랜섬웨어란?
1989년 랜섬웨어가 처음 발생한 이후 암호화 과정을 통해 더욱 정교해지고 있습니다. 랜섬웨어의 개념과 예방법을 알아보겠습니다.
랜섬웨어란 멀웨어(Malware: malicious software)의 일종으로 몇 가지 형태로 나타날 수 있으며, 개인 시스템 뿐만 아니라 비즈니스, 병원, 공항, 정부 기관 시스템에 영향을 미칠 수 있습니다.
랜섬웨어는 1989년 처음 발생한 이후 진화를 거듭하며 보다 정교해지고 있습니다. 간단한 형식은 보통 비암호화 랜섬웨어인 반면, 오늘날엔 암호화 과정을 통해 파일에 접근할 수 없게 합니다. 암호화된 랜섬웨어는 하드 드라이브를 컴퓨터 OS를 잠그는데 사용할 수 있으며, 피해자가 이에 접근할 수 없게 합니다. 랜섬웨어의 목표는 피해자로부터 암호 해독을 위한 금액을 받아내는 것입니다. 이는 보통 추적하기 힘든 디지털 통화(비트코인이나 다른 가상자산)로 요구됩니다. 그러나, 공격자에게 결제 대금이 지급될 거라는 보장은 없습니다.
랜섬웨어는 지난 십년 간(특히 2017년) 급격하게 증가해 왔으며, 유로폴(Europol) (IOCTA 2018)에 따르면 경제적 동기를 바탕으로 한 사이버 공격 중 세계에서 가장 두드러지는 멀웨어 입니다.
피해자는 어떻게 생기나요?
피싱(Phishing): 반복되는 사회 공학적 공격. 랜섬웨어에서 피싱 이메일은 악성 프로그램 배포의 가장 일반적인 형태 중 하나입니다. 피해자들은 대개 손상된 이메일 첨부 파일이나 합법적인 것으로 위장된 링크를 통해 감염됩니다. 컴퓨터 네트워크 상에서는 한 명의 피해자가 조직 전체를 감염시킬 수 있습니다.
공격 키트(Exploit Kits): 다양한 악성 도구와 미리 작성된 공격 코드로 만들어진 패키지. 이러한 키트는 소프트웨어 애플리케이션과 운영 체제의 문제점과 취약성을 멀웨어 확산 방법으로 사용하도록 설계되었습니다(오래된 소프트웨어를 실행하는 비보안 시스템이 가장 일반적인 대상).
멀버타이징(Malvertising): 공격자들은 랜섬웨어를 퍼뜨리기 위해서 광고 네트워크를 사용합니다.
랜섬웨어를 예방하려면 어떻게 해야 하나요?
외부 소스를 사용해 정기적으로 파일을 백업합니다. 감염 가능성이 제거된 후 파일을 복구할 수 있습니다.
이메일 첨부 파일 및 링크에 주의하세요. 알 수 없는 출처의 광고 및 웹 사이트를 클릭하지 않습니다.
신뢰할 수 있는 바이러스 백신을 설치하고, 소프트웨어 애플리케이션 및 운영 체제를 최신 버전으로 유지합니다.
파일 확장명을 쉽게 확인할 수 있도록 Windows 설정에서 '파일 확장자 표시' 옵션을 사용하도록 설정합니다. .exe .vbs 및 .scr과 같은 파일 확장자를 피합니다.
HTTPS 프로토콜로 보안되지 않는 웹 사이트(예: "https://"로 시작하는 URL)를 방문하지 않습니다. 그러나 많은 악의적인 웹 사이트가 HTTPS 프로토콜을 구현하여 피해자를 혼란스럽게 하고 있으며, HTTPS 프로토콜만이 웹 사이트가 합법적이거나 안전하다는 것을 보장하지는 않습니다.
랜섬웨어 중단시키기 위해 노력하는 법 집행 기관 및 IT 보안 회사에 의해 만들어진 웹사이트 NoMoreRansom.org를 방문해 보세요. 이 웹사이트는 감염된 사용자를 위한 무료 암호 해독 툴킷과 예방 조언을 제공합니다.
랜섬 웨어의 예
그랜드 크랩(GrandCrab, 2018)
2018년 1월 처음 발견된 이 랜섬웨어는 한 달도 안 돼 5만 명 이상의 피해자를 낸 뒤, 비트디펜더(Bitdefender), 유로폴과 함께 루마니아 당국 기관들을 마비시켰습니다(무료 데이터 복구 키트 사용 가능). 그랜드 크랩은 멀버타이징과 피싱 이메일을 통해 전파되었으며 최초로 가상자산 대시(DASH)를 통해 비용을 요구한 랜섬웨어입니다. 초기 비용은 300달러에서 1500달러까지 다양했습니다.
워너크라이(WannaCry, 2017)
4일만에 30만대 이상의 컴퓨터를 감염시킨 세계적인 사이버 공격입니다. 워너크라이는 이터널블루(EternalBlue)라고 알려진 취약점을 공격하며 전파됐으며, 마이크로소프트 윈도우 운영 체제(감염된 컴퓨터 대다수가 Windows 7을 실행 중)를 통해 전파되었습니다. 이 공격은 마이크로소프트가 발표한 긴급 패치로 인해 중단되었습니다. 미국의 보안 전문가들은 특정한 증거를 발견하지는 못했지만, 북한이 이번 공격에 책임이 있다고 주장했습니다.
베드 레빗(Bad Rabbit, 2017)
손상된 웹 사이트에서 다운로드한 가짜 Adobe Flash 업데이트로 확산된 랜섬웨어입니다. 감염된 컴퓨터 대부분은 러시아에 위치해 있었고 감염은 .exe 파일의 수동 설치를 통해 이뤄졌습니다. 암호 해독 비용은 약 280달러였습니다(0.05 BTC).
록키(Locky, 2016)
감염된 첨부 파일을 포함한 지불 명세서 이메일에 의해 대부분 전파되었습니다. 지난해 할리우드 장로 병원은 록키에 감염돼 40 비트코인(약 1만7000달러)을 지불했습니다.