2세대 혹은 2차 랜섬웨어가 등장한 가운데 연구자들은 이 랜섬웨어가 예전보다 더욱 위험해졌다고 평가한다. 최근 Synology는 표적특화공격에 노출되어 고객데이터를 침탈당했으며 보안업체 트렌드마이크로는 CryptoLocker의 뒤를 잇는 CryptoBlocker라는 랜섬웨어 사례를 보고했다. 랜섬웨어 자체는 본디 새로운 수법이 아니지만 최근 18개월에 걸쳐 데이터가 아예 상실되는 수준의 위험을 야기하기 때문에 엄청난 위협으로 부상하고 있다.

 

랜섬웨어란 주로 데이터 암호화를 통해 사용자의 기기 또는 데이터 접근을 막는 방식으로 컴퓨터, 노트북, 모바일기기를 작동 불능으로 만드는 맬웨어다. 랜섬웨어는 금전요구 알림창을 통해 피해자에게 문제해결방법을 알려준다. 랜섬웨어의 주목적은 사이버범죄자들이 금전을 갈취하는 데 있다. 랜섬웨어 감염 기기의 데이터가 암호화되고 나면 피해자는 정해진 금액을 지불하지 않는 이상 데이터를 복구할 수 없다는 통보를 받게 된다.

 

이러한 종류의 맬웨어는 지속적으로 개발되고 있으며 온갖 최신기술을 아우르고 있다. 랜섬웨어의 최초사례는 1989AIDS 트로이목마로 거슬로 올라간다. AIDS 트로이목마는 사용자에게 소프트웨어 사용권이 만료됐다는 착각을 일으키고 하드디스크의 파일이름을 암호화한 다음 정해진 은행계좌로 돈을 보내도록 요구했다. 2010년의 비슷한 사례인 WinLock의 경우 피해자의 운영체제 인터페이스 접근을 막고 문자메시지를 통해 해제를 위해서는 돈을 내라고 요구했다.


2013CryptoLocker라는 이름으로 돌아온 랜섬웨어는 익명네트워크(TOR)를 통해 전파된 다음 실제통화 대신 비트코인을 요구했다. 이러한 방식은 당국의 사이버범죄자 식별을 더욱 어렵게 한다. 한편 최신 랜섬웨어 Critroni는 군사기술 수준의 암호화를 통해 사용자파일을 더욱 완벽히 묶어버린다. Critroni는 클라이드인프라 지원을 통해 피해자들이 돈을 지불하는 과정을 보다 용이하게 했다. Critroni는 또한 대부분의 안티바이러스 탐지를 회피한다는 면에서 스텔스라는 중대한 신기능을 선보이기도 했다. 이는 추가적인 보안대책과 위험완화를 위한 대안의 중요성 및 필요성을 일깨우는 사례였다.

 

랜섬웨어의 작동방식은 다음과 같다.

a) 최초 랜섬웨어 감염: 주로 이메일 첨부물, 악성 다운로드링크, 다른 맬웨어를 통해 전파된다.

b) 대상 내 매복: 랜섬웨어는 레지스트리키와 파일 변경을 통해 컴퓨터 구동 중 자체 코드가 작동하도록 설정한다.

c) 대상 점령: 맬웨어는 공격자 서버와 통신하여 암호화키를 확보하고 공격실행을 서버에 알린다.

d) 파일 암호화: 맬웨어는 공격자 서버로부터 받은 암호화키를 가지고 사용자 파일 암호화를 개시한다.

e) 노이즈 유발: 랜섬웨어가 피해자에게 금전요구 알림을 띄우고 비트코인 결제 웹사이트에 접근하는 링크를 제공한다.

 

비록 랜섬웨어가 나날이 정교해지고 있긴 하지만 사용자들이 랜섬웨어 감염을 막을 방법이 없진 않다. 다음의 간단한 대책 3가지를 통해 랜섬웨어 감염을 방지할 수 있다.

 

1. 2종 이상의 안티바이러스 엔진으로 모든 이메일과 웹다운로드 검사

이를 통해 랜섬웨어 최초감염이 회사네트워크 전체에 전파될 위험을 줄일 수 있다. 여러 안티바이러스엔진을 동시에 사용한다면 제로데이공격 위협을 최소화할 수 있으며 맬웨어를 네트워크 침입 전에 식별하고 차단할 수 있는 가능성을 높일 수 있다.

 

2. 악성/취약 웹사이트에 대한 사용자접근 차단

랜섬웨어는 이메일 외에 악성이거나 취약한 웹사이트를 통해서도 전파될 수 있다. 특히 사용자들이 신뢰하고 자주 사용하는 공식 웹사이트가 취약 웹사이트로 전락할 수 있다는 점이 큰 문제가 된다. 이들 사이트는 공격자가 XSS와 같은 취약점을 악용함으로써 랜섬웨어 전파지점으로 활용될 수 있으며 사용자 기기에 악성코드를 실행시킨 다음 브라우저가 맬웨어를 다운로드하도록 한다. 신뢰되지만 취약한 웹사이트 그리고 위험하고 악성인 웹사이트에 대한 사용자 접근을 방지할 수 있다면 랜섬웨어 감염 위험을 대폭 줄일 수 있다.

 

3. TOR 등 익명네트워크 접속 모니터링 및 차단

만약 강력한 안티바이러스 대책에도 불구하고 랜섬웨어 감염이 발생할 경우 웹트래픽 모니터링 기술을 통해 감염과 그 근원지를 식별할 수 있다. 아울러 랜섬웨어가 암호화키를 확보하기 위해 사용하는 익명네트워크에 대한 트래픽을 자동으로 차단할 수 있다면 랜섬웨어의 강력한 파일암호화를 막을 수 있다. 랜섬웨어는는 암호화키 없이는 작동하지 않고 감염을 알릴 수도 없으며 이 경우 공격자는 맬웨어가 회사네트워크에 침투했는지(따라서 다음 공격을 실행할 수 있는지) 알 수 없게 된다.

 

한편 위에 소개한 대책이 중요함은 사실이나 모든 트래픽을 직접 24시간 감시할 수는 없는 일이다. 이 경우 자동화라는 매력적인 방법이 있다. GFI Software는 이상에 소개한 최신사례를 계속 추적해 왔으며 GFI 웹모니터 솔루션을 사용한다면 랜섬웨어 위협을 방지할 수 있다. GFI 웹모니터가 랜섬웨어를 방지하는 시나리오는 다음과 같다.

1. 최대 3개 엔진을 구동하는 안티바이러스 스캔으로 인터넷을 통한 랜섬웨어나 제로데이위협의 다운로드를 막는다.

2. 강력한 보안기능으로 사용자가 악성이거나 취약한 웹사이트에 접근할 때 다층보호대책을 제공하여 감염위험을 더욱 줄일 수 있다.

3. 만약 안티바이러스 및 웹보안기능이 실패할 경우 지능형 웹필터링기술이 랜섬웨어와 익명네트워크상 공격자서버 사이의 통신을 차단하며 이 경우 데이터 암호화가 차단되기 때문에 때문에 랜섬웨어는 무용지물이 된다.

 

GFI 웹모니터와 같은 웹모니터링솔루션이 제공하는 이점에 관심이 있거나 무료체험을 시작할 의향이 있다면 아래로 연락주시기 바랍니다.


02-866-5709

sales@softmate.kr

 

 

 

Calin Ghibu, How to protect against ransomware in three easy steps, 8. 6. 2014.

http://www.gfi.com/blog/how-to-protect-against-ransomware-in-three-easy-steps/

 

번역: madfox

COMMENT : 0 TRACKBACK : 0

날짜

2016. 4. 5. 17:16

위로가기