공지사항2018-11-13T17:10:37+00:00

Notice

위젯누리 공지사항

[2021 랜섬웨어 대응 리포트] 진화하는 랜섬웨어, 어떻게 막아야 하나

작성자
widgetnuri
작성일
2021-01-12 18:39
조회
2
안녕하세요 위젯누리입니다.

최근 보안뉴스 이상우 기자님께서 랜섬웨어에 대해 자세한 기사를 작성해주셨습니다.

기사를 통해 저희 랜섬디펜스가 소개되어 이를 알려드리고자 공지를 작성하게 되었습니다.

아래 기사는 이상우 기자님의 기사입니다.

[보안뉴스 이상우 기자] 랜섬웨어 공격은 더 이상 낯선 사이버 공격 유형이 아니다. 랜섬(Ransom)이란 납치나 유괴를 당한 사람의 몸값을 의미한다.

즉, 사용자의 주요 데이터 자산을 인질로 잡고 기업이나 기관에 몸값을 요구하는 사이버 공격이다.

영화 테이큰에서 리암 니슨의 명대사처럼 “몸값을 원한다면 나는 그런 돈이 없다.

하지만 내 특별한 기술로 너를 찾아낼 것이다”라고 말해주고 싶지만, 당장 눈앞에 있는 데이터가 암호화돼 업무가 마비된 상황에서 보안 담당자뿐만 아니라

모든 직원이 패닉에 빠질 것이다. 심지어 일부 랜섬웨어 공격은 협상에 응하는 제한시간을 두고 피해 기업을 더 초조하게 만든다.

결국 피해자는 ‘울며 겨자 먹기’식으로 공격자의 요구를 들어줄 수밖에 없다.

최근 랜섬웨어 공격 사례를 살펴보면, 지난 2020년 11월 22일에는 NC백화점, 뉴코아아울렛 등 이랜드그룹의 주요 매장이 클롭 랜섬웨어 조직의 공격으로

영업을 중단하는 사태가 발생했다. 이랜드그룹 관계자에 따르면 22일 새벽에 사내 네트워크 시스템이 랜섬웨어 공격을 받았으며, 복구 작업에 차질이 생겨 NC백화점과 뉴코아아울렛의 매장 50여개 중 23개의 정상 영업이 어려워졌다.

랜섬웨어에 감염된 시스템은 일부 매장의 포스(POS) 단말기 등과 연동돼 NC백화점과 뉴코아아울렛 매장 23곳에 영향을 미친 것으로 드러났다.

이로 인해 일부 매장을 찾은 손님들이 영문도 모른 채 발길을 돌리기도 했다.

이 사건은 사이버 공격으로 인해 온라인 서비스가 정지되는 상황을 넘어, 오프라 인 매장까지 영업을 멈추게 할 수 있다는 사실을 다시 한 번 체감할 수 있었던 사례다.

뿐만 아니라 랜섬웨어가 사람의 목숨까지 위협할 수 있다. 지난 2017년 5월 영국의 ‘국민건강서비스(NHS)’가 워너크라이 공격을 당해 당시 16개 병원이 폐쇄됐으며,

최소 6,900건에 달하는 국민건강서비스 진료예약이 취소된 바 있다. 금전을 노리고 랜섬웨어를 퍼뜨린 공격자 때문에 애꿎은 환자들이 고통을 당한 것이다.

또, 지난 2020년 9월에는 독일 뒤셀도르프대 병원 서버 30대가 랜섬웨어 공격으로 인해 마비됐으며, 주요 병원 IT 서비스 운용이 불가능하게 됐다.

이 과정에서 병원은 한 여성 응급환자를 받지 못해 인근 도시 병원으로 이송했으나 결국 사망했다. 사이버 공격으로 인해 실제 생명을 잃은 사례다.

향후 디지털 헬스케어 분야에서 인슐린펌프나 인공심장박동기 등 인체 삽입형 디지털 의료기기가 랜섬웨어 대상이 될 경우 사람의 생명을 인질로 잡고 협박하는 사례까지 등장할 수 있다.

이처럼 2020년 한 해 유독 눈에 띄는 사이버 공격 유형은 랜섬웨어다. 최근 랜섬웨어와 관련해서 들은 이름만 해도 메이즈, 클롭, 락빗, 비너스락커, 갠드크랩, 블랙킹덤 등으로 다양하다.

실제로 컨설팅 업체 크롤(Kroll)이 발표한 자료에 따르면 지난 2020년 9월까지 발생한 사이버 공격 중 1/3이 랜섬웨어에 해당하는 것으로 나타났다.

이스트시큐리티 역시 자사의 일반 사용자용 안티 바이러스 ‘알약’을 통해 무단 암호화 호스트를 차단한 건수가 15만 4,801 건에 이른다고 발표했다. 이를 일 단위로 환산하면 하루에 약 1,720건의 랜섬웨어 공격이 차단된 셈이다.

주요 보안 기업과 유관기관, 2021년 표적형 랜섬웨어 성행할 것으로 예상
이러한 동향은 2021년까지 이어져 주요 보안 기업과 기관 등에서도 주의해야 할 공격으로 랜섬웨어를 첫손에 꼽았다.

특히, 불특정 다수를 대상으로 하는 기존 랜섬웨어 공격에서 특정 목표를 겨냥하고 장기간 공격을 수행하는 등 APT와 결합한 랜섬웨어 공격을 통해

수익성을 극대화하려는 조직이 꾸준히 증가할 것으로 보인다.

한국인터넷진흥원(KISA)은 ‘2021 글로벌 사이버 위협 시그널’을 통해 표적형 공격과 결합한 랜섬웨어와 이를 통한 피해 규모가 증가할 것으로 내다봤다.

2020년 주요 사례로는 국내 유통 기업이 영업을 중단한 사례, 일본 자동차 기업 세계 11곳의 공장 시스템 마비로 출하가 중단된 사건,

랜섬웨어로 병원 시스템이 마비돼 긴급 이송하던 환자가 사망한 사건이 발생했다. 이렇듯 분야를 가리지 않고 표적 공격을 수행할 것으로 예상했으며,

이 과정에서 기업의 중요 정보, 고객 개인정보 및 결제정보를 가지고 협박하는 수단 또한 다양해질 것으로 내다봤다.


611242560_4547.png

▲2021 글로벌 사이버 위협 시그널[자료=한국인터넷진흥원]




금융보안원은 ‘2021년 디지털금융 및 사이버보안 이슈 전망’을 통해 랜섬웨어와 랜섬 디도스 공격이 금융권을 노릴 것으로 내다봤다.

특히, 랜섬웨어의 경우 이를 제작 및 판매하는 서비스형 랜섬웨어(RaaS)가 등장해 개발조직과 침투 및 공격조직의 분업화가 이뤄질 것으로 내다봤다.

랜섬 디도스 공격의 경우 공격에 동원할 수 있는 IoT 기기가 늘어나는 등 과거보다 파급력이 더욱 가중될 것으로 보인다.

[설문조사] 국내 기업의 랜섬웨어 피해 사례와 대응 인식은?
<보안뉴스>와 <시큐리티월드>에서 진행한 설문조사 결과, 랜섬웨어 공격에 대해 철저히 대비하고 있다고 응답한 비율은 전체의 14.4%, 어느 정도 대비하고 있다고

응답한 비율은 70.4% 등으로 상당수의 기업이 랜섬웨어에 대해 인식하고 이러한 공격에 대응하고 있는 것으로 나타났다.

다만, 13.9%는 아무런 대비가 없다고 응답했으며, 그 이유로 위험성은 인지하고 있으나 예산이 부족하다는 답변이 38.3%나 나왔다.


611242560_1848.png

▲보안뉴스가 실시한 랜섬웨어 인식 및 대응 설문조사[자료=보안뉴스]




2020년 한 해 동안 랜섬웨어 공격을 경험했고 실제 피해로 이어졌다는 응답자는 전체의 31.1%였다.

특히, 피해 유형 중에는 복구가 불가능해 자료를 폐기한 경우가 있는가 하면, 공격자에게 비용을 지불했다는 응답도 전체의 2.6%(피해를 입은 기업 중에는 8.2%)를 차지했다.

이와 달리 27.8%는 공격 시도가 있었으나 피해를 입지 않았다고 답했다.

그 이유로는 중요한 시스템이 아니었기 때문에 시스템 자체를 포맷하고 다시 설치한 경우도 있었으나, 많은 경우 자체적으로 주기적인 백업을 실행해

공격을 당하더라도 이를 이용해 공격 당하기 이전 상태로 복구할 수 있었다.

전체 응답자의 64.8%는 백업을 랜섬웨어 공격에 대응하는 주요 솔루션으로 인식하고 있으며,

특히 전체 응답자의 57.3%는 이미 백업 솔루션을 구축해 운영하고 있다. 백업의 경우 이미 발생한 공격에 대해 피해를 최소화하고

기업 비즈니스 연속성을 회복하는 주요 수단이다. 이에 기업은 정기적인 백업을 통해 복구할 수 있는 시점을 많이 확보하고,

백업 이미지를 다른 저장매체에 안전하게 보관할 수 있어야 한다.

기업이 다음으로 중시하는 대응 솔루션의 주요 기능은 네트워크 침입 차단(56.6%, 복수 응답)과 암호화 행위 탐지(55%, 복수 응답)이다.

이밖에 웹 서버 취약점 제거는 44%(복수 응답) 등을 차지했다. 또한, 실제 랜섬웨어 공격에 대비하고 있는 방식으로는 백업 이외에 네트워크 침입 차단 솔루션(51.2%, 복수 응답), 엔드포인트 보안 솔루션(37.5%, 복수 응답), 웹 서버 보호 솔루션(37.3%, 복수 응답), 암호화 탐지 및 차단(22.1%,복수 응답) 등으로 나타났다.

네트워크 침입 차단, 엔드포인트 보안 솔루션, 웹 서버 보호 솔루션 등은 공격자가 서버에 들어오는 경로를 차단하기 위한 솔루션이다.

결국 랜섬웨어 공격 역시 공격자가 서버에 침투해 이를 실행해야 하기 때문에 침입 경로를 차단하고 침입을 감지해 공격에 대응할 수 있다.

이밖에 암호화 탐지 및 차단은 공격 자체를 방지하는 수단이다. 암호화 행위를 감지하고, 이를 차단하면 데이터 자산 암호화로 인한 피해를 예방할수 있다.

특히, 향후에는 호스트 기반 행위 탐지를 넘어 운영체제 커널단에서 암호화 프로세스를 탐지 및 차단하고, 암호화 시도가 일어난 파일에 대해 자동으로 백업하는 등 종합적인 랜섬웨어 대응 솔루션까지 등장할 전망이다.

이렇듯 기업이 다양한 대비를 하고 있음에도 불구하고 랜섬웨어 공격이 발생하는 이유는 무엇일까?

많은 응답자가 임직원의 부주의(65.8%, 복수 응답)를 꼽았으며, 랜섬웨어 대응방안으로 임직원의 보안인식 교육을 시행한다는 응답자도 전체의 56%(복수 응답)나 됐다.

아무리 보안 솔루션을 강화해 공격에 대비한다고 해도, 결국 사람의 실수나 고의에 의한 구멍이 가장 허술하다고 느끼는 셈이다.

실제로 사이버 공격에 있어서 공격 대상을 찾고 침투하는 과정에는 이메일을 통한 스피어피싱, 워터링 홀 등의 공격기법이 많이 쓰이고 있다.

이메일을 통해 내려 받은 악성 파일로 인해 주요 계정정보가 탈취되고, 공격자는 이 정보를 바탕으로 관리자 권한을 획득해 서버 및 네트워크에 연결된 PC에서 랜섬웨어를 실행한다. 특히, 최근 코로나19로 인한 비대면 이슈가 증가하면서 많은 직장인이 직장이 아닌 곳에서 자신의 기기를 활용해 업무를 수행하고 있다.

이에 따라 사이버 공격자가 기업에 침투할 수 있는 접점은 더 늘어나게 됐다. 상대적으로 보안에 취약한 임직원 개인 PC에서 시작해 기업의 중앙 네트워크까지 침투할 수 있는 경로가 생긴 만큼 개별 사용자의 보안의식 제고 역시 필수적이다.

APT와 결합해 정교해지는 랜섬웨어 공격...특정 기업을 노린다
최근 국내에서 발생한 클롭 랜섬웨어 조직의 공격은 몇 가지 시사점을 준다. 우선 오랜 기간 특정 표적을 노린 지능형 지속 위협(APT)이라는 점이다.

클롭 랜섬웨어 조직은 공격 과정에서 파일 암호화와 동시에 200만 건의 고객 신용카드 정보를 유출했다고 주장하고 있다.

또한, 협상에 응하지 않으면 이 정보를 공개해 법적인 피해를 입도록 하겠다며 협박하고 있는 상황이다. 주목할 부분은 이들이 해외 매체와의 인터뷰를 통해 약 1년에 걸쳐 포스(POS) 시스템을 악성코드에 감염시키고 지속적으로 카드 정보를 유출해 왔다고 주장한 점이다.

위젯누리는 화이트리스트 기반 소프트웨어 인증 차단 및 암호화 행위 탐지·차단 솔루션을 제공하고 있다.

행위 기반이 아닌 소프트웨어 인증을 통해 랜섬웨어를 탐지한다는 것이 특징이다. 인증을 통해 운영체제에서 소프트웨어가 실행될 때

이를 분석하고 신뢰도를 평가한 뒤 해당 소프트웨어가 중요 자료에 접근할 수 있도록 허용한다.

이에 따라 알 수 없는 소프트웨어와 악성 소프트웨어는 중요 자료에 접근할 수 없다. 신뢰성 분석을 통해 수집된 화이트리스트는 중앙관리 매니저를 통해 효율적으로 관리 및 배포할 수 있으며, 인증된 프로세스만 감시하기 때문에 PC의 리소스가 적게 소모되는 것 역시 장점이다.

위젯누리 최승환 대표는 다계층 방어를 통해 표적형 랜섬웨어 공격에 대응할 수 있다고 설명했다.

1단계인 소프트웨어 인증은 소프트웨어 실행 시 자동으로 신뢰성을 검증해, 중요 자료 접근을 허용 또는 거부하며, 화이트리스트를 기반으로 파일이 감염되기 전 사전 차단한다.

2단계인 함정 파일 탐지는 랜섬웨어와 같은 악성 소프트웨어만 접근할 수 있는 함정 파일을 생성해 악성 소프트웨어가 이에 접근할 경우 즉시 차단한다.

3단계인 행위 감시는 파일 변조 및 암호화 행위를 감시하며, 불법적인 파일 삭제 및 파일명 변경, 시작프로그램 및 스케줄 등록을 감시한다.