Offcanvas

How To / 검색|인터넷 / 랜섬웨어 / 머신러닝|딥러닝 / 모바일 / 보안 / 악성코드 / 운영체제 / 통신|네트워크

11가지 형태로 진화하는 랜섬웨어, 대응 방법은?

2018.04.03 Michael Nadeau   |  CSO


7. 랜섬웨어 코드 개발 능력이 향상되고 있다
랜섬웨어 개발자의 ‘기술력’이 향상되면서 암호 해독이 갈수록 어려워지고 있다. 바솔뮤는 “암호 해독 도구 생성에 필요한 몇 가지가 있다. 랜섬웨어 개발자는 암호화 프로세스를 개발하면서 실수를 한다. 예를 들면, 키 관리 체계가 적절하지 않거나, 예측 가능한 키 생성 도구를 사용한다”고 이야기했다. 보안 연구원들은 이런 실수에서 랜섬웨어 해독 키를 찾는다.

바솔뮤는 “이런 사례가 적지 않다. 대부분의 랜섬웨어 해커들은 암호화 전문가가 아니다”고 말했다. 그러나 변화가 감지되고 있다. 바솔뮤는 새로운 크라이시스 랜섬웨어 변종 해결을 지원하면서 이런 변화를 확인했다고 언급했다. 그는 “초기 크라이시스의 경우, 해커의 암호화에 ‘허점’이 있었다. 덕분에 해독기를 만들 수 있었다. 그런데 이 허점을 없애, 암호를 해독할 방법이 없었다. 철저히 조사해야 했다”고 설명했다.

8. 랜섬웨어를 미끼로 이용한다
바숄무가 파악한 또 다른 트렌드가 있다. 지난해, 다른 공격을 숨기거나, 단순한 파괴와 방해를 위한 도구로 랜섬웨어를 사용한 사례가 많이 증가했다. 그는 “정치적 주장을 내세우거나 인터넷에 혼란을 초래하기 위해, 또는 다른 장소에 악성코드를 심고자 랜섬웨어를 도구로 사용하는 사례들이 있다”고 말했다.

물론 아직은 사이버범죄자의 가장 큰 동기 부여 요소는 ‘금전적 이득’이다. 센티넬원(SentinelOne)의 조사 결과에 따르면, ‘금전적 이득’이 목적인 랜섬웨어 공격이 전체의 62%에 달한다. 그리고 기업 활동 방해가 목적인 랜섬웨어는 38%이다. 반면 정치적인 의도가 있는 랜섬웨어 공격 비율은 24%에 불과하다. 그러나 바솔뮤는 이것이 바뀔 것을 우려하고 있다. 그는 “선을 넘은 몇몇 해커들이 있다. 선을 넘었으니, 상황이 악화될 것이 분명하다. 이런 기법을 도입해 활용하는 해커들이 증가할 것이다”고 전망했다. 그는 파일을 해독할 방법이 없었던 일련의 워너크라이(WannaCry) 공격이 여기에 해당된다고 밝혔다.

뉴스에서 파괴적인 랜섬웨어 공격의 배후로 자주 거론되는 두 그룹은 이란이나 북한같이 국가가 배후인 해커 집단, 또는 핵티비스트 집단일 확률이 높다. 바솔뮤는 “고등학생 해커가 할 수 있는 일이 아니다. 이런 파괴적인 공격에는 취약점이 필요하다”고 설명했다. 그는 패치가 존재하지 않는 취약점을 이용한 워너크라이 공격이 있다면서, “처음에는 이런 공격의 확산을 막을 방법이 없다”고 말했다.

이런 종류의 랜섬웨어로부터 자신을 보호하는 유일한 방법은 적절히 보안 ‘위생’을 유지하고, 사용자를 대상으로 랜섬웨어를 교육하고, 적절한 백업과 복구 프로세스를 구축해 활용하는 방법뿐이다. 일부 회사들은 사용자 시스템에 하드 드라이브가 없어, 가상 시스템에 로그인해야 하는 씬 클라이언트를 활용하고 있다. 그는 “가상 시스템이기 때문에 복구하기가 쉽다”고 밝혔다.

9. 최신 OS 대신 구형 OS를 표적으로 삼는다
최신 마이크로소프트 윈도우 10과 애플 맥OS는 구형 OS보다 랜섬웨어 공격 및 침입이 어렵다. 그렇지만 구형 OS가 설치되어 있는데, 패칭이나 업데이트가 미흡한 시스템이 아주 많다.

라바니는 “신형 OS는 '인기’가 없다. 그렇지만 알려진 취약점이 있어 공격이 쉬운 경우는 예외다”고 말했다. 그는 사이버사이트 고객 중에 윈도우 XP 시스템을 랜섬웨어로부터 보호해 달라고 요청하는 고객들이 많다고 언급했다. 그는 “거의 매일 취약점이 존재하는 XP가 설치된 POS시스템을 보호해 달라는 요청을 받고 있다”고 전했다.

10. 네트워크를 수평 이동해 옮겨 다닐 수 있는 새로운 방법을 찾고 있다
라바니는 랜섬웨어가 ‘수평 이동’하는 사례가 급증할 것으로 내다보고 있다. 예를 들어, 사용자가 스타벅스나 호텔에서 모바일 기기를 사용한다고 가정하자. 해커가 감염된 통신 포트를 통해 해당 모바일 기기에 악성코드를 불러와 실행시킬 수 있다. 그는 “이를 출발점으로 네트워크를 ‘횡단’, 기업 서버에 침입할 수 있다. 이런 공격이 증가할 확률이 높다”고 강조했다.

11. 랜섬웨어 공격을 지연시킨다
라바니는 또한 가까운 장래에 이른바 ‘부활절 달걀 산란(Laying of Easter Eggs)’이라는 형태의 공격이 증가할 것으로 전망했다. 랜섬웨어가 시스템을 감염시킨 후, 일정 기간 휴지 기간을 거쳐 활동을 시작하는 공격 형태이다. 그는 “감염된 크리덴셜을 이용, 일정 기간이 경과해야 폭발하는 ‘부활절 달걀(이스터 에그)’ 랜섬웨어를 심는 공격이 증가할 전망이다. 해커는 휴지기 동안 악성코드를 확산시킨다”고 설명했다.

랜섬웨어 공격의 ‘진화’에 대응하는 방법
랜섬웨어가 진화한다고 해서, 랜섬웨어가 전혀 감지할 수 없는 상태가 되는 것은 아니다. 바솔뮤는 카스퍼스키의 새로운 랜섬웨어 공격 전술 대응법을 설명하면서 “이런 랜섬웨어 각각을 알려진 랜섬웨어로 만들고, 이를 감지하는 방법을 개발해야 한다. 분석하고, 동작의 패턴을 파악한 후 감지 방법을 바꿔야 한다. 계속해서 추격해야 한다는 의미다”고 강조했다.

랜섬웨어의 변화와 진화에 맞서 싸우기 위해, 한층 더 데이터에 기반을 둔 접근법을 채택한 랜섬웨어 도구들도 있다. 예를 들어, 쉴드FS(ShieldFS)는 이른바 ‘자가 치유, 랜섬웨어 인식 파일시스템’을 개발했다. 쉴드FS가 지난해 여름 블랙햇 USA에서 발표한 시스템이다. 공개 데이터세트에 기반을 둔 랜섬웨어 감지 모델로 랜섬웨어 동작과 일반 프로세스의 차이를 알려준다. 랜섬웨어를 감지하면, 감염된 파일을 자동으로 감염 전 상태로 복구한다.

쉴드FS는 이탈리아 밀라노 ‘NECSTLab.DEIB’의 연구 프로젝트다. 기술적인 자세한 내용은 링크를 참조한다. 쉴드FS가 블랙햇에서 선보인 워너크라이 대응 데모는 여기 링크를 참조한다.

협업과 커뮤니케이션 수준을 높이는 것도 랜섬웨어 대응에 아주 중요하다. 바솔뮤에 따르면, 카스퍼스키랩은 ‘노 모어 랜섬(No More Ransom!)이라는 프로젝트 출범에 도움을 줬다. 이 프로젝트는 여러 랜섬웨어 암호 해독 도구를 수집해 제공하고 있다. 또한 랜섬웨어 방지와 관련된 조언을 제공하고, 랜섬웨어 범죄가 알려지도록 도움을 주고 있다.

‘노 모어 랜섬’의 중요한 구성 요소 중 하나는 법 집행 기관과의 협력이다. 바솔뮤는 “법 집행 기관이 해커가 공격에 사용한 서버를 압수하면, 여기에서 키를 획득할 수 있다”고 말했다. 서버에 프라이빗 키가 존재하는 경우, 회원들이 이를 웹사이트에서 공개하고, 암호 해독 도구를 만들 수 있다.

일부 업체들은 랜섬웨어의 디지털 서명을 위장하거나 바꾸는 방법으로 감지를 피하는 ‘진화’를 무력화시키기 위해 행동 분석에 초점을 맞추고 있다. 일부는 머신러닝도 활용한다. 알려진 위협에는 효과적이다. 그러나 새로운 랜섬웨어에는 효과적이지 않다. 필요한 데이터가 없기 때문이다.

새로운 위협을 파악, 행동 분석으로 이런 위협을 감지할 수 있는 데이터세트를 구축하고, 이런 데이터세트를 가능한 한 빨리 필요한 사람 모두에게 배포하는 것이 중요한 도전과제이다. 사이버사이트는 랜섬스토퍼(RansomStopper)라는 제품에서 이를 지원하고 있다. 라바니는 “최신 랜섬웨어 변종을 수집, 소프트웨어에서 이를 실행시키는 행동을 파악한다”고 설명했다.

이후 머신러닝으로 각 변종에 대한 머신 기반 솔루션을 만든다. 라바니는 이후 이 솔루션을 페더레이션 클라우드 환경에 배포한다고 설명했다. 이 환경은 사이버사이트 소프트웨어가 실행되는 모든 시스템의 알고리즘을 업데이트시킨다.

머신러닝은 새로운 랜섬웨어 변종 감지에 더 큰 역할을 할 전망이다. 일부는 (기존 버전을 토대로)특정 변종이 다음 버전에서 어떻게 바뀌는지 예측하는 데 머신러닝을 사용하자고 제안한다. 아직은 ‘이론’에 가까운 방법이다. 그러나 머신러닝이 새로운 랜섬웨어 위협 예측과 대응에 도움을 줄 것으로 기대되고 있다. ciokr@idg.co.kr

CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.