랜섬웨어, 무엇이 어떻게 달라졌나?

출처: 안랩

2013년 여름 크립토락커(CryptoLocker)의 등장은 사이버 범죄 영역에 새로운 바람이었다. RSA 암호화 알고리즘을 이용하여 파일들을 암호화하여 피해자로 하여금 복구할 수 없다는 좌절감과 함께 암호화 해제를 위한 결제를 선택하도록 유도한 것. 또한 자금 이동경로를 숨기기 위해 비트코인(Bitcoin)과 토르(Tor) 네트워크 서비스를 활용한 점, 악성코드 유포에 꼭 필요한 파일 다운로드 URL과 공격자와의 통신을 할 수 있는 C&C 서버의 차단을 막기 위해 DGA(Domain Generation Algorithm)를 활용한 점이다. 이러한 것들은 악성코드 제작자들로 하여금 수익성과 안정성에 대한 기대감으로 자리잡았을 뿐만 아니라 앞으로도 다양한 공격에 활용할 수 있다는 확신을 주는 배경으로 작용했다. 이 글에서는 유포 방법에서 최신 기법까지 랜섬웨어의 트렌드를 짚어보았다.

 

랜섬웨어 유포 방법

크립토락커는 문서파일로 위장한 이메일 첨부파일 및 조직 내부에서 사용하는 메신저 프로그램의 대화 메시지를 통해 전파되었다. 이 방법은 2000년 초반 스팸메일이 등장할 때부터 악용되고 있는 전통적 방법이다. 하지만 언제 어디서든 네트워크에 접속할 수 있고, 개인적이건 업무적이건 상호 소통을 위해 메신저, 이메일, 소셜 네트워크 서비스를 활용하고 있는 오늘날의 IT 환경에서 살아가는 우리들의 일상적인 행동패턴과 맞아 떨어져 여전히 위협적인 방법이다. IT 환경에서의 일상적인 행동패턴에 큰 변화가 있지 않는 한 이러한 악성코드 유포 방법은 지속될 것이다. 그 외에도 공격자들은 악성코드 유포를 극대화할 수 있는 방법들을 최대한 가동하고 있는 상태이다. 각종 웹 페이지를 통해 제공하고 있는 다운로드 파일들을 변조하거나 윈도 OS 보안 취약점, 응용 프로그램 보안 취약점, 웹 서버 취약점 등을 활용하여 악성코드 유포 및 설치를 수행하고 있다. 또한 국내∙외 웹 사이트와 연계되어 동작하고 있는 광고 사이트의 정상적인 네트워크를 악용하여 악성코드를 유포하는 방법(멀버타이징, Malvertising)을 활용하거나 파일 공유 및 다운로드 시 이용하는 토렌트(Torrent) 서비스를 악용하여 악성코드를 유포하기도 한다. 

 

유포 파일 형태

- DOC 및 PDF 확장자 및 아이콘

초기 랜섬웨어는 DOC 및 PDF 파일로 위장하여 유포했는데 이 방법은 현재까지도 널리 애용되고 있다. 일반 사용자들은 이메일에 첨부된 파일의 아이콘이 MS 워드 파일 또는 PDF 파일일 경우, 문서 파일로 판단하고 별 의심 없이 클릭하게 된다. 이 과정에서 악성코드가 다운로드 및 실행되어 PC 내의 각 폴더와 네트워크로 연결된 공유 폴더에 존재하는 파일들을 암호화하게 된다. 

 

- 화면보호기 확장자(.SCR) 위장 파일

조직 내에서는 보안 정책의 일환으로 화면보호기(스크린세어버, screen saver) 설정을 하는 경우가 많으나 화면보호기 설정 파일을 직접 실행하는 경우는 그리 많지 않다. 그럼에도 불구하고 화면 보호기 파일이 악성코드 유포에 자주 활용되는 것은 SCR 확장자는 EXE 파일과 같이 클릭만 하면 바로 실행이 되기 때문이다. 공격자들은 이 부분에 중점을 두고 악성코드를 배포하고 있다. 

 

- 문서파일에 포함된 매크로 

문서파일로 위장한 악성코드에서 한 단계 더 발전한 것이 바로 정상적인 문서파일에 포함된 악의적 매크로에 의한 악성코드 설치∙실행이다. 이메일 등에 첨부되어 있는 문서파일을 실행할 경우 내용이 읽을 수 없는 문자들로 구성된 문서를 보여주고는 매크로 기능을 사용해서 문자들을 정상적으로 변환할 것을 권유한다. 문서 내에 포함된 매크로는 제작 의도를 파악하기 어렵도록 난독화(Obfuscation)된 자바스크립트(Java Script)이며, 이 자바스크립트에 의해 외부로 통신하여 악성코드를 다운로드하고 설치∙실행한다. 

 

- 자바스크립트(.js) 확장자

문서파일에 포함한 악의적 매크로 파일과 같이 난독화(Obfuscation)된 자바스크립트(Java Script) 파일 자체를 압축파일로 만들어 이메일에 첨부하여 유포하는 형태가 최근 계속 발견되고 있다. 첨부 파일의 이름에 지급(Payment), 송장(Invoice), 계약서(Contract)와 같은 단어를 넣어 거래와 관련된 파일인 것처럼 속여 수신자의 클릭을 유도한다. 이때 .js 스크립트를 실행하면 외부 통신을 통해 악성코드를 다운로드하고 설치∙실행하게 된다.

 

변화하는 모습들

- 화이트리스트(Whitelist)

IT 환경에서 화이트리스트(Whitelist)는 대게 합법적인 것과 불법적인 것을 구분하는 용도로 사용된다. 조직에서 접속이 허가된 IP, URL 및 업무상 반드시 사용해야 하는 프로그램 리스트 등이 여기에 해당된다. 랜섬웨어도 이러한 화이트리스트 개념을 사용하기 시작하여 얼마 전부터 등장하고 있는 랜섬웨어 종류 중에는 암호화하지 않을 대상 리스트를 가지고 있는 것이 발견되고 있다. 즉, 공격자가 지정한 경로 및 파일은 암호화되지 않도록 한 것이다. 또한, 랜섬웨어에 감염된 PC의 언어가 러시아어일 경우 암호화하지 않도록 하는 것도 등장하고 있어 과거와 같은 무차별적인 암호화를 넘어 공격자가 의도한 형태로 활용되고 있음을 알 수 있다. 화이트리스트의 반대 개념은 바로 블랙리스트(Blacklist) 이다. 일반적으로 경계를 요하는 사람들을 뜻하는 블랙리스트는, IT 환경에서는 악의적∙상업적 스팸메일을 보내는 주소나 URL, IP 등 조직에서 차단이 필요한 정보의 집합을 뜻한다.

 

- 라이브 챗(Live Chat)

랜섬웨어에 감염된 상태에서 화면에 나와 있는 메시지만으로는 설득이 부족했다고 판단한 것일까? 최근 등장한 랜섬웨어는 자신들의 서비스를 설명하는 메뉴와 함께 라이브 채팅 기능까지 제공하고 있다. 테스트 당시에는 정상적인 접속이 되지 않아 이야기를 나눌 수 없었으나 접속이 유효한 상태에서는 공격자 또는 그의 대리인과 이야기할 수 있을 것으로 보이며, 이 과정에서 랜섬웨어 감염 피해를 입은 이에게 정신적∙금전적 피해를 배가하거나 또 다른 범죄를 일으킬 가능성도 배제할 수 없으므로 더욱 주의가 요망된다.

 

- 높은 수준의 디자인

랜섬웨어 변형들마다 독특한 디자인으로 자신을 어필하는 경우도 있지만 단순히 기능을 흉내내는 변종들은 조악한 디자인과 기능을 제공하기 마련이다. 최근에는 지금까지 나왔던 아이콘 중심의 디자인, 피해자에게 전달하고자 하는 메시지가 가득한 글자 중심의 디자인을 탈피하여 꽤나 신뢰도 높은 서비스인양 멋진 디자인을 선보이는 것이 등장했다. “기록되어졌다”라는 은유적 표현인 마크둡(Maktub)이라는 랜섬웨어는 감염된 이들을 꽤나 깔끔하게 디자인한 자신의 웹 페이지로 이동시키고, 정갈하고 예의바른 표현으로 사용자에게 설명을 제시한다. 마치 공격을 당했다는 느낌보다는 무언가 정상적인, 제대로 구축된 한 편의 웹 서비스를 보는 듯한 착각을 일으킬 정도이다. 

 

- RaaS(Ransomware as a Service)

더 이상 공격자가 직접 악성코드를 제작∙배포하기만 하는 시대는 지난 것 같다. 업무를 요청하면 요구사항대로 서비스를 제공하는 대행 업체처럼 랜섬웨어 제작자들도 RaaS라는 새로운 서비스를 제시하기 시작했다. RasS는 'Ransomware as a service'라는 뜻으로 랜섬웨어를 제작∙배포하고픈 이가 공격자들에게 의뢰할 경우 원하는 랜섬웨어를 제작해 주는 서비스이다. 이미 이들은 언제든 자신들에게 접속할 수 있도록 페이지를 만들어 두고 의뢰인을 기다리고 있다. 또, 의뢰한 랜섬웨어가 어느 정도 전파되고, 어느 정도 감염되었는지 현황에 대한 정보를 제공하여 의뢰인과의 신뢰를 유지하려 노력하고 있다.

 

랜섬웨어 블랙 마켓 전망

- 랜섬웨어 시장의 정리

2013년부터 우후죽순 등장하고 있는 랜섬웨어는 점점 시간이 갈수록 고도화를 추구하고, 나름의 서비스 체계를 갖춰가고 있다. 이러한 과정에서 단순히 기능이나 외형만을 모방하던 아류작들은 등장 후 바로 사라지게 되고, 확산과 피해에 따른 결제로 이어지는 메커니즘의 결과물에 따라 랜섬웨어의 생명력이 달라지고 있다. 같은 이름을 사용하면서 버전이 계속 올라가는 크립토월(Cryptowall)이나 테슬라크립트(TaslaCrypt) 등과 같은 랜섬웨어가 대표적인 예라고 할 수 있다. 누구도 예측하지 못한 새로운 아이템을 가지고 나오지 않는 한, 앞으로도 확산과 결제를 담보할 수 있는 랜섬웨어만이 살아남고 시장에서 우위를 점할 것으로 보인다.  

 

- 제휴를 통한 영역 확장

2000년대 중반부터 활약하고 있는 스팸메일 제작자들은 단순 광고를 퍼나르던 과거와는 달리 새로운 자금책들과 연계하여 활동하고 있다. 2014년 여름부터 지난 해까지 전세계 악성코드 유포의 상위를 차지했던 다이어(Dyre)의 경우 이메일 첨부파일 형태로 유포되고, 첨부된 파일 실행 시 온라인 금융 서비스 관련 사용자 정보 유출 악성코드를 설치하여 사용자에게 피해를 입혔다. 이 다이어와 손 잡았던 스팸 메일 제작자들이 새로이 랜섬웨어 제작자들과 손을 잡고 록키(Locky) 랜섬웨어를 대량 유포하고 있는 것으로 보인다. 이런 식의 제휴는 비단 스팸메일 제작자들에 한정되는 것은 아니다. 랜섬웨어 제작자들 역시 동일하다. 자신들이 보유하고 있는 랜섬웨어 관련 인프라, 파일 다운로드 및 C&C 서버 인프라와 피해에 따른 결제 현황 등을 레퍼런스로 또 다른 조직과의 제휴를 추구하고 있다. 사이버 범죄의 영역에서 랜섬웨어는 이미 하나의 축을 형성했고, 빠르고 안전하고 확실한 수익으로 사이버 범죄조직들에게 인식이 되었다. 이제는 이들이 누구와 연계를 하건 결코 낯선 상황은 아닐 것이다.

 

- 조직적∙대규모 공격의 가능성 

1989년 등장했던 최초의 랜섬웨어인 PC Cyborg Trojan(AIDS)도 피해자에게 189달러 또는 378달러를 송금하도록 요구했다. 2013년부터 등장하고 있는 최근의 랜섬웨어도 200달러에서 400달러 사이의 금전을 요구하고 있다. 그런데 최근 발생한 한 병원의 랜섬웨어 피해의 경우 공격자들이 해당 병원에 9000 비트코인(360만달러, 약 42억원)을 요구했고, 병원은 40 비트코인(1만7천달러, 약 2천만원)을 송금하고 암호화된 자료를 모두 복구한 것으로 알려지고 있다.

 

이 사건은 2가지 시사점을 주고 있다. 첫째, 공격자가 한번 비용을 지불하기 시작한 곳을 다시 공격할 가능성 있다는 것이다. 물론 이 부분은 해당 병원에서도 이미 인지하고 있고, 추가적인 공격을 받지 않기 위해 현재 인프라를 점검하고, 보안을 강화하는 수준을 밟아갈 것은 분명하다. 그러나 범죄조직 역시 기존에 사용했던 방법이 아닌 것으로, 보강될 보안책을 뛰어넘을 준비를 하고 있을 것이라는 점을 반드시 고려해야 할 것이다. 

 

둘째, 더 이상 랜섬웨어가 400달러 수준의 공격에 머물러 있지 않는 것이다. 보안이 취약한 홈페이지를 방문했을 때 설치되거나 스팸 메일 형태로 대량 유포하되 랜섬웨어는 대게 요구하는 비용이 일정하다. 그러나 한 번의 공격으로 5배 이상의 이득을 남길 수 있는 사례가 등장한 상태이니 공격자들은 고수익 시장에 눈을 뜨게 된 것이다. 악성코드에 의해 수집한 개인과 기업에 대한 각종 정보들을 통해 수익의 대상을 분류할 수도 있다. 또한 특정 조직을 상대로 철저히 금전적 이득을 목적으로 한 랜섬웨어의 조직적인 유포가 APT 공격의 새로운 유형으로 자리할 가능성도 염두에 두어야 할 것이다.