로 인한 데이터 유출 사례 

• (보안뉴스) 메이즈 랜섬웨어의 승승장구! 반도체 업체도 당해 
• (ZDnet) LG전자 데이터 유출..."기밀·개인정보 없어" 
• (뉴스워치) “랜섬웨어 통해 유출당한 카드정보 실체는?”…이랜드, 탈취 데이터 ‘다크웹’ 공개에 바로 신고

출처 : KISA 인터넷 보호나라&KrCERT

새로운 또는 변종 랜섬웨어는 지속적으로 생성 되고 있으며, 전 세계 보안 전문 기업들은 2021년에도 랜섬웨어에 의한 공격과 감염이 증가하고 금전적 손해 또한 클 것으로 예측 하였습니다. 또한 과거 해커들은 대기업을 타깃으로 하는 경우가 많았지만 현재는 보안에 다소 취약한 중소기업을 중심으로도 많은 공격과 감염이 이루어지고 있습니다.

그렇기 때문에 대기업, 중소기업뿐만 아니라 개인 PC까지도 랜섬웨어 예방을 위해 노력해야 하며, 랜섬웨어에 대한 피해 발생 시 행동 요령은 [KISA 인터넷보호나라 & 랜섬웨어 복구 및 대응 방법]에 자세히 나와 있으며, 보호나라에서는 중소기업을 위한 ‘정보보호 컨설팅 지원 및 중소기업 홈페이지 보안 강화’  등을 지원 하고 있습니다.

 

만약 랜섬웨어에 의해 데이터가 탈취 되더라도, 데이터베이스의 데이터 및 저장소에 저장된 파일을 암호화 한다면 유출이 되더라도 피해는 최소화할 수 있으며, 최근 신시웨이는 GS 인증 및 국제 CC 인증을 획득함으로써 암호화 기술을 인정받았으며 해외 레퍼런스 또한 지속 확장해 나아가고 있다.

 

 

[참고 자료]

What is ransomware? Everything you need to know about one of the biggest menaces on the web 

WannaCry ransomware attack at LG Electronics takes systems offline 

Sodinokibi: Ransomware Attackers also Scanning for PoS Software, Leveraging Cobalt Strike

KISA 인터넷 보호나라&KrCERT

---

기획. 프리세일즈·마케팅팀 | 박병민