2) PC 내 취약점이 있을 경우, 변조된 웹사이트, 뉴스, 유투브 등 접근 시에도 감염될 수 있습니다.
3. 랜섬웨어 감염증상
1) 랜섬웨어 유형에 따라 상이할 수 있습니다.
2) 랜섬웨어가 감염되면 암호화를 수행하는 악성파일을 생성하며 해당 악성파일이 PC 부팅 시 자동 실행되도록 설정합니다.
3) 다음 PC 부팅 시 악성파일 동작으로 PC가 많이 느린 증상이 나오며 우측 하단에 방화벽이 꺼져있다는 창이 발생합니다.
4) 자신이 실행되었던 흔적과 시스템복원 시점 등을 삭제하고 로컬PC와 공유된 모든 경로의 대상이 되는 파일(문서, 사진 위주)을 암호화 시킵니다.
5) PC환경에 따라 수 분~수십 분이 소요되며 ccc, encrypted 등 파일 확장자가 변경되거나 확장자 변경 없이 암호화만 되는 경우도 있습니다.
6) 각 폴더 및 시작프로그램에 금전요구 안내 파일(howto… / help… 등으로 시작하는 메모장, 웹문서 파일)이 생성됩니다.
7) 암호화를 완료한 후 악성파일은 자신이 실행되었던 흔적과 시스템복원 시점 등을 삭제하고 자가삭제를 수행합니다.
금전요구 안내가 부팅 시 자동으로 보여지지 않고, 암호화된 파일이 공유된 폴더에만 존재하는 경우 해당 PC의 감염이 아니라 폴더 공유 중 인 다른 PC에 감염 되었을 가능성이 높습니다.
4. 공격 프로세스
5. 데이터 백업 무력화 기법 4가지
1. 볼륨 섀도 복사본 삭제
랜섬웨어는 윈도우 시스템의 자체 백업 기능인 볼륨 섀도 복사본(VSC, Volume Shadow Copy)을 삭제해 이전 파일 복원을 차단한다.
2. 네트워크로 공유된 백업 암호화
일부 백업 솔루션은 솔루션의 기본 폴더명을 이용하여 네트워크로 공유된 경로에 데이터를 백업한다. 랜섬웨어 공격자는 기업 네트워크에서 이런 백업 폴더를 찾아 함께 암호화한다.
3. 백업 솔루션 악용
백업 솔루션은 자체 API를 사용해 기업 내 데이터 백업을 관리한다. 공격자는 탈취한 크리덴셜이나 취약점을 사용해 백업 관리 API에 접근하고 이를 통해 백업을 삭제하거나 암호화한다.
4. 손상된 데이터 백업 유도
보통의 랜섬웨어는 최초 침투 후 바로 데이터를 암호화하지만 최근의 일부 랜섬웨어는 타깃형 공격과 같이 내부망에 은밀히 침투해 데이터를 손상시켜 불완전한 데이터가 백업되도록 기다린 후, 원본 데이터를 암호화한다. 이 경우 백업 데이터가 이미 손상되었기 때문에 데이터를 정상적으로 복원할 수 없다.
랜섬웨어 공격이 계속해서 심각해지고 복잡해지는 이때, 중요한 데이터 자산을 보다 잘 보호하기 위해 기업이 활용해야 하는 몇 가지 중요한 전략이 있습니다.
직원에게 랜섬웨어의 위험, 감염을 전달할 수 있는 방법 및 의심스러운 활동이 발견될 때의 대처방안 등을 교육합니다.
모든 보안 패치를 가능한 신속하게 마련하여 전체 취약점의 수를 최소화합니다.
중요한 데이터에 대한 접근을 제한합니다.
강도 높은 백업 일정을 통해 중요한 데이터의 복사본을 3개를 적어도 2개의 다른 형식으로 만들고 그중 1개는 사내 네트워크가 아닌 외부에 보관하도록 합니다.
트렌드마이크로는 “Cross-generational 기술 접근 방식을 활용해 평판 기반 분석과 화이트리스트, 어플리케이션 컨트롤, 행동 분석, 네트워크 감시, 취약점 방어, 하이파이 머신러닝 등과 같은 안티 랜섬웨어 기능을 이용하는 것이 컴퓨터 리소스에 최소한의 영향을 미치면서 기업을 보다 더 효과적으로 보호하는 방법” 이라고 설명합니다.
랜섬웨어 공격은 2020년과 2021년 크게 증가했지만 작년에는 줄어드는 추세를 보였다. 물론 큰 차이로 감소한 건 아니었다. 감소 이유는 딱 하나였다. 공격자들이 랜섬웨어 공격을 구성하는 두 가지 협박 전술 중 파일 암호화를 버리고 데이터 유출 협박에만 집중하기 시작했던 것이다. 맨디언트의 수석 분석가 제레미 케넬리(Jeremy Kennelly)는 “파일을 빼돌리고 공개하겠다고 협박하는 것만으로도 충분한 효과를 누릴 수 있다는 걸 범죄자들이 알게 된 것”이라고 분석한다.
기억해야 할 세 가지 : 익스플로잇, 크리덴셜, 피싱 2022년 12월, 미국의 사이버 보안 전담 기관인 CISA는 경고문을 발표하며 “사이버 공격자들이 애용하는 침해 전술은 크게 다섯 가지로 정리가 가능하다”고 알린 바 있다. 이 중 세 개는 맨디언트와 카스퍼스키가 밝혀낸 것과 동일하다. 나머지 두 개는 VPN이나 원격 관리자 소프트웨어와 같은 외부 원격 서비스와 서드파티 공급망이었다.
어떤 공격 기법을 활용하든 침해는 대단히 빠르거나 대단히 느리거나, 둘 중 하나였다. 빠르게 움직이는 공격자들은 수일 안에 시스템을 침해하고 파일을 암호화 했다. 느리게 움직이는 공격자들은 조용히 피해자의 네트워크 깊숙한 곳에까지 침투하는데, 이 때 수개월의 시간도 불사했다. 연 단위로 참을성 있게 파고들어 자신들이 원하는 데이터를 찾아내는 경우도 있었다. “느린 공격일수록 피해자에게 더 큰 피해를 안긴다”고 카스퍼스키는 설명한다.
누구나 인터넷을 통해 접근 가능한 애플리케이션들을 익스플로이 하고, 정상적인 크리덴셜을 훔쳐서 사용할 경우 탐지가 어렵기 때문에 공격자들은 느린 공격을 실시할 수 있었던 것으로 조사됐다. “방어자들이 애플리케이션 모니터링에 쏟는 자원은 현저하게 부족한 상황입니다. 다들 네트워크 게이트웨이나 방화벽 정도만 모니터링 하지요. 이 부분만 보강하더라도 랜섬웨어 방어에 효과적일 겁니다.”
여기서 한발 더 나아가 인터넷으로 연결되는 모든 IoT 기기들이 랜섬웨어에 감염되는 일도 충분히 가능해졌습니다. 이 때문에 최근에는 ‘RoT(Ransomware of Thing)’라는 신조어도 등장했습니다. 향후 보안위협은 랜섬웨어와 사물인터넷을 합친 이 신조어가 대세가 되는 바야흐로 RoT 시대가 도래할 것이라는 우려 섞인 예측이 나오고 있는 건데요.
글로벌 보안업체 에셋(ESET)에 따르면 지금 당장 스마트 냉장고 내부 시스템에 직접 침입하여 냉장고의 온도를 높이는 행위는 어렵더라도 스마트 냉장고를 원격에서 관리할 수 있는 스마트폰 앱을 통해 집안에 있는 스마트 냉장고의 온도를 높인 후, 스마트폰으로 몸값을 지불하라는 메시지를 받는 경우는 충분히 가능하다고 말합니다.
문제는 가정뿐만이 아닙니다. 통신·전력·원자력시설 등의 국가기반시설 및 산업제어 시스템이 랜섬웨어에 감염돼 해당 지역주민이 볼모로 잡히는 일이 발생한다면 더욱 큰 불상사를 초래할 수도 있기 때문이죠. 실제 지하철과 극장, 버스에서는 랜섬웨어 감염으로 인해 표 발매와 광고 송출, 정거장 안내 서비스 등이 중단된 적이 있습니다. 얼마 전에는 대기업의 서비스센터 PC가 워너크라이 랜섬웨어에 감염돼 서비스센터 업무가 마비되는 초유의 사태가 발생하기도 했죠.
