[컬럼] 새로운 국면 맞은 랜섬웨어

2017년 7월 17일

이셋코리아 김남욱

지난 2016년부터 2017년 상반기까지 가장 주목을 받았던 사이버 공격은 다음의 세 가지로 나눌 수 있는데, 컴퓨터 시스템 및 데이터에 대한 랜섬웨어 공격, 데이터와 시스템에 대한 접근 방해(분산 서비스 거부, DDoS)공격 및 사물 인터넷 기기 (IoT)를 대상으로 한 공격이다. 불행하게도 이러한 추세는 앞으로도 계속될 것으로 예상되며, 각 공격 방법이 결합된 형태의 공격도 예상할 수 있다. 예를 들어 악성코드에 감염된 IoT 장치를 동원하여 상업용 웹 사이트를 대상으로 DDoS 공격을 시도한 후 몸값을 요구한다거나, 악성코드를 이용하여 스마트카, 스마트 에어컨등의 IoT 장치를 잠근 후 몸값을 요구하는 등의 복합적인 공격이 발생할 가능성도 매우 높다고 볼 수 있다. 리눅스나 안드로이드, 맥오에스 등 비 윈도우 계열의 운영체제를 사용하는 기기들을 대상으로 한 랜섬웨어가 속속 발견되고 있는 상황을 고려하면, 랜섬웨어를 비롯한 악성코드 공격은 더 이상 윈도우 시스템 만의 문제는 아니며, 인터넷에 연결된 모든 정보 기기들을 공격의 대상이라고 보아야 할 것이다.

랜섬웨어는 말 그대로 몸값을 요구하는 악성코드이다. 현재까지 가장 많이 발견된 랜섬웨어의 피해는 컴퓨터 내 파일을 암호화한 후 몸값을 요구하는 형태이지만, 이외에도 컴퓨터를 잠근다거나, 컴퓨터의 부하를 최고로 높인다거나, DDoS 공격을 감행하는 등 다양한 피해 방법으로 몸값을 요구하는 랜섬웨어가 등장할 것으로 예상된다. 따라서 랜섬웨어는 감염 과정과 피해 과정 및 피해 복구를 모두 고려하여 대응하는 것이 가장 좋다고 볼 수 있다. 랜섬웨어도 악성코드의한 종류이기 때문에 감염 과정은 일반적인 악성코드의 경우와 동일하다. 따라서 기존의 악성코드 대응 수칙을 그대로 지키는 것이 중요하다. 이울러 몸값을 지불한다는 것을 배제한다면, 피해복구는 일반적인 정보의 유실, 분실이나 손실과 동일하다. 따라서 정보 유실이나 손실에 대비한 백업이 중요한 것이다. 여기서 주목해야 할 점은 대부분의 랜섬웨어의 감염 과정은 유사하다는 것이다. 따라서 앞으로 나타날 다양한 피해 과정에 대한 예방책을 미리 걱정하는 것 보다는, 감염 과정과 피해 복구에 주목하여 철저히 대비하는 것이 보다 현실적이고 효과적인 대응책이라 생각한다.

대부분의 랜섬웨어 피해 과정은 우리 생활 속에서 흔히 일어나는 현상을 이용하기 때문에 이를 악성 행위나 공격으로 분류하기는 매우 어렵다. 거꾸로 말하자면, 랜섬웨어가 우리 생활 속에서 거의 발생하지 않는 현상을 이용했다면 이를 탐지하기는 매우 쉬웠을 것이다. 예를 들어, 파일을 암호화하는 행위는 컴퓨터를 사용하는 중 다분히 발생하는 행위이다. 호텔 객실의 문을 잠그는 행위, 보일러의 온도를 높이는 행위 등 지금까지 랜섬웨어에 의해 이용되었던 혹은 이용될 가능성이 있는 행위들은, 행위의 주체만 다를 뿐 모두 우리 생활 속에서 흔히 일어나는 행위이다. 따라서 랜섬웨어 감염 후 피해 동작을 감지하여 이를 차단하기는 쉽지 않은 게 현실이다. 일부 차세대 대응 솔루션들은 암호화 동작을 행위 기반에 의해 감지하여 랜섬웨어를 차단한다고 하는데, 솔직히 이는 넌센스라고 생각한다. 대부분의 검증된 엔드포인트 보안 제품은 이미 알려진 랜섬웨어에 완벽히 대응한다고 볼 수 있다. 문제는 알려지지 않은 신종 랜섬웨어에 대한 대응이다. 이셋 고객사 중 몇몇이 이러한 신종 랜섬웨어에 감염된 사례가 있었는데, 랜섬웨어 피해 과정인 파일 암호화 도중에 HIPS와 라이브그리드 기능이 이를 감지하고 차단한 경우다. 감염 과정에서 랜섬웨어가 감지되면 파일이 암호화되는 것을 100% 방지할 수 있지만, 암호화 행위 도중에 감지가 되면 몇 개의 파일이 암호화 되는 피해가 발생할 수도 있다는 점이 아쉽지만, 이셋 제품의 방어 체계를 설명하여 고객의 이해와 만족을 얻을 수 있었다.

많은 보안 전문가들이나 정보 시스템 사용자들은 2017년을 "랜섬웨어의 해(The Year of Ransomware)"가 될 것으로 예상했으며, 가까운 미래에는 "잭웨어의 해(The Year of Jackware)” 가 도래할 것으로 예상하고 있다. 잭웨어란 데이터 처리 또는 디지털 통신이 주 목적이 아닌 장치를 제어한 후 몸값을 요구하는 악성코드이다. 데이터 처리 또는 디지털 통신이 주 목적이 아닌 장치의 좋은 예가 오늘날의 최신 모델의 자동차 카탈로그에 자주 언급되는 "커넥티드 카"이다. 이러한 자동차는 많은 데이터 처리 및 통신을 수행하지만 주 목적은 A에서 B로 사용자를 이동시키는 것이다. 따라서 잭웨어는 랜섬웨어의 특수한 형태라고 볼 수 있다. 워너크라이나 페트야와 같은 암호화 랜섬웨어는 컴퓨터의 문서를 암호화하고 몸값을 요구하지만, 잭웨어의 목표는 몸값을 지불할 때까지 자동차나 기타 장치를 잠그는 것이다. 예를 들어, 지금 당장 스마트 냉장고 내부 시스템에 직접 침입하여 냉장고의 온도를 높이는 행위는 어려울지라도, 스마트 냉장고를 원격에서 관리할 수 있는 스마트폰 앱을 통해 집안의 스마트 냉장고의 온도를 높인 후 스마트폰으로 몸값을 지불하라는 메세지를 받는다는 경우는 충분히 상상이 가능할 것이다. 따라서 우리는 ICS/SCADA나 IoT 장치를 대상으로 하는 랜섬웨어인 잭웨어의 공격 범위를 장치 자체 뿐만 아니라 장치를 인터넷을 통해 외부에서 제어하는 환경까지 확대해야 할 필요가 있다고 생각한다. 특히 장치 자체를 제어하는 소프트웨어에 취약점이 포함되어 있을 경우 잭웨어의 피해자가 될 가능성이 매우 높으며, 바야흐로 “RoT(Ransomware of Thing)”의 시대를 맞이해야 할 수도 있을 것이다. IoT가 RoT의 터전이 되는 것을 방지하기 위해서는 보안성이 높은 기술 플랫폼의 개발과 함께 이를 뒷받침하기 위한 정책의 적용이지만, 비용과 현실에 가로 막혀 지지부진한게 사실이며, 자율 주행 자동차가 도로를 점거할 날이 멀지 않았음에도 불구하고 이러한 문제들의 해결책이 반영되어 있는지 의문이다. 실제로 이셋 제품 사용자를 대상으로 한 설문 조사에 따르면, 미국 성인의 40% 이상이 IoT 장치가 안전하지 않다고 답변했으며, 절반 이상이 개인정보보호 및 안전 문제로 인해 IoT 장치를 구입하기 주저한다고 답했다.

이셋코리아 감남욱 대표는 “이셋이 제안하는 랜섬웨어 대응 방법은 크게 두 가지라고 볼 수 있습니다. 첫 번째는 랜섬웨어의 감염 및 활동 과정에서의 대응인데, 랜섬웨어도 악성코드의 하나이기 때문에 감염 및 활동 과정에서의 대응은 이셋 등 신뢰할 수 있는 엔드포인트 보안 업체가 오랜 기술력을 기반으로 가장 효과적인 대응이 가능합니다. 이셋은 다양한 정적/동적 시그니쳐기반의 대응을 비롯하여, 네트워크 공격 차단, HIPS, 메모리 스태너, 웹 필터링, 스트립트 필터링, 브라우저 보호, 봇넷 차단 등 다양한 악성코드 유입 및 실행 탐지 기능을 통해 랜섬웨어의 유입과 활동을 효과적으로 차단할 수 있습니다. 두 번째는 객체의 변조를 탐지되면 변조의 주체의 확인하는 것인데, 이셋은 LiveGrid®라 부르는 클라우드 기반의 머신 러닝 및 평판 시스템 기술을 이용하여, 다수 파일을 대상으로 하는 변조 행위에 대한 주체를 확인하는 기능을 포함하고 있으며, 이 기능은 알려지지 않은 랜섬웨어 대응에 매우 효과적이라 볼 수 있습니다. 특히 악성코드 제작자는 자신이 제작한 악성코드를 배포하기 전에 주요 엔드포인트 보안 제품으로 진단여부를 확인한 후 배포를 하기 때문에 아무리 효과적인 사전 방역 기능이라 할 지라도 대응에는 한계가 있습니다. 이러한 경우 이셋의 LiveGrid® 시스템을 이용한다면 매우 빠르고 효과적인 사전 대응이 가능합니다. 대응 랜섬웨어 피해를 예방하기 위한 특별한 비책은 존재하지 않습니다. 우리가 알고 있는 기본적인 보안 수칙을 준수하는 것이 가장 기본적이고도 효과적인 예방책이며, 보안 수칙을 지켜지지 않는 환경을 대상으로 한 랜섬웨어 예방하기 위한 방법은 없다고 보셔야 합니다. 엔드포인트 보안 솔루션은 기업의 보안 정책 적용을 도와주는 솔루션이지 아무 것도 하지 않는 환경에서 모든 것을 대신해 주는 솔루션이 아닙니다.”면서, 다음과 같은 기본적인 보안수칙 준수의 중요성을 다시 한 번 강조하였다.

• 중요한 정보는 오프라인으로 백업하라

• 운영체제와 애플리케이션을 패치와 함께 최신 버전으로 업데이트하라

• 중요한 정보에는 접근 제어를 사용하라

• 출처가 불분명한 웹사이트 방문이나 이메일 열람에 주의하라

• 클라우드 기반의 대응 시스템을 갖춘 검증된 엔드포인트 보안 솔루션을 도입하고, 관리 도구를 이용하여 모든 엔드포인트에서 기업/기관의 보안 정책에 따라 정상적으로 동작함을 보장하라