2016.04.22

선택 여지가 없다... 랜섬웨어 요구에 굴복하는 기업들

Jeremy Kirk | IDG News Service
데이터를 인질로 붙잡고 돌려주는 대가로 돈을 요구하는 사이버 범죄자에게 기업들이 굴복하는 경우가 증가하고 있다. 경찰은 거의 보이지 않는 이들을 붙잡는 데 어려움을 겪는 중이고 기업 입장에선 선택의 여지가 거의 없다.

많은 조직이 당면한 위험을 회피하기 위해 공격자에게 돈을 지불하는 관행은 범죄자를 더욱 공격적으로 만든다.

이는 일종의 비대칭적 전자전투다. 파일을 암호화하고 피해자가 대가를 지불해야 암호화를 풀어주는 랜섬웨어는 조직에게 큰 피해를 입힐 수 있다. 최신 백업을 유지하지 않을 경우 공격자에게 해독 키를 받기 위해 돈을 지불하는 것 외에는 할 수 있는 일이 거의 없다.

랜섬웨어보다 발생 빈도는 상대적으로 낮지만, 피해자가 도난당한 주요 데이터를 자신이 갖고 있다고 주장하면서 요구 조건을 들어주지 않으면 이 데이터를 대중에 공개하겠다고 협박하는 익스토션(extortion) 방식의 위험성도 이에 못지않다. 시간도 촉박하다. 해커들은 보통 기업에게 48시간 내에 결정할 것을 요구하는데 이 시간 안에 어떤 데이터가 실제 도난당했는지 확인하기도 벅차다.

랜섬웨어와 익스토션에 따른 비용은 계산하기 어렵다. 지난해 6월, FBI는 크립토월(CryptoWall) 랜섬웨어 가운데 하나가 미국내 조직에게 1년동안 1,800만 달러의 손실을 입힌 것으로 추산했다. 그러나 한 산업 그룹이 10월 발표한 크립토월(2014년 중반 처음 발견됨)의 추정 총 비용은 이보다 훨씬 더 높은 무려 3억 2,500만 달러에 달한다.

익스토션 비용을 계산하기는 훨씬 더 까다롭다. 기업들이 피해를 입었음을 공개하길 꺼리는 경우가 많기 때문이다. 보안 업체 파이어아이(FireEye)는 민감한 데이터의 공개를 막기 위해 100만 달러 이상을 지불한 기업도 있다고 밝혔다. 다만 이는 특별한 경우이고, 대부분은 이보다 적은 비용이 오간다.

연방 사이버범죄 전담 검사를 거쳐 현재 컴퓨터 포렌식 업체 스트로즈 프라이드버그(Stroz Firedberg)의 사고 대응 부문 책임자인 에린 닐리 콕스는 사건 발생이 너무 많아 경찰력이 따라가기 버거울 정도라고 말했다.

닐리 콕스는 FBI와 비밀경호국이 "많은 경우 사실상 데이터 몸값 지불을 묵인한다"고 말하며, 다만 이것이 회사의 공식적인 입장은 아니라고 강조했다.

공격을 실행하는 조직을 찾기는 어렵다. 이들은 흔적을 감추는 데 능숙하고 암호화된 통화인 비트코인을 요구하기 때문에 지불을 추적하기도 어렵다. 또한 해커들은 사이버 보안 분야에서 미국과 긴밀하게 공조하지 않는 국가에 거주하는 경우가 많아 실제 체포 가능성도 거의 없다.

암호화된 파일의 잠금을 풀기는 거의 불가능하다
사이버 위협에 대한 정보를 수집하는 인포아머(InfoArmor) CIO 앤드류 코마로프는 "암호화 해독은 아주 어려운 문제"라고 말했다.



인포아머는 랜섬웨어를 조종하는 데 사용되는 컴퓨터 네트워크에 침투하는 방법으로 랜섬웨어를 무력화시킨 적이 몇 차례 있다. 코마로프는 크립토로커(CryptoLocker)라는 랜섬웨어를 배포하는 데 사용되는 중앙 지휘 네트워크 내에서 취약점이 발견되기도 했다고 말했다.

인포아머 보고서에 따르면, 연구원들은 이 취약점을 통해 수천 개 피해 기업이 몸값을 지불한 것으로 나타나게끔 하는 명령을 전송해 암호화된 데이터가 해독되도록 했다.

그러나 이렇게 해피 엔딩으로 마무리되는 일은 드물다. 가장 잘 알려진 랜섬웨어 사고는 의료 기관을 대상으로 한 사건이다. 로스엔젤리스에 위치한 할리우드 프레스비테리언 메디컬 센터(Hollywood Presbyterian Medical Center)는 파일 해독을 위해 40비트코인(약 1만 7,000달러)을 지불했다.

할리우드 프레스비테리언 사장이자 CEO인 앨런 스테파넥은 "몸값 지불이 정상 운영으로 돌아가기 위한 최선의 방법이었다"고 말했다.

보안 전문 블로거 브라이언 크렙스에 따르면, 4주 후 켄터키 주 헨더슨의 메소디스트 호스피탈(Methodist Hospital) 시스템이 록키(Locky)라는 랜섬웨어에 감염됐다. 현지 언론 보도에 따르면 이 병원은 시스템 복원에 성공한 덕분에 몸값을 지불하지는 않았다.

랜섬웨어와 익스토션은 다른 사이버 범죄에 비해 공격자에게 유리하다. 데이터를 훔친 다음 지하 포럼에서 구매자를 찾아 위험한 거래를 할 필요 없이 취약한 피해자에게 접근해 직접 돈을 받을 수 있다.

크라우드스트라이크(Crowdstrike) CEO 드미트리 알페로비치는 "데이터를 무기로 생각하는 경우가 증가하고 있다"면서, "소니를 공격한 북한의 경우가 확실한 그 예"라고 말했다.

이들은 소니 픽처스에 북한 지도자인 김정은을 모욕하는 장면이 담긴 영화를 개봉하지 말 것을 요구했고 이후 소니 픽처스를 공격해 수GB 분량의 민감한 내부 데이터를 공개하고 컴퓨터를 파괴했다. 미국 정부는 공격 발생 직후 공격의 진원지로 북한을 지목했다.

몸값 지불은 불안정한 방법이며 부작용도 존재한다
보안 블로그를 운영하는 로만 허시는 지난 달 랜섬웨어 캠페인과 연계된 전 세계의 서버를 카탈로그화하는 도구인 랜섬웨어 트래커를 출범했다. 허시는 많은 사람이 피해자가 되는 것을 목격한 후 이 트래커를 만들기로 결심했다고 한다.

허시는 "최선의 방법은 자주 백업하고 절대 몸값을 지불하지 않는 것이다. 몸값을 지불하면 범죄자의 사이버 범죄와 이들이 앞으로 범죄를 저지르는 데 사용할 인프라에 자금을 대고 공격자들에게 계속 공격할 동기를 부여하는 격"이라고 말했다.

허시의 저항 전략이 궁극적으로 해결책이 될 수도 있겠지만 이를 위해서는 많은 조직이 극심한 피해를 감수해야 한다.

파이어아이의 COO이자 맨디언트(Mandiant)의 설립자인 케빈 만디아는 예를 들어 회사 법률 자문의 이메일이 유출되었다면 몸값 지불을 거절한다는 것은 곧 큰 위험과 곤란한 상황을 의미할 수 있다고 말했다. 만디아는 최근 인터뷰에서 "달리 무슨 방법이 있겠는가? 지불하지 않으면 그 대가는 혹독하다"고 말했다.

랜섬웨어와 익스토션의 증가는 미국 결제 카드의 보안 개선에 따른 결과일 가능성이 높다. 훔친 카드 정보를 통해 돈을 벌기가 갈수록 어려워지자 공격자들은 더 쉬운 현금 창출 방법을 찾은 것이다.

파이어아이는 국가가 후원하는 사이버 첩보전에 사용되는 해킹 도구와 인프라 중 일부가 현재 익스토션에 사용되고 있다면서 숙련된 해커에게는 이것이 쉬운 돈벌이 수단이 될 수 있다고 전했다.

만디아는 "러시아와 중국의 범죄 조직과 단체들은 해킹 기술을 갖고도 카드 데이터로 더 이상 쉽게 돈을 벌 수 없게 되자 그냥 갈취하자는 생각을 하게 된 것"이라고 말했다.

미국 사법부는 3월 22일 바샤르 알 아사드 대통령을 지원하는 다년간의 해킹 캠페인을 실행한 단체인 시리안 일렉트로닉 아미(Syrian Electronic Army)의 구성원 3명에 대한 처벌 내용을 공개했다.

이 가운데 2명은 14명의 미국 및 해외 피해자의 시스템을 해킹한 다음 이를 손상시키거나 훔친 데이터를 팔겠다고 협박한 갈취 혐의에 대해서도 기소됐다. 피해자 중에는 중국 온라인 게임 업체, 영국 웹 호스팅 업체와 온라인 미디어 업체 등이 포함됐다.

고발장에 따르면 이들은 모두 합쳐 50만 달러 이상을 요구했지만 많은 경우 협상을 거쳐 요구 금액을 낮췄다.

크라우드스트라이크의 알페로비치는 "이 가운데 일부는 인질 협상과 비슷한 양상으로 진행됐다. 범죄자와 대화를 하면서 행동을 지연시키고 시간을 벌 수 있다"고 말했다. 알페로비치는 "그러나 도둑을 상대할 때 확실한 방법이란 존재하지 않는다"고 말했다. editor@itworld.co.kr



2016.04.22

선택 여지가 없다... 랜섬웨어 요구에 굴복하는 기업들

Jeremy Kirk | IDG News Service
데이터를 인질로 붙잡고 돌려주는 대가로 돈을 요구하는 사이버 범죄자에게 기업들이 굴복하는 경우가 증가하고 있다. 경찰은 거의 보이지 않는 이들을 붙잡는 데 어려움을 겪는 중이고 기업 입장에선 선택의 여지가 거의 없다.

많은 조직이 당면한 위험을 회피하기 위해 공격자에게 돈을 지불하는 관행은 범죄자를 더욱 공격적으로 만든다.

이는 일종의 비대칭적 전자전투다. 파일을 암호화하고 피해자가 대가를 지불해야 암호화를 풀어주는 랜섬웨어는 조직에게 큰 피해를 입힐 수 있다. 최신 백업을 유지하지 않을 경우 공격자에게 해독 키를 받기 위해 돈을 지불하는 것 외에는 할 수 있는 일이 거의 없다.

랜섬웨어보다 발생 빈도는 상대적으로 낮지만, 피해자가 도난당한 주요 데이터를 자신이 갖고 있다고 주장하면서 요구 조건을 들어주지 않으면 이 데이터를 대중에 공개하겠다고 협박하는 익스토션(extortion) 방식의 위험성도 이에 못지않다. 시간도 촉박하다. 해커들은 보통 기업에게 48시간 내에 결정할 것을 요구하는데 이 시간 안에 어떤 데이터가 실제 도난당했는지 확인하기도 벅차다.

랜섬웨어와 익스토션에 따른 비용은 계산하기 어렵다. 지난해 6월, FBI는 크립토월(CryptoWall) 랜섬웨어 가운데 하나가 미국내 조직에게 1년동안 1,800만 달러의 손실을 입힌 것으로 추산했다. 그러나 한 산업 그룹이 10월 발표한 크립토월(2014년 중반 처음 발견됨)의 추정 총 비용은 이보다 훨씬 더 높은 무려 3억 2,500만 달러에 달한다.

익스토션 비용을 계산하기는 훨씬 더 까다롭다. 기업들이 피해를 입었음을 공개하길 꺼리는 경우가 많기 때문이다. 보안 업체 파이어아이(FireEye)는 민감한 데이터의 공개를 막기 위해 100만 달러 이상을 지불한 기업도 있다고 밝혔다. 다만 이는 특별한 경우이고, 대부분은 이보다 적은 비용이 오간다.

연방 사이버범죄 전담 검사를 거쳐 현재 컴퓨터 포렌식 업체 스트로즈 프라이드버그(Stroz Firedberg)의 사고 대응 부문 책임자인 에린 닐리 콕스는 사건 발생이 너무 많아 경찰력이 따라가기 버거울 정도라고 말했다.

닐리 콕스는 FBI와 비밀경호국이 "많은 경우 사실상 데이터 몸값 지불을 묵인한다"고 말하며, 다만 이것이 회사의 공식적인 입장은 아니라고 강조했다.

공격을 실행하는 조직을 찾기는 어렵다. 이들은 흔적을 감추는 데 능숙하고 암호화된 통화인 비트코인을 요구하기 때문에 지불을 추적하기도 어렵다. 또한 해커들은 사이버 보안 분야에서 미국과 긴밀하게 공조하지 않는 국가에 거주하는 경우가 많아 실제 체포 가능성도 거의 없다.

암호화된 파일의 잠금을 풀기는 거의 불가능하다
사이버 위협에 대한 정보를 수집하는 인포아머(InfoArmor) CIO 앤드류 코마로프는 "암호화 해독은 아주 어려운 문제"라고 말했다.



인포아머는 랜섬웨어를 조종하는 데 사용되는 컴퓨터 네트워크에 침투하는 방법으로 랜섬웨어를 무력화시킨 적이 몇 차례 있다. 코마로프는 크립토로커(CryptoLocker)라는 랜섬웨어를 배포하는 데 사용되는 중앙 지휘 네트워크 내에서 취약점이 발견되기도 했다고 말했다.

인포아머 보고서에 따르면, 연구원들은 이 취약점을 통해 수천 개 피해 기업이 몸값을 지불한 것으로 나타나게끔 하는 명령을 전송해 암호화된 데이터가 해독되도록 했다.

그러나 이렇게 해피 엔딩으로 마무리되는 일은 드물다. 가장 잘 알려진 랜섬웨어 사고는 의료 기관을 대상으로 한 사건이다. 로스엔젤리스에 위치한 할리우드 프레스비테리언 메디컬 센터(Hollywood Presbyterian Medical Center)는 파일 해독을 위해 40비트코인(약 1만 7,000달러)을 지불했다.

할리우드 프레스비테리언 사장이자 CEO인 앨런 스테파넥은 "몸값 지불이 정상 운영으로 돌아가기 위한 최선의 방법이었다"고 말했다.

보안 전문 블로거 브라이언 크렙스에 따르면, 4주 후 켄터키 주 헨더슨의 메소디스트 호스피탈(Methodist Hospital) 시스템이 록키(Locky)라는 랜섬웨어에 감염됐다. 현지 언론 보도에 따르면 이 병원은 시스템 복원에 성공한 덕분에 몸값을 지불하지는 않았다.

랜섬웨어와 익스토션은 다른 사이버 범죄에 비해 공격자에게 유리하다. 데이터를 훔친 다음 지하 포럼에서 구매자를 찾아 위험한 거래를 할 필요 없이 취약한 피해자에게 접근해 직접 돈을 받을 수 있다.

크라우드스트라이크(Crowdstrike) CEO 드미트리 알페로비치는 "데이터를 무기로 생각하는 경우가 증가하고 있다"면서, "소니를 공격한 북한의 경우가 확실한 그 예"라고 말했다.

이들은 소니 픽처스에 북한 지도자인 김정은을 모욕하는 장면이 담긴 영화를 개봉하지 말 것을 요구했고 이후 소니 픽처스를 공격해 수GB 분량의 민감한 내부 데이터를 공개하고 컴퓨터를 파괴했다. 미국 정부는 공격 발생 직후 공격의 진원지로 북한을 지목했다.

몸값 지불은 불안정한 방법이며 부작용도 존재한다
보안 블로그를 운영하는 로만 허시는 지난 달 랜섬웨어 캠페인과 연계된 전 세계의 서버를 카탈로그화하는 도구인 랜섬웨어 트래커를 출범했다. 허시는 많은 사람이 피해자가 되는 것을 목격한 후 이 트래커를 만들기로 결심했다고 한다.

허시는 "최선의 방법은 자주 백업하고 절대 몸값을 지불하지 않는 것이다. 몸값을 지불하면 범죄자의 사이버 범죄와 이들이 앞으로 범죄를 저지르는 데 사용할 인프라에 자금을 대고 공격자들에게 계속 공격할 동기를 부여하는 격"이라고 말했다.

허시의 저항 전략이 궁극적으로 해결책이 될 수도 있겠지만 이를 위해서는 많은 조직이 극심한 피해를 감수해야 한다.

파이어아이의 COO이자 맨디언트(Mandiant)의 설립자인 케빈 만디아는 예를 들어 회사 법률 자문의 이메일이 유출되었다면 몸값 지불을 거절한다는 것은 곧 큰 위험과 곤란한 상황을 의미할 수 있다고 말했다. 만디아는 최근 인터뷰에서 "달리 무슨 방법이 있겠는가? 지불하지 않으면 그 대가는 혹독하다"고 말했다.

랜섬웨어와 익스토션의 증가는 미국 결제 카드의 보안 개선에 따른 결과일 가능성이 높다. 훔친 카드 정보를 통해 돈을 벌기가 갈수록 어려워지자 공격자들은 더 쉬운 현금 창출 방법을 찾은 것이다.

파이어아이는 국가가 후원하는 사이버 첩보전에 사용되는 해킹 도구와 인프라 중 일부가 현재 익스토션에 사용되고 있다면서 숙련된 해커에게는 이것이 쉬운 돈벌이 수단이 될 수 있다고 전했다.

만디아는 "러시아와 중국의 범죄 조직과 단체들은 해킹 기술을 갖고도 카드 데이터로 더 이상 쉽게 돈을 벌 수 없게 되자 그냥 갈취하자는 생각을 하게 된 것"이라고 말했다.

미국 사법부는 3월 22일 바샤르 알 아사드 대통령을 지원하는 다년간의 해킹 캠페인을 실행한 단체인 시리안 일렉트로닉 아미(Syrian Electronic Army)의 구성원 3명에 대한 처벌 내용을 공개했다.

이 가운데 2명은 14명의 미국 및 해외 피해자의 시스템을 해킹한 다음 이를 손상시키거나 훔친 데이터를 팔겠다고 협박한 갈취 혐의에 대해서도 기소됐다. 피해자 중에는 중국 온라인 게임 업체, 영국 웹 호스팅 업체와 온라인 미디어 업체 등이 포함됐다.

고발장에 따르면 이들은 모두 합쳐 50만 달러 이상을 요구했지만 많은 경우 협상을 거쳐 요구 금액을 낮췄다.

크라우드스트라이크의 알페로비치는 "이 가운데 일부는 인질 협상과 비슷한 양상으로 진행됐다. 범죄자와 대화를 하면서 행동을 지연시키고 시간을 벌 수 있다"고 말했다. 알페로비치는 "그러나 도둑을 상대할 때 확실한 방법이란 존재하지 않는다"고 말했다. editor@itworld.co.kr

X