랜섬웨어란? | 랜섬웨어의 의미

랜섬웨어란?

랜섬웨어는 파일을 잠그고 랜섬을 요구하는 악의적 소프트웨어입니다. 랜섬웨어는 전체 네트워크에서 빠르게 확산될 수 있으며, 감염이 다른 조직에 속한 여러 네트워크에 걸쳐 이동하는 경우도 있습니다. 랜섬웨어를 제어하는 개인이나 그룹은 피해자가 랜섬을 지급해야만 파일의 잠금을 해제합니다.

Chuck이 Alice의 노트북을 훔쳐서 금고에 넣고 잠근 다음 200달러를 내야만 돌려주겠다고 말하는 것을 상상해 보세요. 이것이 본질적으로 랜섬웨어 그룹에서 행동하는 방식입니다. 다만, 물리적으로 노트북을 탈취하여 잠그는 대신 디지털 방식으로 랜섬웨어를 실행하는 것만 다를 뿐입니다.

랜섬웨어 감염을 예방하기 위한 전략에는 모든 파일과 네트워크 트래픽에서 맬웨어 검색, DNS 쿼리 필터링, 브라우저 격리를 이용하여 공격 방지, 정보 보안 모범 사례에 대한 사용자 교육이 포함됩니다.완벽한 랜섬웨어 예방 전략은 없지만, 모든 데이터를 백업해 두면 랜섬웨어 공격을 받더라도 더 빠르게 복구할 수 있습니다.

랜섬웨어는 어떻게 작동할까요?

일반적으로 랜섬웨어 공격은 다음과 같은 기본 단계를 따릅니다.

1. 랜섬웨어는 장치 또는 네트워크에 발판을 마련합니다.
2. 랜섬웨어는 찾아낸 모든 파일을 암호화합니다.
3. 파일 암호화를 해제하려면 결제하라고 요구하는 메시지를 표시합니다.

암호화는 암호화 키를 가지고 있는 당사자 외에는 데이터를 읽을 수 없도록 데이터를 변환하는 과정으로, 암호화 키를 사용하여 암호화를 되돌릴 수 있습니다.암호화를 되돌리는 것을 복호화라고 합니다.

암호화는 항상 합법적인 목적으로 사용되며 인터넷에서 보안 및 개인 정보 보호의 중요한 요소입니다. 그러나 랜섬웨어 그룹은 암호화를 악의적으로 사용하여 파일의 정당한 소유자를 포함하여 누구도 암호화된 파일을 열거나 사용할 수 없도록 만듭니다.

Chuck이 Alice의 노트북을 훔치는 대신 Alice의 파일을 모두 Alice가 읽을 수 없는 언어로 번역한다고 상상해 보세요. 이는 랜섬웨어 상황에서의 암호화와 유사합니다. Alice는 여전히 파일에 액세스는 할 수 있지만 파일을 읽거나 사용할 수는 없습니다. 기본적으로, 파일을 번역할 방법을 찾을 때까지 파일은 손실됩니다.

하지만 언어 번역과 달리 암호화 키가 없으면 데이터를 해독하는 것은 거의 불가능합니다. 공격 당사자는 키를 직접 가지고 있으므로 랜섬을 지급하도록 요구할 영향력이 있습니다.

랜섬 요구의 일반적인 특징

일반적으로 랜섬 요구에는 기한이 정해져 있습니다. 특정 기한 내에 지급하지 않으면 파일이 영구적으로 암호화됩니다. 시간이 지남에 따라 가격이 올라갈 수도 있습니다.

랜섬웨어 그룹은 피해자가 지급한 돈을 추적하기 어렵게 하려고 합니다. 이러한 이유로 이러한 그룹은 종종 암호화폐나 법 집행 기관이 추적하기 어려운 기타 방법으로 지급하도록 요구합니다.

랜섬이 지급되면 공격자는 원격으로 파일을 복호화하거나 피해자에게 복호화 키를 보냅니다. 공격자는 거의 항상 암호화된 데이터를 복호화하거나 랜섬을 지급하면 키를 제공합니다. 데이터 잠금 해제 약속을 이행하는 것은 공격자의 이익에 부합합니다. 이 단계가 없으면 향후 랜섬웨어 피해자들은 랜섬을 지급해도 아무 소용이 없다는 것을 알기 때문에 랜섬 지급을 중단할 것이고 공격자는 돈을 벌지 못하기 때문이죠.

랜섬웨어의 주요 유형은?

• "암호화" 또는 암호화 랜섬웨어: 가장 일반적인 유형입니다.이들은 위에서 설명한 대로 작동합니다.
• 로커 랜섬웨어: 이 유형의 랜섬웨어는 데이터를 암호화하는 대신 단순히 사용자의 장치를 잠급니다.
• 독스웨어: 독스웨어는 중요한 개인 데이터를 복사하고 피해자가 요금을 지급하지 않으면 이를 공개하겠다고 위협합니다.독스웨어는 일반적으로 데이터를 암호화하지 않습니다.

관련 맬웨어 형태는 "스케어웨어"입니다. 스케어웨어는 사용자에게 장치가 맬웨어에 감염되었다고 주장하며 이를 제거하려면 비용을 지급하라는 메시지를 표시합니다. 장치에 설치되면 스케어웨어는 지속적이고 제거하기 어려울 수 있습니다. 스케어웨어는 피해자의 컴퓨터를 잠글 수는 있지만, 일반적으로 랜섬웨어처럼 파일과 데이터를 볼모로 잡지는 않습니다.

랜섬웨어는 어떻게 장치나 네트워크에 침입할까요?

공격자는 랜섬웨어를 유포하기 위해 여러 가지 방법을 사용하지만, "트로이 목마"라는 맬웨어 유형이 가장 널리 사용됩니다. 트로이 목마는 신화에 나오는 트로이 목마가 그리스 군을 위장한 것처럼 다른 존재로 위장한 악의적인 파일입니다. 트로이 목마가 작동하려면 사용자가 트로이 목마를 실행해야 하며, 랜섬웨어 그룹은 여러 가지 방법으로 사용자를 속여 실행하도록 만들 수 있습니다.

• 소셜 엔지니어링.악의적인 파일은 무해한 이메일 첨부 파일로 위장하는 경우가 많으며, 랜섬웨어 조직에서는 대상자를 정하고 수신자가 악의적인 첨부 파일을 열거나 다운로드해야 한다고 생각하도록 유도하는 이메일을 보냅니다.
• 드라이브 바이 다운로드.드라이브 바이 다운로드는 웹 페이지를 열면 파일이 자동으로 다운로드되는 것을 말합니다.드라이브 바이 다운로드는 감염된 웹 사이트 또는 공격자가 제어하는 웹 사이트에서 발생합니다.
• 사용자가 다운로드하여 설치하는, 겉보기에는 합법적인 애플리케이션을 감염시킵니다.공격자는 사용자가 신뢰하는 애플리케이션을 손상시켜 애플리케이션을 열면 맬웨어가 설치되도록 할 수 있습니다.
• 실제로는 악의적인 가짜 애플리케이션 만들기.공격자는 때때로 맬웨어를 안티 맬웨어 소프트웨어로 위장하기도 합니다.

또한 공격자는 취약점을 이용해 사용자가 아무런 조치를 취하지 않아도 전체 네트워크(심지어 여러 네트워크)로 확산되는 웜을 생성하는 것으로 알려져 있습니다. 2017년 미국 국가안보국에서 개발한 취약점 익스플로잇이 일반에 유출된 후, 랜섬웨어 웜(WannaCry)이 이 익스플로잇을 사용하여 20만여 대의 컴퓨터를 거의 동시에 감염시켰습니다.

어떤 방법을 사용하든 악의적 파일(악의적인 페이로드)을 장치나 네트워크에 가져오는 것이 목표입니다. 악의적인 페이로드가 실행되면 감염된 시스템의 파일이 암호화됩니다.

악의적인 페이로드는 그 전에 공격자의 명령 및 제어(C&C) 서버와 통신하여 지시를 받을 수 있습니다. 때때로 공격자는 적절한 순간을 기다렸다가 파일을 암호화하라는 명령을 보내며, 이러한 방식으로 랜섬웨어는 며칠, 몇 주 또는 몇 달 동안 장치나 네트워크에서 감지되지 않은 채로 비활성 상태로 남아있을 수 있습니다.

랜섬웨어 공격으로 인한 비용

한 보고서에 따르면 랜섬웨어 피해자들이 지급한 평균 금액은 30만 달러가 넘었습니다.또 다른 보고서에 따르면 랜섬웨어 공격의 평균 총 비용은 랜섬 비용 외에 비즈니스 손실 및 기타 요인까지 고려할 때 200만 달러에 육박하는 것으로 나타났습니다.

2020년에는 한 출처에 따르면 그 이전의 12개월 동안 랜섬웨어로 인한 금전적 피해는 10억 달러가 넘었지만, 서비스 손실과 공개적으로 알리지 않고 랜섬을 지급했을 수 있는 피해자를 고려하면 실제 비용은 훨씬 더 컸을 것으로 추정됩니다.

범죄자들이 랜섬웨어 공격을 감행하는 데에는 막대한 금전적 인센티브가 있으므로 랜섬웨어는 앞으로도 중요한 보안 문제로 남을 가능성이 높습니다.

랜섬을 지급한 조직 중 실제로 데이터를 되찾은 비율은 95%로 추정됩니다. 하지만 랜섬을 지급하는 결정은 논란의 여지가 있을 수 있습니다. 랜섬을 지급하여 범죄자에게 돈을 제공하면 범죄 기업에서 더 많은 자금을 조달할 수 있게 됩니다.

랜섬웨어 제거

경우에 따라 랜섬을 지급하지 않고도 장치에서 랜섬웨어를 제거할 수 있을 수도 있습니다. 피해자는 다음 단계를 따를 수 있습니다.

1. 감염된 장비를 모든 네트워크에서 분리하여 격리합니다.
2. 맬웨어 방지 소프트웨어를 사용하여 악의적 파일을 검사하고 제거합니다.
3. 백업을 사용해서 파일을 복원하거나 암호 해독 도구를 사용하여 파일을 해독합니다.

그러나 이러한 단계는 실제로 실행하기 어려운 경우가 많으며, 특히 전체 네트워크나 데이터 센터가 감염되어 감염된 장치를 격리하기에는 너무 늦은 경우에는 더욱 어렵습니다. 많은 유형의 랜섬웨어는 지속적이며 스스로 복제하거나 제거하려는 노력에 저항할 수 있습니다. 그리고 오늘날 많은 랜섬웨어 그룹은 첨단 형태의 암호화를 사용하므로 키 없이는 암호 해독이 거의 불가능합니다.

랜섬웨어 예방

랜섬웨어 제거는 매우 어려우므로 애초에 랜섬웨어 감염을 예방하는 것이 더 나은 접근 방식입니다. 도움이 될 전략을 몇 가지 소개합니다.

• 맬웨어 방지 프로그램은 모든 파일을 검사하여 악의적 파일이 아닌지, 랜섬웨어가 포함되어 있지 않은지 확인할 수 있습니다(변종 랜섬웨어를 모두 탐지하지는 못함).
• DNS 필터링은 사용자가 안전하지 않은 사이트를 로드하는 것을 방지하고 악의적인 페이로드가 공격자의 C&C 서버와 통신하는 것을 방지할 수 있습니다.
• 브라우저 격리는 드라이브 바이 다운로드를 포함하여 여러 가지 가능한 공격 벡터를 차단할 수 있습니다.
• 이메일 보안 필터는 의심스러운 이메일과 첨부파일에 플래그를 지정할 수 있습니다.
• IT 팀에서는 장치에 설치하는 애플리케이션 유형을 제한하여 사용자가 실수로 맬웨어를 설치하는 것을 방지할 수 있습니다.
• 보안팀에서는 사용자가 의심스러운 이메일을 식별하고, 신뢰할 수 없는 링크를 클릭하거나 안전하지 않은 사이트를 로드하지 않으며, 안전하고 신뢰할 수 있는 애플리케이션만 설치하도록 교육할 수 있습니다.

이러한 방법을 사용하더라도 모든 위협을 100% 예방할 수 없듯이 랜섬웨어를 100% 예방할 수는 없습니다.

기업에서 취할 수 있는 가장 중요한 조치는 데이터를 백업하여 감염이 발생하더라도 랜섬을 지급하는 대신 백업으로 전환할 수 있도록 하는 것입니다.

악명 높은 랜섬웨어 공격에는 어떤 것이 있을까요?

• 크립토로커(2013): 2013년 9월부터 2014년 5월까지 크립토로커 트로이 목마를 이용한 랜섬웨어 공격이 발생하여 시스템이 수십만 대가 감염되었습니다.크립토로커는 주로 악의적 이메일 첨부 파일을 통해 확산됩니다.공격자들은 공격이 중단되기 전까지 약 3백만 달러를 벌어들인 것으로 추정됩니다.
• WannaCry(2017): WannaCry는 이터널블루라는 취약점 익스플로잇을 사용하여 컴퓨터에서 컴퓨터로 확산되는 랜섬웨어 웜으로, 원래 이 익스플로잇은 미국 국가안보국에서 개발했습니다.2017년 5월 12일, 한 보안 연구원이 맬웨어를 해제하는 방법을 발견하기 전까지 WannaCry로 150개국에서 20만 대 이상의 컴퓨터가 감염되었습니다.이후 미국과 영국에서는 이 공격이 북한에서 시작되었다고 판단했습니다.
• NotPetya(2017): NotPetya는 Petya라는 이전 변종 맬웨어의 변종입니다.NotPetya는 유럽과 미국 전역, 그리고 특히 러시아와 우크라이나의 조직을 감염시켰습니다.
• Ryuk(2018): Ryuk 랜섬웨어는 주로 대기업을 공격하는 데 사용되었습니다.운영자는 피해자에게 거액의 랜섬을 요구합니다.FBI에서는 Ryuk의 배후에 있는 공격자들이 2018년과 2019년에 랜섬으로 6,100만 달러 이상을 벌어들인 것으로 추정했습니다.Ryuk는 2021년 현재도 사용되고 있습니다.
• 콜로니얼 파이프라인 공격(2021년): 미국에서 가장 큰 연료 파이프라인이 2021년 5월 랜섬웨어 공격으로 폐쇄되었습니다.FBI는 다크사이드라는 랜섬웨어 그룹이 공격의 배후에 있다고 밝혔습니다.

랜섬 DDoS 공격이란?

랜섬웨어 공격과 마찬가지로 랜섬 DDoS 공격도 본질적으로 금품을 갈취하려는 시도입니다.공격자는 대가를 지급하지 않으면 웹 사이트 또는 네트워크에 대해 DDoS 공격을 하겠다고 협박합니다.경우에 따라 공격자가 먼저 DDoS 공격을 시작한 후 대가를 요구할 수도 있습니다.랜섬 DDoS 공격은 DDoS 완화 공급자(Cloudflare와 같은)를 통해 차단할 수 있습니다.

랜섬 DDoS에 대해 자세히 읽어 보세요.

Cloudflare가 랜섬웨어 공격 방지에 도움이 될까요?

Cloudflare 제품은 랜섬웨어 감염으로 이어질 수 있는 몇몇 위협 벡터를 차단할 수 있습니다. Cloudflare DNS 필터링은 안전하지 않은 웹 사이트를 차단해줍니다. Cloudflare 브라우저 격리는 드라이브 바이 다운로드 및 기타 브라우저 기반 공격을 방지합니다. 마지막으로, Zero Trust 아키텍처는 랜섬웨어가 네트워크 내부에서 확산되는 것을 방지할 수 있습니다.