반응형
출처: 안랩
최근 국내에서 랜섬웨어로 인한 피해가 급증하고 있다. 신∙변종 랜섬웨어가 지속적으로 발견되고 있으며, 기업뿐만 아니라 개인 사용자들에게까지 피해가 확산되고 있다. 특히, 악성코드 제작자들에게 금전적인 이득을 취할 수 있는 방법으로 여겨지면서 광범위한 대상을 향한 무차별적인 공격이 진행되고 있다.
이에 월간’안’에서는 1부와 2부에 걸쳐 국내에 피해를 주고 있는 랜섬웨어의 현황과 분석 정보, 대응 방안에 대해 살펴보았다.
최근 언론 기사를 보면 영화에서나 접했을 법한 ‘인질극’이 우리 주변에서 발생하고 있는 것을 어렵지 않게 확인할 수 있다. 다름 아닌 ‘랜섬웨어’란 신종 사이버 범죄다. 현재 테슬라크립트(Teslacrypt), 크립토월(CryptoWall), 티어랙(Teerac) 등 감염 방식 및 세부 동작 기능에 따라 다양한 이름으로 명명된 랜섬웨어가 전파되고 있다. 랜섬웨어류 악성코드의 핵심적인 특징은 ‘컴퓨터 이용자(피해자)에게 가치 있을 만한 문서, 이미지와 같은 컴퓨터 내 주요 파일을 무단으로 암호화 한 후에 돈을 요구하는 명백한 범죄 양상’을 스스로 드러내고 있다는 점이다.
[그림 1] 랜섬웨어 공격 프로세스
이러한 랜섬웨어는 최근 1~2년 사이에 파일 무단 암호화와 결제 유도라는 직접적인 피해 사례들이 보고되면서 일반 대중에게 알려졌지만, 악성코드 역사에서는 ‘파일 암호화’ 기능을 보유한 ‘트로이목마’ 종류의 악성코드로 꾸준히 명맥을 이어 왔다. 또한, 악성코드 감염을 통해서 ‘금품 요구’라는 직접적인 해킹의 목적을 노출시키는 측면에서는 ‘가짜 백신’ 또는 ‘화면 잠금 바이러스’와 같은 스케어웨어(scareware)류 악성코드의 진화된 형태라고 볼 수 있다. 스케어웨어란 겉보기에는 합법적으로 판매되는 보안 프로그램과 유사하지만 실제로는 보안 기능이 없이 오직 금전적인 이득을 목적으로 하는 소프트웨어를 말한다. 물론 최근의 유포되는 랜섬웨어는 금전 요구 불응 시에 ‘암호화된 파일’을 원상 복구할 수 있는 방법이 없다는 측면에서 피해자 개인 또는 업무적으로 치명적인 피해를 입힐 수 있는 악질적인 형태의 악성코드라고 볼 수 있다.
[표 1] 가짜 백신 vs. 화면 잠금 바이러스 vs. 랜섬웨어 비교
다른 듯 비슷한 ‘랜섬웨어’와 ‘지능형 악성코드’
최신 백신 프로그램 등과 같은 엔드포인트 레벨의 보안 솔루션은 행위기반 탐지 또는 보안 취약점을 이용하는 익스플로잇 차단과 같은 보다 능동적인 형태의 진단 기술을 적용함으로써 ‘한번의 피해가 치명적인 손상을 초래하는 랜섬웨어’ 감염에 대응하고 있다. 하지만, 랜섬웨어 악성코드를 제작하는 해커들 역시 발전하는 보안기술을 회피하기 위한 노력을 멈추지 않고 있다. 그 결과 다양한 신·변종 랜섬웨어 악성코드가 지속적으로 ‘파일 암호화’라는 인질을 이용해 ‘사이버 금품 갈취’ 사건을 일으키고 있다.
이처럼 기술적으로 보완했음에도 불구하고 엔드포인트 보안 솔루션이 ‘진화하는 랜섬웨어’에 효과적으로 대응하지 못 하는 이유는 랜섬웨어도 소위 지능형 위협 공격과 같은 ‘지능형 악성코드’에서 사용되는 다양한 보안솔루션 우회 공격 기법을 사용하기 때문이다.
‘지능형 악성코드’와 비교해서 랜섬웨어는 불특정 다수에게 최대한 많이 유포되어 감염을 유도하는 형태로 공격이 이뤄지고 있다. 또한, 감염 이후에 가급적 ‘감염 사실’을 최대한 오랫동안 들키지 않고 장기적으로 잠복하는 ‘지능형 악성코드’와 달리 랜섬웨어는 파일 암호화 등을 위한 최소한의 사전 작업 이후에는 스스로 자신을 노출시켜서 제한된 시간 내에 빨리 금전 결제를 유도하는 적극성을 띤다. 물론 감염 과정 및 금전 결제 과정에서 랜섬웨어 제작자가 노출되는 것을 방지하기 위해서 HTTPS 암호화 트래픽 및 토르(Tor) 등의 네트워크 기술과 함께 비트코인(bitcoin)이라는 전자화폐를 사용한다.
[그림 2] 지능형 악성코드 vs. 랜섬웨어
패치와 백업만이 최선일까
이 글을 읽고 있는 독자 가운데 기술적 또는 관리적 보안 담당자가 많을 것이다. 최근 랜섬웨어 공격은 백신 프로그램을 우회하기 위해서 다양한 신∙변종 악성코드를 활용하는 지능형 위협 공격의 양상을 띠고 있고, 랜섬웨어란 것이 근본적으로 예방하는 것은 불가능하니 어떻게 사전에 잘 막을 것이 아니라 어떻게 피해를 최소화할까라는 ‘수동적인 대응 전략’을 수립할 수 밖에 없다고 많은 분들이 아쉬움을 얘기한다. 물론 일부 보안 벤더들은 백신 프로그램과 같은 보안 솔루션을 통해서 랜섬웨어를 근본적으로 차단할 수 있는 것처럼 고객을 호도하기도 하지만 실제 모든 보안 벤더들이 동일하게 강조하고 있는 유일한 ‘랜섬웨어 피해 예방을 위한 보안 수칙’은 ‘중요 자료 백업’과 ‘보안 패치’이다.
[그림 3] 일반적인 랜섬웨어 대응 프로세스
즉, ‘백업과 패치’를 효과적으로 잘 통제하고 관리할 수 있다면 아무리 ‘실시간 대응’이 부족하더라도 ‘사전 예방’ 단계에서 랜섬웨어 감염 자체를 최소화할 수 있다. 설사 랜섬웨어 감염이 이뤄졌다 하더라도 ‘사후 복구’ 단계에서 ‘백업된 파일을 복구’하여 정상적인 업무를 유지할 수 있게 된다.
하지만, 암호화된 파일을 복구했다고 해서 보안담당자로서 모든 상황이 종료되었다고 안심할 수 있을까? 랜섬웨어 동작 과정에서 해커는 단순히 문서 등 파일 암호화하고 비트코인이 결제되기만을 기다릴 것인가? 비트코인 결제에 응한 피해자에게 해커는 단순히 ‘복호화 키’만 전달하고 끝낼 것인가? 누구나 쉽게 정답을 유추할 수 있듯이 답변은 ‘아니오’이다. 랜섬웨어에 한번 감염된 특정 피해자 또는 해당 피해자가 사용하는 컴퓨터는 ‘랜섬웨어 악성코드 제작한 해커’에게는 아주 매력적인 ‘잠재적인 인질(ransom) 피해자’로 관리될 수 있다.
이상적인 vs. 현실적인 랜섬웨어 ‘실시간 대응’ 방안
그렇다면 ‘백업, 패치, 백신업데이트 및 컴퓨터 사용 주의’ 등과 같은 ‘랜섬웨어 관련 보안수칙’ 준수를 유도하는 일 외에 보안 담당자로서 선택할 수 있는 기술적인 통제 방안은 무엇이 있을까? 특히, 랜섬웨어 감염 발생 자체를 최소화할 수 있는 ‘실시간 대응’ 관점에서의 방안은 무엇이 있을까? 해당 방안은 실제 적용 가능한 현실적인 방안인지 알아보도록 하자.
우선 랜섬웨어를 실시간으로 대응할 수 있는 ‘이상적인 기술적 대응 방안’을 살펴 보자. 최초의 랜섬웨어 유입은 이메일의 첨부파일 또는 본문 내 URL 링크를 통해서 들어오거나 다양한 경로도 특정 URL을 직접 클릭하도록 유도하는 경우가 대부분이다. 이 과정에서는 의심스런 이메일 첨부파일의 실행을 차단하거나 의심 URL을 차단하는 기술적인 방안이 필요하다. 만약 이 과정에서 적절한 차단이 이뤄지지 못 했다면 의도된 악성코드가 네트워크를 통해서 유입이 될 것이다. 이 시점에서는 ‘악성코드 전용 샌드박스’ 등을 이용해서 네트워크 레벨에서 최대한 신속하게 악성 여부를 판단해서 차단하는 기술이 필요하다. 이후에는 실제 랜섬웨어 관련 악성코드가 엔드포인트 시스템에 직접 감염되면서 일련의 운영체제 레벨의 의심 행위들이 발생하게 되는데, 이상적인 보안 솔루션이라면 반복적인 파일 검색, 다량의 파일 암호화 등의 행위를 악성으로 진단하고 실시간 차단까지 자동으로 수행해야 한다.
[그림 4] 이상적인 랜섬웨어 감염 방지 프로세스
하지만 이와 같은 ‘이상적인 랜섬웨어 실시간 대응’ 기술 방안이 적용된 보안 솔루션은 아직까지 존재하지 않는다. 즉, 의심 URL 또는 의심 파일을 실시간으로 분석하고 네트워크 레벨에서 실시간으로 차단할 수 있는 보안 솔루션은 없으며, 엔드포인트 레벨에서의 정상적인 파일 검색 및 암호화 행위 등과 랜섬웨어에 의한 의심스런 행위를 명확하게 구분하고 그 과정에서 암호화가 발생하지 않도록 실시간으로 차단하는 대응 기술이 적용된 보안 솔루션은 아직까지 존재하지 않는다. 물론, 이론적으로 접근할 수 있는 시도는 가능할 수 있지만, 보안 인력이 대응 가능한 적정한 건수의 오탐지 이벤트를 발생하는 ‘실무 IT 운영 환경에 실제 적용 가능한 보안 제품’은 파악된 바 없다는 것이 필자의 견해이다.
만약 완벽하지는 않지만 의심스런 URL을 실시간으로 차단할 수 있고, 랜섬웨어로 의심할 수 있는 파일을 실행시키지 않은 상태에서, 가상의 분석 환경에서 상세한 분석한 후에 그 결과에 따라서 실행 여부를 결정할 수 있다면, 그리고 이러한 과정을 최대한 자동화할 수 있다면 보안담당자로서 충분히 고려해 볼 만한 ‘현실적인 기술적 통제 방안’이 아닐까?
[그림 5] 랜섬웨어에 대한 이상적인 대응 vs. 현실적인 대응
모든 ‘지능형 위협 대응 솔루션’에서 가능한 시나리오인가?
앞에서 언급한 랜섬웨어에 대한 ‘현실적인 실시간 대응 프로세스’가 샌드박스를 이용하는 모든 ‘지능형 위협 대응 솔루션’에서 구현 가능하다고 생각하면 큰 오산이다.
안랩 MDS는 초기의 제품 기획 단계에서부터 ‘엔드포인드 레벨의 실시간 대응’ 필요성을 반영하여 2011년 기준 ‘샌드박스 기반 지능형 위협 대응 솔루션’ 중에서 글로벌 최초로 ‘MDS 에이전트’라는 경량의 전용 에이전트를 제공하고 있다. 또한, 진화하는 보안 위협 트렌드 및 고객의 실제 APT 대응 사례를 반영한 실행 보류(Execution Holding) 기능을 추가 적용하여(2013년), ‘알려지지 않은 위협에 대한 탐지’에 그치고 있는 경쟁사 제품들과 달리 ‘탐지된 알려지지 않은 위협에 대해서는 자동화된 사전 차단’이라는 차별화된 경쟁력을 제공하고 있다.
[그림 6] AhnLab MDS 실행 보류(Execution Holding) 기능
또한, 점차 고도화되는 랜섬웨어는 네트워크 레벨의 샌드박스 기반 보안 제품을 회피하기 위해서 기능이 세분화된 모듈화된 다수의 악성코드를 통해서 구성되며 이러한 과정에서 네트워크상의 보안 솔루션 탐지를 회피하기 위해 암호화 통신을 사용한다. 이를 위해서는 ‘SSL 프록시 또는 복호화(decryption)’ 전용 장비와 같은 고가의 보안 솔루션을 추가 구축할 수 있다. 하지만 표준 SSL 인증서 방식을 따르는 않는 비표준화 암호화 프로토콜을 이용하는 경우에는 해당 암호화 트래픽을 복호화하지 못 하는 제약이 존재한다. 안랩 MDS의 실행 보류 기능은 엔드포인트 레벨에서 트래픽 복화화 및 파일 재조합이 완료된 상태에서 작동하게 되므로 이러한 암호화 트래픽 환경에서도 제약 없이 작동이 가능하다.
[그림 7] AhnLab MDS의 암호화 트래픽에 대한 실행 보류 기능 동작 프로세스
샌드박스 기반 ‘지능형 위협 대응 솔루션’이 랜섬웨어라는 특정 악성코드 종류만을 탐지-분석-대응하기 위해서 기획 및 개발된 보안 솔루션은 아니다. 즉, 진화하는 랜섬웨어에 대해서 100% 완벽하게 대응할 수 없는 것은 앞으로 어떠한 보안 솔루션이 새로운 컨셉으로 개발된다 하더라도 동일할 것이다.
랜섬웨어의 잠재 위협을 피해자 개인의 문제가 아닌 조직으로 확장시켜 본다면, ‘랜섬웨어 피해자’가 소속된 기업·기관은 ‘패치·취약점 관리에 대한 부실한 관리’ 또는 ‘인터넷·이메일 사용 보안 수칙과 같은 보안 정책의 현행화가 미흡’하다는 약점에 간접적으로 노출될 수 있다. 더 나아가 향후 해당 기업·기관에 대한 ‘지능형 위협 공격’으로 이어질 가능성이 높다고 볼 수 있다. 이것은 유리창이 깨진 차가 방치되는 등 환경이 열악한 곳에서는 그렇지 않은 곳보다 범죄가 더욱 빈번하게 발생한다는 깨진 유리창 이론(Broken Window Theory)이 적용될 수 있다. 즉 ‘랜섬웨어 피해 발생→지능형 타킷 공격 대상으로 확대’까지 이어질 수 있는 개연성이 충분하다는 점을 한번쯤 고려해 봐야 한다.
우리에게 중요한 것은 지금 현재 가용한 기술 테두리 안에서 ‘최대 효과를 제공할 수 있는 최선의 방안’을 고민하고 선택하는 것이다.
▶ 이전 글 : 1부_랜섬웨어, 알아야 막을 수 있다
<참고 자료>
- 안랩, '가짜백신, 어떻게 설치되고 얼마나 유해할까?'
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=16067
http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?menu_dist=3&seq=16067
- 한국IDG, '랜섬웨어로부터 PC 지키기'(2014/01/21)
- KISA, 한글버전 랜섬웨어 '크립토락커' 확산 주의 당부 http://www.kisa.or.kr/notice/press_View.jsp?mode=view&p_No=8&b_No=8&d_No=1364
- Trend Micro, Ransomware Definition http://www.trendmicro.com/vinfo/us/security/definition/Ransomware
- McAfee,Defeat Ransomware: Ensure Your Data Is Not Taken Hostage http://www.mcafee.com/kr/resources/solution-briefs/sb-quarterly-threat-q1-2015-2.pdf
- Symantec, Ransomware:A Growing Menace
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/ransomware-a-growing-menace.pdf
반응형
'대학 생활 > 악성코드' 카테고리의 다른 글
| 랜섬웨어, 무엇이 어떻게 달라졌나? (0) | 2016.06.08 |
|---|---|
| 악성코드 샘플 수집 사이트 (0) | 2014.12.24 |