[펀글]

 

"랜섬웨어 공방전은 칼과 방패의 싸움."  

 

2017년 전반기 랜섬웨어는 어느 때보다 활발하게 활동했다. 무서운 전파 속도의 워너크라이부터, 특정 업체를 타깃으로 하는 에레베스, 그리고 부팅조차 못하게 하는 페트야 등 다양한 랜섬웨어 공격때문에 컴퓨터 보안에 대한 관심이 커졌다.

 

이러한 흐름에 부응해서 팔로알토 네트웍스는 20일 서울 삼성동 ‘우고스’서 랜섬웨어 예방 및 대응 방안을 발표했다.

팔로알토 네트웍스의 조현석 부장은 “최근 랜섬웨어 공격은 탐지가 어려워 많은 문제를 일으키고 있다.

지난 10년 동안 약 6억 개 이상의 악성코드가 출현했다, 제로데이 취약점 공격이나 Unknown Malware 등 기존의 보안 시스템을 회피하기 위한 형태로 진화했다”고 설명했다.

실제로 최근 사이버 공격들은 대부분 기존의 보안 시스템을 회피하기 위한 형태로 진화하고 있으며, 단순한 해킹 유형의 범주를 벗어나 사이버 공격자들이 전문화 조직화되어 금전적 수익을 목적으로, 수백만 달러 규모의 사이버 범죄를 저지르고 있다. 

 

팔로알토 네트웍스는 “전세계적으로 수집 된 악성코드를 분석한 결과 전 세계 상위 6개 안티바이러스 제품에서 탐지하지 못하는 악성코드 파일이 62.5%에 달한다”고 강조했다. 지능형 멀웨어는 시그니처 기반 보안을 회피 하기 위해, 지능적으로 상황에 적응할 수 있는 멀웨어로 발전한 것이다.

 

실제로 미국에서는 악성 코드가(JavaScript)가 내장된 PDF 파일의 영향으로 대형 마트에 대한 멀웨어 공격으로 고객 카드 정보 4000만 개와 7000만 고객의 개인 정보가 유출된 사례가 있다. 조현석 부장은 “컨텐츠 배포를 위해 필수적인 PDF로 위장한 사이버 공격 사례가 발견됐다. 스크립트는 악성 가능성이 거의 무제한인 감염 백터다”고 강조했다. 그는 “최근 사이버 공격기법은 스피어 피싱부터 워터링 홀까지 다양해지고 있다”고 분석했다. 

 


상반기 국내에도 다양한 랜섬웨어의 공격이 이어졌다.

대표적으로 워너크라이(WannaCryptOr)는 Windows 파일공유(SMB) 취약점을 악용 감염된 시스템의 동일 네트워크 상에 해당 취약점을 가진 시스템들을 연쇄적으로 감염시켰다. 워너크라이는 빠른 감염속도로 전 세계적인 피해를 일으켰다. 다행스럽게 국내에서는 초기 배포 시기에 주말이었다보니 피해가 상대적으로 경미했다.

 

호스팅업체 인터넷나야나도 랜섬웨어에 당했다. 에레베스(Erebus) 랜섬웨어는 2017년 2월 국내서 처음 발견됐다. 처음에는 개인 컴퓨터를 노렸지만, 이후 기업의 상용 서비스를 타깃으로 하는 랜섬웨어로 진화했다. 인터넷나야나의 경우 리눅스 운영 체제에서 동작하는 변종에 큰 피해를 입었다.

 

변종 랜섬웨어는 인터넷나야나 호스팅 서버의 DB, 문서, 사진 등을 암호화하고 해당 웹사이트 접속 시, 위 파일들이 암호화됐다는 내용의 경고를 출력하여 웹서비스 사용을 불가하게 만들었다. 결국 인터넷나야나는 해커와 협상을 통해 돈을 지불하고 복구에 들어갔으나, 특정 파일은 영구적인 손상으로 100% 복구가 어려운 것으로 알려졌다. 

조 부장은 “인터넷나야나 사태는 랜섬웨어 공격이 윈도우가 아닌 리눅스를 비롯한 다양한 운영체제로 타깃을 넘겨가고 있다는 사실을 보여준다. 거기다 단순한 무작위 공격이 아닌 특정 업체를 대상으로 사이버 공격을 강행해 피해가 커지고 있다”고 경고했다. 

 


상대적으로는 덜 유명하지만 꾸준하게 활동하고 있는 비너스락커(VenusLocker)도 있었다.

비너스락커는 스피어 피싱형태로 국내 주요기관 및 기업을 대상으로 유포, 메일에 첨부된 악성 파일을 실행하도록 유도했다.

연말에는 ‘2016년 연말정산 안내’을 보내거나, 경찰청을 사칭하여 교통위반 과태료 부과 고지서를 보내는 등 다양한 사례가 발견됐다.

 

막강한 파괴력의 페트야(Petya) 랜섬웨어도 있었다.

페트야 랜섬웨어는 파일 뿐만 아니라 MBR을 암호화하여 정상 부팅까지 방해했다.

페트야는 워너크라이처럼 윈도우 상의 취약점을 사용해서 네트워크 상의 대량 감염을 유발했다. 특히 페트야는 다른 랜섬웨어와 달리 해커의 허술한 대응 체계로 인해, 메일이 사용 중지당해 복구키가 받는 것이 불가능했다. 

조 부장은 “랜섬웨어 공방전은 칼과 방패의 싸움이다. 방패를 만들면 그것을 파괴할 칼을 만들고, 날카로운 칼이 있으면 단단한 방패를 만든다”고 비유했다. 팔로알토 네트웍스 코리아의 최원식 지사장은 "랜섬웨어 공격을 막기 위해서는 선제 방어가 필수다. 걸리고 대처하기보다는 미리 막는 것이 중요하다"고 강조했다. 결국 사이버 공격을 막기 위해서는 방심하지 않고 꾸준히 경계하는 자세가 필요할 것으로 보인다.