출처: 안랩


최근 국내에서 랜섬웨어로 인한 피해가 급증하고 있다. 신∙변종 랜섬웨어가 지속적으로 발견되고 있으며, 기업뿐만 아니라 개인 사용자들에게까지 피해가 확산되고 있다. 특히, 악성코드 제작자들에게 금전적인 이득을 취할 수 있는 방법으로 여겨지면서 광범위한 대상을 향한 무차별적인 공격이 진행되고 있다.

이에 월간’안’에서는 1부와 2부에 걸쳐 국내에 피해를 주고 있는 랜섬웨어의 현황과 분석 정보, 대응 방안에 대해 살펴보았다. 
 

최근 언론 기사를 보면 영화에서나 접했을 법한 ‘인질극’이 우리 주변에서 발생하고 있는 것을 어렵지 않게 확인할 수 있다. 다름 아닌 ‘랜섬웨어’란 신종 사이버 범죄다. 현재 테슬라크립트(Teslacrypt), 크립토월(CryptoWall), 티어랙(Teerac) 등 감염 방식 및 세부 동작 기능에 따라 다양한 이름으로 명명된 랜섬웨어가 전파되고 있다. 랜섬웨어류 악성코드의 핵심적인 특징은 ‘컴퓨터 이용자(피해자)에게 가치 있을 만한 문서, 이미지와 같은 컴퓨터 내 주요 파일을 무단으로 암호화 한 후에 돈을 요구하는 명백한 범죄 양상’을 스스로 드러내고 있다는 점이다. 

 
[그림 1] 랜섬웨어 공격 프로세스

이러한 랜섬웨어는 최근 1~2년 사이에 파일 무단 암호화와 결제 유도라는 직접적인 피해 사례들이 보고되면서 일반 대중에게 알려졌지만, 악성코드 역사에서는 ‘파일 암호화’ 기능을 보유한 ‘트로이목마’ 종류의 악성코드로 꾸준히 명맥을 이어 왔다. 또한, 악성코드 감염을 통해서 ‘금품 요구’라는 직접적인 해킹의 목적을 노출시키는 측면에서는 ‘가짜 백신’ 또는 ‘화면 잠금 바이러스’와 같은 스케어웨어(scareware)류 악성코드의 진화된 형태라고 볼 수 있다. 스케어웨어란 겉보기에는 합법적으로 판매되는 보안 프로그램과 유사하지만 실제로는 보안 기능이 없이 오직 금전적인 이득을 목적으로 하는 소프트웨어를 말한다. 물론 최근의 유포되는 랜섬웨어는 금전 요구 불응 시에 ‘암호화된 파일’을 원상 복구할 수 있는 방법이 없다는 측면에서 피해자 개인 또는 업무적으로 치명적인 피해를 입힐 수 있는 악질적인 형태의 악성코드라고 볼 수 있다.
 
[표 1] 가짜 백신 vs. 화면 잠금 바이러스 vs. 랜섬웨어 비교

다른 듯 비슷한 ‘랜섬웨어’와 ‘지능형 악성코드’
최신 백신 프로그램 등과 같은 엔드포인트 레벨의 보안 솔루션은 행위기반 탐지 또는 보안 취약점을 이용하는 익스플로잇 차단과 같은 보다 능동적인 형태의 진단 기술을 적용함으로써 ‘한번의 피해가 치명적인 손상을 초래하는 랜섬웨어’ 감염에 대응하고 있다. 하지만, 랜섬웨어 악성코드를 제작하는 해커들 역시 발전하는 보안기술을 회피하기 위한 노력을 멈추지 않고 있다. 그 결과 다양한 신·변종 랜섬웨어 악성코드가 지속적으로 ‘파일 암호화’라는 인질을 이용해 ‘사이버 금품 갈취’ 사건을 일으키고 있다.
이처럼 기술적으로 보완했음에도 불구하고 엔드포인트 보안 솔루션이 ‘진화하는 랜섬웨어’에 효과적으로 대응하지 못 하는 이유는 랜섬웨어도 소위 지능형 위협 공격과 같은 ‘지능형 악성코드’에서 사용되는 다양한 보안솔루션 우회 공격 기법을 사용하기 때문이다.
‘지능형 악성코드’와 비교해서 랜섬웨어는 불특정 다수에게 최대한 많이 유포되어 감염을 유도하는 형태로 공격이 이뤄지고 있다. 또한, 감염 이후에 가급적 ‘감염 사실’을 최대한 오랫동안 들키지 않고 장기적으로 잠복하는 ‘지능형 악성코드’와 달리 랜섬웨어는 파일 암호화 등을 위한 최소한의 사전 작업 이후에는 스스로 자신을 노출시켜서 제한된 시간 내에 빨리 금전 결제를 유도하는 적극성을 띤다. 물론 감염 과정 및 금전 결제 과정에서 랜섬웨어 제작자가 노출되는 것을 방지하기 위해서 HTTPS 암호화 트래픽 및 토르(Tor) 등의 네트워크 기술과 함께 비트코인(bitcoin)이라는 전자화폐를 사용한다. 

 
[그림 2] 지능형 악성코드 vs. 랜섬웨어

패치와 백업만이 최선일까
이 글을 읽고 있는 독자 가운데 기술적 또는 관리적 보안 담당자가 많을 것이다. 최근 랜섬웨어 공격은 백신 프로그램을 우회하기 위해서 다양한 신∙변종 악성코드를 활용하는 지능형 위협 공격의 양상을 띠고 있고, 랜섬웨어란 것이 근본적으로 예방하는 것은 불가능하니 어떻게 사전에 잘 막을 것이 아니라 어떻게 피해를 최소화할까라는 ‘수동적인 대응 전략’을 수립할 수 밖에 없다고 많은 분들이 아쉬움을 얘기한다. 물론 일부 보안 벤더들은 백신 프로그램과 같은 보안 솔루션을 통해서 랜섬웨어를 근본적으로 차단할 수 있는 것처럼 고객을 호도하기도 하지만 실제 모든 보안 벤더들이 동일하게 강조하고 있는 유일한 ‘랜섬웨어 피해 예방을 위한 보안 수칙’은 ‘중요 자료 백업’과 ‘보안 패치’이다. 
 
[그림 3] 일반적인 랜섬웨어 대응 프로세스

즉, ‘백업과 패치’를 효과적으로 잘 통제하고 관리할 수 있다면 아무리 ‘실시간 대응’이 부족하더라도 ‘사전 예방’ 단계에서 랜섬웨어 감염 자체를 최소화할 수 있다. 설사 랜섬웨어 감염이 이뤄졌다 하더라도 ‘사후 복구’ 단계에서 ‘백업된 파일을 복구’하여 정상적인 업무를 유지할 수 있게 된다.
하지만, 암호화된 파일을 복구했다고 해서 보안담당자로서 모든 상황이 종료되었다고 안심할 수 있을까? 랜섬웨어 동작 과정에서 해커는 단순히 문서 등 파일 암호화하고 비트코인이 결제되기만을 기다릴 것인가? 비트코인 결제에 응한 피해자에게 해커는 단순히 ‘복호화 키’만 전달하고 끝낼 것인가? 누구나 쉽게 정답을 유추할 수 있듯이 답변은 ‘아니오’이다. 랜섬웨어에 한번 감염된 특정 피해자 또는 해당 피해자가 사용하는 컴퓨터는 ‘랜섬웨어 악성코드 제작한 해커’에게는 아주 매력적인 ‘잠재적인 인질(ransom) 피해자’로 관리될 수 있다. 

이상적인 vs. 현실적인 랜섬웨어 ‘실시간 대응’ 방안
그렇다면 ‘백업, 패치, 백신업데이트 및 컴퓨터 사용 주의’ 등과 같은 ‘랜섬웨어 관련 보안수칙’ 준수를 유도하는 일 외에 보안 담당자로서 선택할 수 있는 기술적인 통제 방안은 무엇이 있을까? 특히, 랜섬웨어 감염 발생 자체를 최소화할 수 있는 ‘실시간 대응’ 관점에서의 방안은 무엇이 있을까? 해당 방안은 실제 적용 가능한 현실적인 방안인지 알아보도록 하자.
우선 랜섬웨어를 실시간으로 대응할 수 있는 ‘이상적인 기술적 대응 방안’을 살펴 보자. 최초의 랜섬웨어 유입은 이메일의 첨부파일 또는 본문 내 URL 링크를 통해서 들어오거나 다양한 경로도 특정 URL을 직접 클릭하도록 유도하는 경우가 대부분이다. 이 과정에서는 의심스런 이메일 첨부파일의 실행을 차단하거나 의심 URL을 차단하는 기술적인 방안이 필요하다. 만약 이 과정에서 적절한 차단이 이뤄지지 못 했다면 의도된 악성코드가 네트워크를 통해서 유입이 될 것이다. 이 시점에서는 ‘악성코드 전용 샌드박스’ 등을 이용해서 네트워크 레벨에서 최대한 신속하게 악성 여부를 판단해서 차단하는 기술이 필요하다. 이후에는 실제 랜섬웨어 관련 악성코드가 엔드포인트 시스템에 직접 감염되면서 일련의 운영체제 레벨의 의심 행위들이 발생하게 되는데, 이상적인 보안 솔루션이라면 반복적인 파일 검색, 다량의 파일 암호화 등의 행위를 악성으로 진단하고 실시간 차단까지 자동으로 수행해야 한다.
 
[그림 4] 이상적인 랜섬웨어 감염 방지 프로세스

하지만 이와 같은 ‘이상적인 랜섬웨어 실시간 대응’ 기술 방안이 적용된 보안 솔루션은 아직까지 존재하지 않는다. 즉, 의심 URL 또는 의심 파일을 실시간으로 분석하고 네트워크 레벨에서 실시간으로 차단할 수 있는 보안 솔루션은 없으며, 엔드포인트 레벨에서의 정상적인 파일 검색 및 암호화 행위 등과 랜섬웨어에 의한 의심스런 행위를 명확하게 구분하고 그 과정에서 암호화가 발생하지 않도록 실시간으로 차단하는 대응 기술이 적용된 보안 솔루션은 아직까지 존재하지 않는다. 물론, 이론적으로 접근할 수 있는 시도는 가능할 수 있지만, 보안 인력이 대응 가능한 적정한 건수의 오탐지 이벤트를 발생하는 ‘실무 IT 운영 환경에 실제 적용 가능한 보안 제품’은 파악된 바 없다는 것이 필자의 견해이다.
만약 완벽하지는 않지만 의심스런 URL을 실시간으로 차단할 수 있고, 랜섬웨어로 의심할 수 있는 파일을 실행시키지 않은 상태에서, 가상의 분석 환경에서 상세한 분석한 후에 그 결과에 따라서 실행 여부를 결정할 수 있다면, 그리고 이러한 과정을 최대한 자동화할 수 있다면 보안담당자로서 충분히 고려해 볼 만한 ‘현실적인 기술적 통제 방안’이 아닐까?
 
[그림 5] 랜섬웨어에 대한 이상적인 대응 vs. 현실적인 대응

모든 ‘지능형 위협 대응 솔루션’에서 가능한 시나리오인가?
앞에서 언급한 랜섬웨어에 대한 ‘현실적인 실시간 대응 프로세스’가 샌드박스를 이용하는 모든 ‘지능형 위협 대응 솔루션’에서 구현 가능하다고 생각하면 큰 오산이다.
안랩 MDS는 초기의 제품 기획 단계에서부터 ‘엔드포인드 레벨의 실시간 대응’ 필요성을 반영하여 2011년 기준 ‘샌드박스 기반 지능형 위협 대응 솔루션’ 중에서 글로벌 최초로 ‘MDS 에이전트’라는 경량의 전용 에이전트를 제공하고 있다. 또한, 진화하는 보안 위협 트렌드 및 고객의 실제 APT 대응 사례를 반영한 실행 보류(Execution Holding) 기능을 추가 적용하여(2013년), ‘알려지지 않은 위협에 대한 탐지’에 그치고 있는 경쟁사 제품들과 달리 ‘탐지된 알려지지 않은 위협에 대해서는 자동화된 사전 차단’이라는 차별화된 경쟁력을 제공하고 있다.
 
[그림 6] AhnLab MDS 실행 보류(Execution Holding) 기능

또한, 점차 고도화되는 랜섬웨어는 네트워크 레벨의 샌드박스 기반 보안 제품을 회피하기 위해서 기능이 세분화된 모듈화된 다수의 악성코드를 통해서 구성되며 이러한 과정에서 네트워크상의 보안 솔루션 탐지를 회피하기 위해 암호화 통신을 사용한다. 이를 위해서는 ‘SSL 프록시 또는 복호화(decryption)’ 전용 장비와 같은 고가의 보안 솔루션을 추가 구축할 수 있다. 하지만 표준 SSL 인증서 방식을 따르는 않는 비표준화 암호화 프로토콜을 이용하는 경우에는 해당 암호화 트래픽을 복호화하지 못 하는 제약이 존재한다. 안랩 MDS의 실행 보류 기능은 엔드포인트 레벨에서 트래픽 복화화 및 파일 재조합이 완료된 상태에서 작동하게 되므로 이러한 암호화 트래픽 환경에서도 제약 없이 작동이 가능하다.
 
[그림 7] AhnLab MDS의 암호화 트래픽에 대한 실행 보류 기능 동작 프로세스

샌드박스 기반 ‘지능형 위협 대응 솔루션’이 랜섬웨어라는 특정 악성코드 종류만을 탐지-분석-대응하기 위해서 기획 및 개발된 보안 솔루션은 아니다. 즉, 진화하는 랜섬웨어에 대해서 100% 완벽하게 대응할 수 없는 것은 앞으로 어떠한 보안 솔루션이 새로운 컨셉으로 개발된다 하더라도 동일할 것이다.
랜섬웨어의 잠재 위협을 피해자 개인의 문제가 아닌 조직으로 확장시켜 본다면, ‘랜섬웨어 피해자’가 소속된 기업·기관은 ‘패치·취약점 관리에 대한 부실한 관리’ 또는 ‘인터넷·이메일 사용 보안 수칙과 같은 보안 정책의 현행화가 미흡’하다는 약점에 간접적으로 노출될 수 있다. 더 나아가 향후 해당 기업·기관에 대한 ‘지능형 위협 공격’으로 이어질 가능성이 높다고 볼 수 있다. 이것은 유리창이 깨진 차가 방치되는 등 환경이 열악한 곳에서는 그렇지 않은 곳보다 범죄가 더욱 빈번하게 발생한다는 깨진 유리창 이론(Broken Window Theory)이 적용될 수 있다. 즉 ‘랜섬웨어 피해 발생→지능형 타킷 공격 대상으로 확대’까지 이어질 수 있는 개연성이 충분하다는 점을 한번쯤 고려해 봐야 한다.
우리에게 중요한 것은 지금 현재 가용한 기술 테두리 안에서 ‘최대 효과를 제공할 수 있는 최선의 방안’을 고민하고 선택하는 것이다.
 
 
 
 
 
<참고 자료>
- 안랩, '가짜백신, 어떻게 설치되고 얼마나 유해할까?'
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=16067
- 한국IDG, '랜섬웨어로부터 PC 지키기'(2014/01/21)
- KISA, 한글버전 랜섬웨어 '크립토락커' 확산 주의 당부 http://www.kisa.or.kr/notice/press_View.jsp?mode=view&p_No=8&b_No=8&d_No=1364
- McAfee,Defeat Ransomware: Ensure Your Data Is Not Taken Hostage http://www.mcafee.com/kr/resources/solution-briefs/sb-quarterly-threat-q1-2015-2.pdf

 

출처: 안랩


2013년 여름 크립토락커(CryptoLocker)의 등장은 사이버 범죄 영역에 새로운 바람이었다. RSA 암호화 알고리즘을 이용하여 파일들을 암호화하여 피해자로 하여금 복구할 수 없다는 좌절감과 함께 암호화 해제를 위한 결제를 선택하도록 유도한 것. 또한 자금 이동경로를 숨기기 위해 비트코인(Bitcoin)과 토르(Tor) 네트워크 서비스를 활용한 점, 악성코드 유포에 꼭 필요한 파일 다운로드 URL과 공격자와의 통신을 할 수 있는 C&C 서버의 차단을 막기 위해 DGA(Domain Generation Algorithm)를 활용한 점이다. 이러한 것들은 악성코드 제작자들로 하여금 수익성과 안정성에 대한 기대감으로 자리잡았을 뿐만 아니라 앞으로도 다양한 공격에 활용할 수 있다는 확신을 주는 배경으로 작용했다. 이 글에서는 유포 방법에서 최신 기법까지 랜섬웨어의 트렌드를 짚어보았다.

 

랜섬웨어 유포 방법

크립토락커는 문서파일로 위장한 이메일 첨부파일 및 조직 내부에서 사용하는 메신저 프로그램의 대화 메시지를 통해 전파되었다. 이 방법은 2000년 초반 스팸메일이 등장할 때부터 악용되고 있는 전통적 방법이다. 하지만 언제 어디서든 네트워크에 접속할 수 있고, 개인적이건 업무적이건 상호 소통을 위해 메신저, 이메일, 소셜 네트워크 서비스를 활용하고 있는 오늘날의 IT 환경에서 살아가는 우리들의 일상적인 행동패턴과 맞아 떨어져 여전히 위협적인 방법이다. IT 환경에서의 일상적인 행동패턴에 큰 변화가 있지 않는 한 이러한 악성코드 유포 방법은 지속될 것이다. 그 외에도 공격자들은 악성코드 유포를 극대화할 수 있는 방법들을 최대한 가동하고 있는 상태이다. 각종 웹 페이지를 통해 제공하고 있는 다운로드 파일들을 변조하거나 윈도 OS 보안 취약점, 응용 프로그램 보안 취약점, 웹 서버 취약점 등을 활용하여 악성코드 유포 및 설치를 수행하고 있다. 또한 국내∙외 웹 사이트와 연계되어 동작하고 있는 광고 사이트의 정상적인 네트워크를 악용하여 악성코드를 유포하는 방법(멀버타이징, Malvertising)을 활용하거나 파일 공유 및 다운로드 시 이용하는 토렌트(Torrent) 서비스를 악용하여 악성코드를 유포하기도 한다. 

 

유포 파일 형태

- DOC 및 PDF 확장자 및 아이콘

초기 랜섬웨어는 DOC 및 PDF 파일로 위장하여 유포했는데 이 방법은 현재까지도 널리 애용되고 있다. 일반 사용자들은 이메일에 첨부된 파일의 아이콘이 MS 워드 파일 또는 PDF 파일일 경우, 문서 파일로 판단하고 별 의심 없이 클릭하게 된다. 이 과정에서 악성코드가 다운로드 및 실행되어 PC 내의 각 폴더와 네트워크로 연결된 공유 폴더에 존재하는 파일들을 암호화하게 된다. 

 

- 화면보호기 확장자(.SCR) 위장 파일

조직 내에서는 보안 정책의 일환으로 화면보호기(스크린세어버, screen saver) 설정을 하는 경우가 많으나 화면보호기 설정 파일을 직접 실행하는 경우는 그리 많지 않다. 그럼에도 불구하고 화면 보호기 파일이 악성코드 유포에 자주 활용되는 것은 SCR 확장자는 EXE 파일과 같이 클릭만 하면 바로 실행이 되기 때문이다. 공격자들은 이 부분에 중점을 두고 악성코드를 배포하고 있다. 

 

- 문서파일에 포함된 매크로 

문서파일로 위장한 악성코드에서 한 단계 더 발전한 것이 바로 정상적인 문서파일에 포함된 악의적 매크로에 의한 악성코드 설치∙실행이다. 이메일 등에 첨부되어 있는 문서파일을 실행할 경우 내용이 읽을 수 없는 문자들로 구성된 문서를 보여주고는 매크로 기능을 사용해서 문자들을 정상적으로 변환할 것을 권유한다. 문서 내에 포함된 매크로는 제작 의도를 파악하기 어렵도록 난독화(Obfuscation)된 자바스크립트(Java Script)이며, 이 자바스크립트에 의해 외부로 통신하여 악성코드를 다운로드하고 설치∙실행한다. 

 

- 자바스크립트(.js) 확장자

문서파일에 포함한 악의적 매크로 파일과 같이 난독화(Obfuscation)된 자바스크립트(Java Script) 파일 자체를 압축파일로 만들어 이메일에 첨부하여 유포하는 형태가 최근 계속 발견되고 있다. 첨부 파일의 이름에 지급(Payment), 송장(Invoice), 계약서(Contract)와 같은 단어를 넣어 거래와 관련된 파일인 것처럼 속여 수신자의 클릭을 유도한다. 이때 .js 스크립트를 실행하면 외부 통신을 통해 악성코드를 다운로드하고 설치∙실행하게 된다.

 

변화하는 모습들

- 화이트리스트(Whitelist)

IT 환경에서 화이트리스트(Whitelist)는 대게 합법적인 것과 불법적인 것을 구분하는 용도로 사용된다. 조직에서 접속이 허가된 IP, URL 및 업무상 반드시 사용해야 하는 프로그램 리스트 등이 여기에 해당된다. 랜섬웨어도 이러한 화이트리스트 개념을 사용하기 시작하여 얼마 전부터 등장하고 있는 랜섬웨어 종류 중에는 암호화하지 않을 대상 리스트를 가지고 있는 것이 발견되고 있다. 즉, 공격자가 지정한 경로 및 파일은 암호화되지 않도록 한 것이다. 또한, 랜섬웨어에 감염된 PC의 언어가 러시아어일 경우 암호화하지 않도록 하는 것도 등장하고 있어 과거와 같은 무차별적인 암호화를 넘어 공격자가 의도한 형태로 활용되고 있음을 알 수 있다. 화이트리스트의 반대 개념은 바로 블랙리스트(Blacklist) 이다. 일반적으로 경계를 요하는 사람들을 뜻하는 블랙리스트는, IT 환경에서는 악의적∙상업적 스팸메일을 보내는 주소나 URL, IP 등 조직에서 차단이 필요한 정보의 집합을 뜻한다.

 

- 라이브 챗(Live Chat)

랜섬웨어에 감염된 상태에서 화면에 나와 있는 메시지만으로는 설득이 부족했다고 판단한 것일까? 최근 등장한 랜섬웨어는 자신들의 서비스를 설명하는 메뉴와 함께 라이브 채팅 기능까지 제공하고 있다. 테스트 당시에는 정상적인 접속이 되지 않아 이야기를 나눌 수 없었으나 접속이 유효한 상태에서는 공격자 또는 그의 대리인과 이야기할 수 있을 것으로 보이며, 이 과정에서 랜섬웨어 감염 피해를 입은 이에게 정신적∙금전적 피해를 배가하거나 또 다른 범죄를 일으킬 가능성도 배제할 수 없으므로 더욱 주의가 요망된다.

 

- 높은 수준의 디자인

랜섬웨어 변형들마다 독특한 디자인으로 자신을 어필하는 경우도 있지만 단순히 기능을 흉내내는 변종들은 조악한 디자인과 기능을 제공하기 마련이다. 최근에는 지금까지 나왔던 아이콘 중심의 디자인, 피해자에게 전달하고자 하는 메시지가 가득한 글자 중심의 디자인을 탈피하여 꽤나 신뢰도 높은 서비스인양 멋진 디자인을 선보이는 것이 등장했다. “기록되어졌다”라는 은유적 표현인 마크둡(Maktub)이라는 랜섬웨어는 감염된 이들을 꽤나 깔끔하게 디자인한 자신의 웹 페이지로 이동시키고, 정갈하고 예의바른 표현으로 사용자에게 설명을 제시한다. 마치 공격을 당했다는 느낌보다는 무언가 정상적인, 제대로 구축된 한 편의 웹 서비스를 보는 듯한 착각을 일으킬 정도이다. 

 

- RaaS(Ransomware as a Service)

더 이상 공격자가 직접 악성코드를 제작∙배포하기만 하는 시대는 지난 것 같다. 업무를 요청하면 요구사항대로 서비스를 제공하는 대행 업체처럼 랜섬웨어 제작자들도 RaaS라는 새로운 서비스를 제시하기 시작했다. RasS는 'Ransomware as a service'라는 뜻으로 랜섬웨어를 제작∙배포하고픈 이가 공격자들에게 의뢰할 경우 원하는 랜섬웨어를 제작해 주는 서비스이다. 이미 이들은 언제든 자신들에게 접속할 수 있도록 페이지를 만들어 두고 의뢰인을 기다리고 있다. 또, 의뢰한 랜섬웨어가 어느 정도 전파되고, 어느 정도 감염되었는지 현황에 대한 정보를 제공하여 의뢰인과의 신뢰를 유지하려 노력하고 있다.

 

랜섬웨어 블랙 마켓 전망

- 랜섬웨어 시장의 정리

2013년부터 우후죽순 등장하고 있는 랜섬웨어는 점점 시간이 갈수록 고도화를 추구하고, 나름의 서비스 체계를 갖춰가고 있다. 이러한 과정에서 단순히 기능이나 외형만을 모방하던 아류작들은 등장 후 바로 사라지게 되고, 확산과 피해에 따른 결제로 이어지는 메커니즘의 결과물에 따라 랜섬웨어의 생명력이 달라지고 있다. 같은 이름을 사용하면서 버전이 계속 올라가는 크립토월(Cryptowall)이나 테슬라크립트(TaslaCrypt) 등과 같은 랜섬웨어가 대표적인 예라고 할 수 있다. 누구도 예측하지 못한 새로운 아이템을 가지고 나오지 않는 한, 앞으로도 확산과 결제를 담보할 수 있는 랜섬웨어만이 살아남고 시장에서 우위를 점할 것으로 보인다.  

 

- 제휴를 통한 영역 확장

2000년대 중반부터 활약하고 있는 스팸메일 제작자들은 단순 광고를 퍼나르던 과거와는 달리 새로운 자금책들과 연계하여 활동하고 있다. 2014년 여름부터 지난 해까지 전세계 악성코드 유포의 상위를 차지했던 다이어(Dyre)의 경우 이메일 첨부파일 형태로 유포되고, 첨부된 파일 실행 시 온라인 금융 서비스 관련 사용자 정보 유출 악성코드를 설치하여 사용자에게 피해를 입혔다. 이 다이어와 손 잡았던 스팸 메일 제작자들이 새로이 랜섬웨어 제작자들과 손을 잡고 록키(Locky) 랜섬웨어를 대량 유포하고 있는 것으로 보인다. 이런 식의 제휴는 비단 스팸메일 제작자들에 한정되는 것은 아니다. 랜섬웨어 제작자들 역시 동일하다. 자신들이 보유하고 있는 랜섬웨어 관련 인프라, 파일 다운로드 및 C&C 서버 인프라와 피해에 따른 결제 현황 등을 레퍼런스로 또 다른 조직과의 제휴를 추구하고 있다. 사이버 범죄의 영역에서 랜섬웨어는 이미 하나의 축을 형성했고, 빠르고 안전하고 확실한 수익으로 사이버 범죄조직들에게 인식이 되었다. 이제는 이들이 누구와 연계를 하건 결코 낯선 상황은 아닐 것이다.

 

- 조직적∙대규모 공격의 가능성 

1989년 등장했던 최초의 랜섬웨어인 PC Cyborg Trojan(AIDS)도 피해자에게 189달러 또는 378달러를 송금하도록 요구했다. 2013년부터 등장하고 있는 최근의 랜섬웨어도 200달러에서 400달러 사이의 금전을 요구하고 있다. 그런데 최근 발생한 한 병원의 랜섬웨어 피해의 경우 공격자들이 해당 병원에 9000 비트코인(360만달러, 약 42억원)을 요구했고, 병원은 40 비트코인(1만7천달러, 약 2천만원)을 송금하고 암호화된 자료를 모두 복구한 것으로 알려지고 있다.

 

이 사건은 2가지 시사점을 주고 있다. 첫째, 공격자가 한번 비용을 지불하기 시작한 곳을 다시 공격할 가능성 있다는 것이다. 물론 이 부분은 해당 병원에서도 이미 인지하고 있고, 추가적인 공격을 받지 않기 위해 현재 인프라를 점검하고, 보안을 강화하는 수준을 밟아갈 것은 분명하다. 그러나 범죄조직 역시 기존에 사용했던 방법이 아닌 것으로, 보강될 보안책을 뛰어넘을 준비를 하고 있을 것이라는 점을 반드시 고려해야 할 것이다. 

 

둘째, 더 이상 랜섬웨어가 400달러 수준의 공격에 머물러 있지 않는 것이다. 보안이 취약한 홈페이지를 방문했을 때 설치되거나 스팸 메일 형태로 대량 유포하되 랜섬웨어는 대게 요구하는 비용이 일정하다. 그러나 한 번의 공격으로 5배 이상의 이득을 남길 수 있는 사례가 등장한 상태이니 공격자들은 고수익 시장에 눈을 뜨게 된 것이다. 악성코드에 의해 수집한 개인과 기업에 대한 각종 정보들을 통해 수익의 대상을 분류할 수도 있다. 또한 특정 조직을 상대로 철저히 금전적 이득을 목적으로 한 랜섬웨어의 조직적인 유포가 APT 공격의 새로운 유형으로 자리할 가능성도 염두에 두어야 할 것이다.

성코드 샘플 수집 사이트입니다.

도메인,IP,MD5까지 다양한 정보를 제공하며, 바이러스 토탈로 탐지결과도 바로 볼 수 있습니다.

실제 악성코드들이므로 가상환경에서 테스트 하도록 합시다.

http://malc0de.com/database/

 

<<추가>>

http://contagiominidump.blogspot.kr/ 

위 링크는 국내외 이슈되는 악성코드들이 많이 올라와있어서 전문가들도 사용하는 곳이란다.

 

수집사이트들 활용법 : http://chogar.blog.me/80212372093 

 

아래는 추가로 참고할 수 있는 사이트들.

 

http://<wbr />www.malwaredomainlist.com/<wbr />mdl.php
http://<wbr />www.malwareblacklist.com/<wbr />showMDL.php
http://malc0de.com/database/
http://www.malwaredomains.com/
http://support.clean-mx.de/<wbr />clean-mx/viruses
https://<wbr />spyeyetracker.abuse.ch/<wbr />monitor.php?browse=binaries
https://zeustracker.abuse.ch/<wbr />monitor.php?browse=binaries
http://www.malwaregroup.com/<wbr />domains/malicious
http://<wbr />contagiodump.blogspot.com/2011/<wbr />03/<wbr />take-sample-leave-sample-mobile<wbr />-malware.html
http://<wbr />forums.malwarebytes.org/<wbr />index.php?s=cf9a0929d1a028394c8<wbr />933e8dc4c0059&showforum=51
http://<wbr />forums.malwarebytes.org/<wbr />index.php?s=cf9a0929d1a028394c8<wbr />933e8dc4c0059&showforum=30
http://www.kernelmode.info/<wbr />forum/viewforum.php?f=16
http://tuts4you.com/<wbr />download.php?list.89
http://<wbr />contagiodump.blogspot.com/
http://cramitin.us/<wbr />hhdmz2rufgot
http://ivanlef0u.fr/repo
http://<wbr />www.offensivecomputing.net/
http://<wbr />www.malwaredomainlist.com/<wbr />mdl.php
http://support.clean-mx.de/<wbr />clean-mx/viruses.php
http://malc0de.com/database/
http://lineage.paix.jp/guide/<wbr />security/<wbr />virus-lastmodified.html
https://zeustracker.abuse.ch/<wbr />monitor.php?browse=binaries
https://<wbr />spyeyetracker.abuse.ch/<wbr />monitor.php?browse=binaries
http://www.sacour.cn/<wbr />showmal.asp?month=8year%3D2010
http://www3.malekal.com/<wbr />exploit.txt
http://blog.urlvoid.com/<wbr />new-list-of-dangerous-websites-<wbr />to-avoid
http://<wbr />www.freepcsecurity.co.uk/
http://www.scumware.org/
http://secuboxlabs.fr/
http://www.threatlog.com/
http://minotauranalysis.com/<wbr />exetweet/
http://amada.abuse.ch/<wbr />recent.php
http://jsunpack.jeek.org/dec/<wbr />go?list=search&search=executabl<wbr />e&http://honeywhales.com/<wbr />malware_samples/list
http://blackip.ustc.edu.cn/<wbr />bytime.html
http://www.malwareint.com/
http://www.blade-defender.org/<wbr />eval-lab
http://www.malwareurl.com/
http://<wbr />www.offensivecomputing.net/
http://mdl.paretologic.com/<wbr />index.php
http://frame4.net/
http://vxvault.siri-urz.net/<wbr />ViriList.php
http://www.malwaregroup.com/<wbr />Domains/malicious
http://www.malwaredomains.com/
http://www.malware.com.br/<wbr />lists.shtml
http://www.nothink.org/
http://malwaredatabase.net/<wbr />blog/
http://code.google.com/p/<wbr />google-safe-browsing/updates/<wbr />list
http://eureka.cyber-ta.org/
http://<wbr />contagiominidump.blogspot.com/


+ Recent posts