"허점을 역이용하라"··· 랜섬웨어에 대처하는 참신한 방법

Network World
보안 전문가 웨스턴 헤커가 랜섬웨어 공격을 중도 차단하거나 파일을 보호할 수 있는 몇몇 참신한 방법을 정리해 제시했다.



랜섬웨어 공격을 받았다고 꼭 돈을 내줘야 하는 것은 아니다. 공격을 차단하거나 수습할 시간을 벌거나, 피해를 최소화하는 방안 또한 선택지 중 하나다. 지난주 열린 SBB(Security BSides Boston) 컨퍼런스에서 보안 전문가 웨스턴 헤커는 이렇게 전하며, 하드웨어 차원이나 소프트웨어 차원에서 활용할 수 있는 여러 방법들이 있다고 전했다. 

그는 다양한 변종 랜섬웨어(CryptoLocker, CryptoWall, Locky, SamSam)가 어떻게 작동하는지 연구한 결과, 다음과 같이 대응책들이 가능하다는 점을 발견했다고 밝혔다.

첫 번째 대응책은 랜섬웨어가 설치될 수 있도록 목표물을 감염시키는 드로퍼(dropper)를 역이용하는 것이다. 드로퍼는 목표물이 침투하기 적합한지 테스트하고 장애 요소를 사전에 최대한 제거하는 것이 목적인 악성 프로그램이다.

헤커는 드로퍼 상당수가 감시 소프트웨어를 중단시켜 다시 시작되도록 유도하는 수법을 활용한다면서, 이를 응용할 수 있는 방법이 있다고 설명했다. 드로퍼가 감지할 수 있는 감시 소프트웨어를 사용하되 드로퍼가 차단을 시도했을 때 시스템 블루스크린이 뜨도록 설정하는 것이다. 기업 환경에서는 블루스크린이 발생한 시스템을 IT 부서에 보냄으로써 랜섬웨어 공격을 쉽게 감지할 수 있게 된다. 

두 번째는 실제 시스템을 가상 머신처럼 보이도록 위장하는 방법이다. 헤커에 따르면 랜섬웨어는 공격을 감행하다가 타깃이 가상 머신임을 인지하게 되면 스스로 파괴되도록 설계돼 있다. 가상 머신에 대해 공격이 적발될 수 있는 감시 환경으로 인지하기 때문이다.

이와 관련해 헤커는 구체적인 방법으로 RAM 용량을 이용해 타깃이 된 컴퓨터를 감시 환경처럼 위장하는 방법이 있다고 설명했다. 그에 따르면 랜섬웨어는 목표 컴퓨터에서 RAM을 얼마나 사용할 수 있는지 확인한 후, 1.5GB 이하라면 보안 프로그램에 적발될 수 있는 감시 환경이라고 판단해 공격 활동을 멈추고 흔적을 남기지 않기 위해 스스로 파괴된다.

헤커는 이 밖에 쓸모없는 파일을 암호화하는 데 시간을 낭비하게 만들어 랜섬웨어를 붙잡아 두는 방법도 있다고 소개했다. 랜섬웨어 공격을 완전히 중단시키지는 못 하더라도 적어도 공격을 약화시킴으로써 보안부서에 시간을 벌어주는 방법이라는 설명이다. 

이를 위해서는 우선 USB 타입의 SSD를 구입한 후 실제로는 8GB지만 겉보기에는 256GB처럼 보이도록 위장해야 한다. SSD 안에 파일을 넣은 후 계속해서 덮어써서 존재하지 않는 파일로 만들되 덮어쓴 파일이 리스트에는 남아 있도록 만들면 된다. 이 파일들을 랜섬웨어가 암호화하려고 시도하면, 윈도우 안에서 충돌이 발생해 메모리가 부족해지게 되고, 즉시 보안부서에 상황이 보고된다.

헤커는 앞서 언급한 방법들의 경우 윈도우 7 기기에서만 실험한 것이라고 전하며, 추후 다른 윈도우 버전에서도 진행할 것이라고 밝혔다.

한편 헤커는 랜섬웨어 록키(Locky)의 수법과 그에 대한 대책을 소개했다. 록키는 워드 파일의 추가 백업 파일 등 셰도우 카피를 제거하는 방식으로 공격을 감행한다. "로컬 백업 파일을 삭제해서 돈을 받아내는 것"이다.

헤커에 따르면 이 경우는 파일을 .sys 폴더에 숨기는 방식으로 예방될 수 있다. 랜섬웨어가 파일을 암호화할 때 가장 마지막에 찾아보는 장소가 .sys 폴더이기 때문이다. 이러한 방식으로 암호화를 막거나 공격을 지연시켜 대응 시간을 확보할 수 있다.

또 헤커는 실제 크립토락커를 본 따서 만든 크립토락커 시뮬레이터를 작성해 이용해볼 만하다고 권고했다. 이를 통해 보안팀은 시뮬레이터를 사용해 랜섬웨어가 실제로 회사 기기에 침투했을 때 어디가 취약한지 알 수 있고, 실제 랜섬웨어 공격을 당했을 때 입을 수 있는 피해를 최소화할 수 있다는 설명이다.

그는 이러한 시뮬레이터의 경우 랜섬웨어 공격의 75% 이상을 차지하는 크립토락커, 크립토월, 락커, 삼삼(SAMSAM)을 감안해 작성될 수 있을 것이라고 덧붙였다 . ciokr@idg.co.kr