본문 바로가기
etc

[카스퍼스키 이용고객 랜섬웨어 문의 결과 처리]

by (주)엠플 2015. 7. 21.

랜섬웨어는 어떤 방식으로 공격을 합니까?

 

랜섬웨어 공격은 보통 이메일을 통해 이루어집니다. 이메일에는 실행 파일, 압축 파일, 또는 이미지 등이 첨부되어 있습니다. 첨부 파일을 열면 악성 코드가 사용자 시스템에 배포됩니다. 또는 사용자의 컴퓨터에서 악성 코드를 심어 놓은 웹사이트를 방문했을 때 랜섬웨어가 실행되기도 합니다. 사용자가 이런 사이트에 들어가서, 링크를 클릭하거나 파일을 다운로드하는 등의 방식으로 안전하지 않은 스크립트를 알지 못한 채 실행하면 악성 코드가 시스템에 감염됩니다.

 

사용자 컴퓨터가 감염된다고 해서 바로 가시적인 현상이 일어나지는 않습니다. 이 악성 코드는 시스템 또는 데이터 잠금 메커니즘이 구축되고 연계될 때까지 백그라운드에서 조용히 동작합니다. 사이버 범죄자는 눈에 띄지 않게 동작할 수 있는 랜섬웨어를 점점 더 능숙하게 개발하고 있으며, 랜섬웨어가 피해자에게 발각되지 않도록 하는 많은 도구와 기술을 자유자재로 사용합니다. 그러다가 대화 상자가 나타나 사용자에게 데이터가 잠겼음을 알리고 데이터에 액세스하려면 몸값을 지불하라고 요구합니다.

 

사용자가 이 대화 상자를 봤을 때는 보안 대응책으로 데이터를 보존하기에는 이미 너무 늦어버린 상황입니다. 사이버 범죄자가 이러한 공격을 통해 요구하는 금액은 천차만별이며, 우리가 목격한 바로는 피해자 데이터에 걸린 암호를 해독하는 데 수백 때로는 수천 달러에 이르는 금액을 요구하기도 합니다.

 

 

랜섬웨어 공격 사례를 말씀해 주시겠습니까?

 

TorLocker를 예로 들어보겠습니다. 이 랜섬웨어는 해독이 거의 불가능에 가까운 암호화 메커니즘인 256비트 AES 키를 사용해 데이터 섹션을 복호화한 뒤 사용자 시스템에서 이를 실행하여 감염을 시작합니다.

 

이 키의 첫 4 바이트는 고유 샘플 ID로 사용되며, 암호화된 파일의 끝에 추가됩니다. 그리고 나서 악성 코드가 임시 폴 더에 복사되고, 그 복사 파일을 자동으로 실행하는 레지스트리 키가 생성됩니다. 이후 이 악성 소프트웨어의 동작 순서는 다음과 같습니다.

 

1. taskmgr.exe, regedit.exe, procexp.exe 및 procexp64.exe 프로세스를 찾아서 종료합니다.

 

2. 모든 시스템 복구 포인트를 삭제합니다.

 

3. 사용자의 하드 디스크 및 네트워크 드라이브에 있는 Office 문서, 비디오 및 오디오 파일, 이미지, 압축 파일, 데이터베이스, 백업 복사본, 가상 컴퓨터의 암호화 키, 인증서 및 기타 파일 모두를 암호화합니다.

 

4. 데이터 복호화를 원하면 몸값을 지불하라고 요구하는 대화 상자를 실행합니다.

문제는 TorLocker가 시스템마다 각기 고유한 방식으로 감염된다는 것입니다. 따라서 한 데이터를 복호화하는 키가 발견되었다 해도 그 키는 다른 시스템의 데이터 복호화에는 쓸 수가 없습니다.

사이버 범죄자는 돈을 지불하고 데이터 복호화 키를 받을 수 있는 특정 시한(보통 72시간)을 사용자에게 제시합니다. 이들은 대개 다양한 지불 방법을 제안하는데, 여기에는 비트코인이나 타사 사이트를 통한 결제 등이 포함됩니다.

 

 

기업에 대한 랜섬웨어 공격이 증가하고 있습니까?

 

그렇습니다. 조직이 몸값을 지불할 가능성이 더 높다는 것을 사이버 범죄자들이 인지했기 때문입니다. 보통 포획한 데이터가 사업 지속에 민감하고 중요하니까요.

사이버 범죄자들은 피해자들이 대개 자신의 파일을 되찾기 위해 돈을 지불할 의사가 있음을 깨닫고 있고, 랜섬웨어 및 그 변종 악성 코드는 갈수록 확산되며 정교해지고 있습니다. 예를 들어, 처음 등장한 암호화 악성 코드는 대칭 키 알고리즘을 사용했고 암호화 및 복호화 키가 동일했습니다. 이 경우 보통 백신 업체의 도움을 조금 받으면 손실된 정보를 성공적으로 해독할 수 있었습니다. 그러다가 사이버 범죄자들이 비대칭 암호 알고리즘을 구현하기 시작했는데, 이 알고리즘은 파일 암호화용 공개 키와 복호화용 개인 키가 다릅니다.

앞서 언급한 CryptoLocker 트로이목마는 가장 최근에 출현한 가장 위험한 랜섬웨어 중 하나로, 공개 키 알고리즘을 사용합니다. 이 랜섬웨어에 감염된 컴퓨터는 명령통제 서버에 접속해 공개 키를 다운로드하며,

다른 개인 키는 CryptoLocker의 작성자만 액세스할 수 있게 됩니다. 보통 피해자는 이 개인 키가 영원히 삭제되기 전 에 몸값을 지불할 수 있는 최대 72시간의 말미를 얻게 됩니다. 이 키 없이 파일을 복호화할 수 있는 방법은 없습니다.

 

 

시스템이 이미 감염된 경우 어떻게 해야 합니까?

 

불행하게도, 적절한 백업이나 예방 기술이 없는 상태에서 랜섬웨어가 실행되면 사용자가 할 수 있는 것은 거의 없습니다.

 

 

그러나 때로는 몸값을 지불하지 않고도 랜섬웨어로 잠긴 데이터를 복호화하는 도움을 받을 있습니다. Kaspersky Lab 최근 네덜란드 국립 고급기술범죄 경찰수사대와 협력하여 CoinVault 랜섬웨어 피해자를 위한 복호화 키 저장소 및 복호화 애플리케이션을 만들었습니다.

 

또한 피해를 당한 후에 암호화된 데이터를 고칠 수 있다고 주장하는 신뢰할 수 없는 소프트웨어를 인터넷에서 찾아 사용하는 것은 피해야 합니다. 이런 소프트웨어는 쓸모 없는 솔루션일 뿐이며 최악의 경우 이 소프트웨어 자체가 또 다른 악성 코드일 수도 있습니다.

 

 

공격 당한 기업은 몸값을 지불해야 합니까?

 

기업은 데이터에 높은 가치를 두기 때문에, 많은 경우 돈을 지불해서 데이터를 찾기를 원합니다.

켄트대 사이버 보안 협동연구소의 2014년 2월 설문 조사에 따르면 CryptoLocker 피해 회사의 40% 이상이 지불에 동의했습니다.

CryptoLocker의 경우 수만 대의 컴퓨터를 감염시켰고 배후의 사이버 범죄자들은 수백만 달러의 수익을 올렸습니다. 뿐만 아니라 Dell SecureWorks 보고서에 따르면 동일한 악성 코드가 100일마다 최대 3천만 달러를 벌어들이고 있는 것으로 나타났습니다.

하지만 몸값 지불은 현명하지 못한 일입니다. 가장 큰 이유는 지불한다고 해서 손상된 데이터가 복호화될지 확실치 않기 때문입니다. 또한 회사가 몸값을 지불하기로 결정한다고 해도 많은 것들이 잘못될 가능성이 있습니다. 그 예로 악성 코드 자체 버그로 인한 암호화 데이터 복구 불능, 시스템 관리자의 조치로 인한 데이터 복구 불능, IT 인프라 손상 및/또는 정지 시간, 정보 손실로 인한 법적 파장, 협력 회사 및 소비자와의 관계 손상 등을 들 수 있습니다.

또 몸값을 지불하면 이는 랜섬웨어가 효과적이라는 것을 사이버 범죄자에게 입증해주는 셈이 됩니다. 결과적으로, 사이버 범죄자들은 시스템을 악용하는 새로운 방법을 계속 찾아낼 것이고 몸값을 지불한 개인 사용자 및 회사를 노리고 추가 감염을 시도하게 될 것입니다.

 

 

댓글