2015.08.10

랜섬웨어의 다음 공격 대상은 IoT... 시만텍 보고서

Maria Korolov | CSO
사물인터넷의 성장이 사이버범죄자들에게 새로운 기회를 제공한다는 주장이 제기됐다.



시만텍이 6일 발표한 보고서에 따르면, 기존 안드로이드 램섬웨어인 안드로이드.심플로커(Android.Simplocker)를 새로운 안드로이드 웨어 프로젝트(Android Wear project) 안에 들어갔으며, 스마트폰이 감염되면 그것과 연결된 스마트워치까지도 위험해질 수 있는 것으로 나타났다. 일단 실행되면 랜섬웨어는 스마트워치를 사용할 수 있게 만들었고 스마트워치 내 SD카드에 저장된 파일들도 암호화시켰다.

연구원들은 이러한 종류의 랜섬웨어 사례를 보지 못했다고 말했다.

시만텍의 연구원 케빈 새비지에 따르면, 특정 악성코드의 확산이 최고조에 달하는 2~3년에 한번씩 사이버범죄자들은 새로운 유형의 약성코드로 바꾼다.

"이러한 패턴은 암호화 랜섬웨어의 성장이 정점에 도달했거나 정점에 가까워지고 있음을 보여준다. 이는 감소기에 접어들기 전에 정체기가 있을 수 있음을 의미한다”고 그는 설명했다.

이로 인해 법 집행 기관이나 국제법과 금융 규제 변화로 단속을 증가시킬지도 모른다고 그는 말했다.

또 노스이스턴대학 사어버보안 교수이자 보안 업체인 래스트라인(Lastline)의 공동창업자 겸 수석 아키텍트인 엔긴 커다는 “일반적으로 생각하는 것만큼 랜섬웨어로부터 보호하기 어렵지 않을 수 있다”고 밝혔다.

커다는 6일 랜섬웨어 샘플 1,359개를 분석했는데 사용자 데스크톱을 감염시켰지만 그 안에 저장된 파일을 전혀 건드리지 않은 게 61%였으며 실제 디스크에서 데이터를 제거하지 않고 파일을 삭제한 것은 35%였다. 약 5%는 암호화를 사용했다”고 전했다.

그러나 크립토월(Cryptowall)과 크림토로커(Cryptolocker) 등 암호 기반 랜섬웨어의 가장 효과적인 점은 윈도우에 내장된 강력한 암호화를 사용한다는 점이다. 이는 IT관리자가 암호화 라이브러리에 대한 접근처럼 특이한 행동을 모니터링할 수 있음을 의미한다.

게다가 모든 랜섬웨어에는 또다른 약점이 있다고 커다는 말했다. 랜섬웨어는 신속하게 암호화하거나 삭제하기 위해 백그라운드에서 파일을 찾는 동안 사용자에게 돈을 달라는 메시지를 전달해야 한다고 커다는 덧붙였다.


랜섬웨어가 나타나는 행동은 매우 예측 가능하다. 랜섬웨어는 최대한 빨리 사람들을 감염시켜 돈을 요구하는 것을 목표로 하고 있다”고 그는 말했다.
 
최신 바이러스 백신 소프트웨어는 랜섬웨어를 잘 잡지 못하지만, 행동 기반 기술은 좀더 효과적일 수 있다고 커다는 전했다. "우리는 이를 완화시키기 위해 더 잘 일할 수 있어야 한다"고 그는 이어서 말했다.

"이는 랜섬웨어가 사라지는 것을 의미하는 게 아니다. 그 대신 암호화 랜섬웨어가 2년 안에 부패 단계에 접어들 수 있지만 절대 제로 수준에 도달하지는 않을 수 있다"고 시만텍의 새비지는 전했다. 

범죄 조직이 노리는 새로운 것들은 스마트워치, 스마트TV, 스마트의류, 스마트냉장고, 스마트 잠금 및 인터넷 대응 차량 등 사물인터넷이다.

"이 기기들은 모두 잠재적으로 사이버범죄자가 침투해 돈을 요구할 수 있도록 컴퓨터에 연결돼 있다"고 새비지는 보고서에서 밝혔다. "스마트 하우스 록은 누군가가 당신의 차를 랜섬웨어로 침투해 몇 가지 기능에 손을 대 당신이 돈을 지불할 때까지 작동하지 않게 하거나 속도를 줄이지 않게 할 수 있다. 또 집으로 연결하지 못하도록 할 수 있다. 이런 상황들에 대해 한 번 상상해 보라"고 그는 설명했다.

연구팀은 이동 지프 체로키에 원격으로 접근해 헤드라이트, 핸들, 변속기, 브레이크를 작동하는 것을 보여주며 이러한 네트워크 연결 저장 기기와 같은 일부 기기들은 이미 범죄자들이 노리기 시작했다고 밝혔다.

"아직 일어나지 않지만, 그렇게 어려운 일이 아니기 때문에 가까운 미래에 이런 상황을 보게 될 지도 모른다"고 래스트라인의 커다는 말했다. 

일반 소비자들의 IoT 이후에 공격 대상은 산업용 제어 시스템, 병원 등으로 확산될 가능성도 있다고 그는 주장했다. ciokr@idg.co.kr



2015.08.10

랜섬웨어의 다음 공격 대상은 IoT... 시만텍 보고서

Maria Korolov | CSO
사물인터넷의 성장이 사이버범죄자들에게 새로운 기회를 제공한다는 주장이 제기됐다.



시만텍이 6일 발표한 보고서에 따르면, 기존 안드로이드 램섬웨어인 안드로이드.심플로커(Android.Simplocker)를 새로운 안드로이드 웨어 프로젝트(Android Wear project) 안에 들어갔으며, 스마트폰이 감염되면 그것과 연결된 스마트워치까지도 위험해질 수 있는 것으로 나타났다. 일단 실행되면 랜섬웨어는 스마트워치를 사용할 수 있게 만들었고 스마트워치 내 SD카드에 저장된 파일들도 암호화시켰다.

연구원들은 이러한 종류의 랜섬웨어 사례를 보지 못했다고 말했다.

시만텍의 연구원 케빈 새비지에 따르면, 특정 악성코드의 확산이 최고조에 달하는 2~3년에 한번씩 사이버범죄자들은 새로운 유형의 약성코드로 바꾼다.

"이러한 패턴은 암호화 랜섬웨어의 성장이 정점에 도달했거나 정점에 가까워지고 있음을 보여준다. 이는 감소기에 접어들기 전에 정체기가 있을 수 있음을 의미한다”고 그는 설명했다.

이로 인해 법 집행 기관이나 국제법과 금융 규제 변화로 단속을 증가시킬지도 모른다고 그는 말했다.

또 노스이스턴대학 사어버보안 교수이자 보안 업체인 래스트라인(Lastline)의 공동창업자 겸 수석 아키텍트인 엔긴 커다는 “일반적으로 생각하는 것만큼 랜섬웨어로부터 보호하기 어렵지 않을 수 있다”고 밝혔다.

커다는 6일 랜섬웨어 샘플 1,359개를 분석했는데 사용자 데스크톱을 감염시켰지만 그 안에 저장된 파일을 전혀 건드리지 않은 게 61%였으며 실제 디스크에서 데이터를 제거하지 않고 파일을 삭제한 것은 35%였다. 약 5%는 암호화를 사용했다”고 전했다.

그러나 크립토월(Cryptowall)과 크림토로커(Cryptolocker) 등 암호 기반 랜섬웨어의 가장 효과적인 점은 윈도우에 내장된 강력한 암호화를 사용한다는 점이다. 이는 IT관리자가 암호화 라이브러리에 대한 접근처럼 특이한 행동을 모니터링할 수 있음을 의미한다.

게다가 모든 랜섬웨어에는 또다른 약점이 있다고 커다는 말했다. 랜섬웨어는 신속하게 암호화하거나 삭제하기 위해 백그라운드에서 파일을 찾는 동안 사용자에게 돈을 달라는 메시지를 전달해야 한다고 커다는 덧붙였다.


랜섬웨어가 나타나는 행동은 매우 예측 가능하다. 랜섬웨어는 최대한 빨리 사람들을 감염시켜 돈을 요구하는 것을 목표로 하고 있다”고 그는 말했다.
 
최신 바이러스 백신 소프트웨어는 랜섬웨어를 잘 잡지 못하지만, 행동 기반 기술은 좀더 효과적일 수 있다고 커다는 전했다. "우리는 이를 완화시키기 위해 더 잘 일할 수 있어야 한다"고 그는 이어서 말했다.

"이는 랜섬웨어가 사라지는 것을 의미하는 게 아니다. 그 대신 암호화 랜섬웨어가 2년 안에 부패 단계에 접어들 수 있지만 절대 제로 수준에 도달하지는 않을 수 있다"고 시만텍의 새비지는 전했다. 

범죄 조직이 노리는 새로운 것들은 스마트워치, 스마트TV, 스마트의류, 스마트냉장고, 스마트 잠금 및 인터넷 대응 차량 등 사물인터넷이다.

"이 기기들은 모두 잠재적으로 사이버범죄자가 침투해 돈을 요구할 수 있도록 컴퓨터에 연결돼 있다"고 새비지는 보고서에서 밝혔다. "스마트 하우스 록은 누군가가 당신의 차를 랜섬웨어로 침투해 몇 가지 기능에 손을 대 당신이 돈을 지불할 때까지 작동하지 않게 하거나 속도를 줄이지 않게 할 수 있다. 또 집으로 연결하지 못하도록 할 수 있다. 이런 상황들에 대해 한 번 상상해 보라"고 그는 설명했다.

연구팀은 이동 지프 체로키에 원격으로 접근해 헤드라이트, 핸들, 변속기, 브레이크를 작동하는 것을 보여주며 이러한 네트워크 연결 저장 기기와 같은 일부 기기들은 이미 범죄자들이 노리기 시작했다고 밝혔다.

"아직 일어나지 않지만, 그렇게 어려운 일이 아니기 때문에 가까운 미래에 이런 상황을 보게 될 지도 모른다"고 래스트라인의 커다는 말했다. 

일반 소비자들의 IoT 이후에 공격 대상은 산업용 제어 시스템, 병원 등으로 확산될 가능성도 있다고 그는 주장했다. ciokr@idg.co.kr

X