11가지 형태로 진화하는 랜섬웨어, 대응 방법은?

CSO

랜섬웨어 감지∙복구 툴과 기법이 점점 더 발전하고 있다. 그러나 랜섬웨어 개발자도 진화하고 있다. 이들은 랜섬웨어 감지뿐 아니라 암호로 잠근 파일 복구도 더 어렵게 만들고 있다.



그동안 랜섬웨어 대응에서 유리한 점 하나는 예측할 수 있었다는 것이다. 일관되게 동작했기 때문이다. 그래서 보안 도구와 보안 팀이 랜섬웨어를 감지한 후 피해를 최소화할 기회를 줬다. 그런데 랜섬웨어 개발자가 랜섬웨어를 예측하기 더 어렵게 만들고 있다는 신호가 나타나기 시작했다.

카스퍼스키랩 GReAT의 수석 보안 연구원인 브라이언 바솔뮤는 “랜섬웨어는 궁극적으로 단 한 가지 ‘일’을 한다. 파일 시스템을 덮어쓰거나 잠그는 ‘일’이다”고 말했다. 이렇게 데이터를 덮어쓰거나 잠그는 일관된 동작 덕분에 랜섬웨어를 쉽게 감지할 수 있었다. 바솔뮤는 “시스템의 파일을 리스트라고 가정하면, 랜섬웨어는 이 리스트로 이동한 후 모든 것을 암호로 잠그기 시작한다”고 설명했다.

그런데 해커들이 더 똑똑해졌다. 감지를 피하고자 랜섬웨어의 예측 가능한 속성을 바꾸려 하고 있다. 이런 새로운 속임수 가운데 일부를 소개한다.

1. 암호화 프로세스의 속도를 늦춘다
바솔뮤는 “일부 랜섬웨어 개발자들은 랜섬웨어가 한 번에 동작하지 않도록 만들고 있다. 동작을 분산시킨다. 장시간 동작이 발생한다”고 설명했다. 감지 도구의 ‘기준선’ 아래에서 동작하도록 만드는 것이다. 바솔뮤는 “바이러스 백신이 10초라는 시간에 1,000개 파일에 접근하는 동작을 모니터링한다고 가정하자. 랜섬웨어 개발자들은 10초가 아닌 10분 동안 접근하게 만들어 감지를 피하고 있다. 이런 사례가 증가하고 있다”고 말했다. 이렇게 암호화 시간을 장시간으로 분산해 연장될 때 초래되는 큰 위험 중 하나는 백업 파일도 암호화될 수 있다는 것이다.

2. 무작위로 암호화한다
랜섬웨어 개발자들이 사용하고 있는 또 다른 방법은 암호화 및 덮어쓰기 프로세스의 ‘무작위화(임의화)’이다. 이런 방법으로 일관적인 패턴을 찾는 랜섬웨어 방지 도구의 감지를 피한다.

3. 이메일이 아닌 파일로 랜섬웨어를 침입시킨다
지금까지 랜섬웨어 전달에 가장 많이 사용된 방법은 이메일의 악성 링크였다. 그런데 의심이 드는 이메일 링크를 클릭하지 말라는 기업의 사용자 교육이 강화되면서, 일부 랜섬웨어 해커들이 그동안 애용했던 전술을 바꾸기 시작했다. 링크 대신 PDF와 마이크로소프트 워드 같은 문서 첨부 파일, 기타 많이 사용하는 첨부 파일을 사용하는 것이다. 이런 첨부 문서에는 랜섬웨어를 실행시키는 스크립트가 숨겨져 있다.

랜섬웨어 방지 제품을 판매하고 있는 사이버사이트(CyberSight)의 COO 하이더 라바니는 “일반적인 PDF 파일이나 JPEG 사진 파일에 환경에 랜섬웨어를 침입시키는 스크립트가 숨겨진 사례가 늘고 있다. ‘청구서’나 ‘사진’을 위장한 파일이 첨부된 메시지들이다. 이 경우, 많은 사용자가 해당 파일을 클릭해 연다”고 지적했다.

4. 하드 드라이브 코드를 암호화한다
지금까지 설명한 것보다 지독한 방법이 있다. 일부 해커들은 파일이 아닌 하드 드라이브 코드를 표적으로 공격한다. 바솔뮤는 “하드 드라이브 마스터 부트 레코드를 공격하는 사례를 확인했다. 하드 드라이브의 '입구’다. 마스터 부트 레코드를 감염시키면, 전체 파일을 암호화하지 않고도 하드 드라이브를 ‘인질’로 잡을 수 있다”고 설명했다.

5. 다형성 코드를 사용한다
다형성(Polymorphic) 코드를 사용하면 랜섬웨어를 감지하기가 어려워진다. 바솔뮤는 “악성코드가 설치된 인스턴스마다 코드가 바뀐 후 다시 확산된다. 통계적으로 랜섬웨어 파일을 감지하기 어려워진다”고 설명했다.

라바니는 다형성 코드는 15~20초마다 코드가 바뀌며, 이것이 감지를 어렵게 만든다고 말했다. 그는 “랜섬웨어의 서명을 확인하면, 이를 저지하기 쉬워진다. 그러나 코드가 계속 변하면 새 랜섬웨어처럼 보이고, 이 경우 저지하기 어려워진다”고 전했다.
 

---------------------------------------------------------------
랜섬웨어 인기기사
->'이번엔 낫페티야' 세계 곳곳 새 랜섬웨어에 '몸살'
-> 랜섬웨어에 대처하는 6가지 전략
->랜섬웨어 후폭풍··· 최신 패치 적용에 고심하는 CIO·CSO들
-> 2017년 사이버보안의 중요한 5가지 사건·사고·통계
-> 현직 CIO·CSO가 말하는 '사이버 공격 대응 방법'
---------------------------------------------------------------

6. 멀티-스레드 공격을 사용한다
일반적인 랜섬웨어 공격은 암호화를 실행시키는 프로세스가 하나이다. 그러나 멀티-스레드 랜섬웨어의 경우, 주 랜섬웨어 코드가 여러 ‘자녀’ 프로세스를 실행시킨다. 이 경우, 암호화 프로세스의 속도가 빨라지고, 감지 및 저지가 어려워진다. 라바니는 “1~2개는 막을 수 있을지 모르지만, 다른 프로세스가 계속 실행되어 피해를 유발한다. 병행 공격을 저지하기란 매우 어렵다”고 강조했다.

더 심각한 상황도 있다. 멀티-스레드 공격에 다형성 코드가 결합한 형태의 공격이다. 그는 “프로세서와 메모리가 급속도로 압도당하고, 모든 것이 빠르게 나빠진다”고 설명했다.
  


7. 랜섬웨어 코드 개발 능력이 향상되고 있다
랜섬웨어 개발자의 ‘기술력’이 향상되면서 암호 해독이 갈수록 어려워지고 있다. 바솔뮤는 “암호 해독 도구 생성에 필요한 몇 가지가 있다. 랜섬웨어 개발자는 암호화 프로세스를 개발하면서 실수를 한다. 예를 들면, 키 관리 체계가 적절하지 않거나, 예측 가능한 키 생성 도구를 사용한다”고 이야기했다. 보안 연구원들은 이런 실수에서 랜섬웨어 해독 키를 찾는다.

바솔뮤는 “이런 사례가 적지 않다. 대부분의 랜섬웨어 해커들은 암호화 전문가가 아니다”고 말했다. 그러나 변화가 감지되고 있다. 바솔뮤는 새로운 크라이시스 랜섬웨어 변종 해결을 지원하면서 이런 변화를 확인했다고 언급했다. 그는 “초기 크라이시스의 경우, 해커의 암호화에 ‘허점’이 있었다. 덕분에 해독기를 만들 수 있었다. 그런데 이 허점을 없애, 암호를 해독할 방법이 없었다. 철저히 조사해야 했다”고 설명했다.

8. 랜섬웨어를 미끼로 이용한다
바숄무가 파악한 또 다른 트렌드가 있다. 지난해, 다른 공격을 숨기거나, 단순한 파괴와 방해를 위한 도구로 랜섬웨어를 사용한 사례가 많이 증가했다. 그는 “정치적 주장을 내세우거나 인터넷에 혼란을 초래하기 위해, 또는 다른 장소에 악성코드를 심고자 랜섬웨어를 도구로 사용하는 사례들이 있다”고 말했다.

물론 아직은 사이버범죄자의 가장 큰 동기 부여 요소는 ‘금전적 이득’이다. 센티넬원(SentinelOne)의 조사 결과에 따르면, ‘금전적 이득’이 목적인 랜섬웨어 공격이 전체의 62%에 달한다. 그리고 기업 활동 방해가 목적인 랜섬웨어는 38%이다. 반면 정치적인 의도가 있는 랜섬웨어 공격 비율은 24%에 불과하다. 그러나 바솔뮤는 이것이 바뀔 것을 우려하고 있다. 그는 “선을 넘은 몇몇 해커들이 있다. 선을 넘었으니, 상황이 악화될 것이 분명하다. 이런 기법을 도입해 활용하는 해커들이 증가할 것이다”고 전망했다. 그는 파일을 해독할 방법이 없었던 일련의 워너크라이(WannaCry) 공격이 여기에 해당된다고 밝혔다.

뉴스에서 파괴적인 랜섬웨어 공격의 배후로 자주 거론되는 두 그룹은 이란이나 북한같이 국가가 배후인 해커 집단, 또는 핵티비스트 집단일 확률이 높다. 바솔뮤는 “고등학생 해커가 할 수 있는 일이 아니다. 이런 파괴적인 공격에는 취약점이 필요하다”고 설명했다. 그는 패치가 존재하지 않는 취약점을 이용한 워너크라이 공격이 있다면서, “처음에는 이런 공격의 확산을 막을 방법이 없다”고 말했다.

이런 종류의 랜섬웨어로부터 자신을 보호하는 유일한 방법은 적절히 보안 ‘위생’을 유지하고, 사용자를 대상으로 랜섬웨어를 교육하고, 적절한 백업과 복구 프로세스를 구축해 활용하는 방법뿐이다. 일부 회사들은 사용자 시스템에 하드 드라이브가 없어, 가상 시스템에 로그인해야 하는 씬 클라이언트를 활용하고 있다. 그는 “가상 시스템이기 때문에 복구하기가 쉽다”고 밝혔다.

9. 최신 OS 대신 구형 OS를 표적으로 삼는다
최신 마이크로소프트 윈도우 10과 애플 맥OS는 구형 OS보다 랜섬웨어 공격 및 침입이 어렵다. 그렇지만 구형 OS가 설치되어 있는데, 패칭이나 업데이트가 미흡한 시스템이 아주 많다.

라바니는 “신형 OS는 '인기’가 없다. 그렇지만 알려진 취약점이 있어 공격이 쉬운 경우는 예외다”고 말했다. 그는 사이버사이트 고객 중에 윈도우 XP 시스템을 랜섬웨어로부터 보호해 달라고 요청하는 고객들이 많다고 언급했다. 그는 “거의 매일 취약점이 존재하는 XP가 설치된 POS시스템을 보호해 달라는 요청을 받고 있다”고 전했다.

10. 네트워크를 수평 이동해 옮겨 다닐 수 있는 새로운 방법을 찾고 있다
라바니는 랜섬웨어가 ‘수평 이동’하는 사례가 급증할 것으로 내다보고 있다. 예를 들어, 사용자가 스타벅스나 호텔에서 모바일 기기를 사용한다고 가정하자. 해커가 감염된 통신 포트를 통해 해당 모바일 기기에 악성코드를 불러와 실행시킬 수 있다. 그는 “이를 출발점으로 네트워크를 ‘횡단’, 기업 서버에 침입할 수 있다. 이런 공격이 증가할 확률이 높다”고 강조했다.

11. 랜섬웨어 공격을 지연시킨다
라바니는 또한 가까운 장래에 이른바 ‘부활절 달걀 산란(Laying of Easter Eggs)’이라는 형태의 공격이 증가할 것으로 전망했다. 랜섬웨어가 시스템을 감염시킨 후, 일정 기간 휴지 기간을 거쳐 활동을 시작하는 공격 형태이다. 그는 “감염된 크리덴셜을 이용, 일정 기간이 경과해야 폭발하는 ‘부활절 달걀(이스터 에그)’ 랜섬웨어를 심는 공격이 증가할 전망이다. 해커는 휴지기 동안 악성코드를 확산시킨다”고 설명했다.

랜섬웨어 공격의 ‘진화’에 대응하는 방법
랜섬웨어가 진화한다고 해서, 랜섬웨어가 전혀 감지할 수 없는 상태가 되는 것은 아니다. 바솔뮤는 카스퍼스키의 새로운 랜섬웨어 공격 전술 대응법을 설명하면서 “이런 랜섬웨어 각각을 알려진 랜섬웨어로 만들고, 이를 감지하는 방법을 개발해야 한다. 분석하고, 동작의 패턴을 파악한 후 감지 방법을 바꿔야 한다. 계속해서 추격해야 한다는 의미다”고 강조했다.

랜섬웨어의 변화와 진화에 맞서 싸우기 위해, 한층 더 데이터에 기반을 둔 접근법을 채택한 랜섬웨어 도구들도 있다. 예를 들어, 쉴드FS(ShieldFS)는 이른바 ‘자가 치유, 랜섬웨어 인식 파일시스템’을 개발했다. 쉴드FS가 지난해 여름 블랙햇 USA에서 발표한 시스템이다. 공개 데이터세트에 기반을 둔 랜섬웨어 감지 모델로 랜섬웨어 동작과 일반 프로세스의 차이를 알려준다. 랜섬웨어를 감지하면, 감염된 파일을 자동으로 감염 전 상태로 복구한다.

쉴드FS는 이탈리아 밀라노 ‘NECSTLab.DEIB’의 연구 프로젝트다. 기술적인 자세한 내용은 링크를 참조한다. 쉴드FS가 블랙햇에서 선보인 워너크라이 대응 데모는 여기 링크를 참조한다.

협업과 커뮤니케이션 수준을 높이는 것도 랜섬웨어 대응에 아주 중요하다. 바솔뮤에 따르면, 카스퍼스키랩은 ‘노 모어 랜섬(No More Ransom!)이라는 프로젝트 출범에 도움을 줬다. 이 프로젝트는 여러 랜섬웨어 암호 해독 도구를 수집해 제공하고 있다. 또한 랜섬웨어 방지와 관련된 조언을 제공하고, 랜섬웨어 범죄가 알려지도록 도움을 주고 있다.

‘노 모어 랜섬’의 중요한 구성 요소 중 하나는 법 집행 기관과의 협력이다. 바솔뮤는 “법 집행 기관이 해커가 공격에 사용한 서버를 압수하면, 여기에서 키를 획득할 수 있다”고 말했다. 서버에 프라이빗 키가 존재하는 경우, 회원들이 이를 웹사이트에서 공개하고, 암호 해독 도구를 만들 수 있다.

일부 업체들은 랜섬웨어의 디지털 서명을 위장하거나 바꾸는 방법으로 감지를 피하는 ‘진화’를 무력화시키기 위해 행동 분석에 초점을 맞추고 있다. 일부는 머신러닝도 활용한다. 알려진 위협에는 효과적이다. 그러나 새로운 랜섬웨어에는 효과적이지 않다. 필요한 데이터가 없기 때문이다.

새로운 위협을 파악, 행동 분석으로 이런 위협을 감지할 수 있는 데이터세트를 구축하고, 이런 데이터세트를 가능한 한 빨리 필요한 사람 모두에게 배포하는 것이 중요한 도전과제이다. 사이버사이트는 랜섬스토퍼(RansomStopper)라는 제품에서 이를 지원하고 있다. 라바니는 “최신 랜섬웨어 변종을 수집, 소프트웨어에서 이를 실행시키는 행동을 파악한다”고 설명했다.

이후 머신러닝으로 각 변종에 대한 머신 기반 솔루션을 만든다. 라바니는 이후 이 솔루션을 페더레이션 클라우드 환경에 배포한다고 설명했다. 이 환경은 사이버사이트 소프트웨어가 실행되는 모든 시스템의 알고리즘을 업데이트시킨다.

머신러닝은 새로운 랜섬웨어 변종 감지에 더 큰 역할을 할 전망이다. 일부는 (기존 버전을 토대로)특정 변종이 다음 버전에서 어떻게 바뀌는지 예측하는 데 머신러닝을 사용하자고 제안한다. 아직은 ‘이론’에 가까운 방법이다. 그러나 머신러닝이 새로운 랜섬웨어 위협 예측과 대응에 도움을 줄 것으로 기대되고 있다. ciokr@idg.co.kr