[아이티데일리] 지난해 랜섬웨어에 의해 국내에서 일어난 피해가 전년대비 2.4배 이상 늘어난 것으로 조사됐다. 이러한 현상은 올해에도 지속될 것으로 보여 이에 대한 대책이 요구된다.

2일 한국랜섬웨어침해대응센터가 이 같은 내용을 담은 ‘2017년 랜섬웨어 침해분석 보고서’를 발표했다. 해당 보고서에 따르면 신종 랜섬웨어들의 등장으로 인해 피해가 급증하고 있으며, 침해의 장기화도 우려되는 상황이다.

이에 랜섬웨어가 침해하지 못하는 전문 백업제품의 사용, 백신 업데이트, 이메일 첨부파일 열람 주의, 윈도우 업데이트, 이메일 링크 접속 지양, 데이터 보호관리 정책의 수립 및 교육 등 의 예방대책이 요구되고 있다.

피해자들은 대부분 최소 백신을 사용하고 있었고, 50% 이상의 기업과 기관이 방화벽 등 보안솔루션을 도입하고 있었다. 이 피해자들의 공통점은 PC데이터에 대한 보호 및 관리정책이 없어서 백업을 전혀 하지 않았거나 외장하드와 같은 곳에 부실하게 백업해 피해를 당했다.

한편으로는 감염 사실이 알려지면 조직 내의 감사 혹은 대외적인 보안의 신뢰 문제가 발생되기 때문에 이를 보고하지 않고 개인적으로 처리하고 있어 조직적이고 체계적인 침해 대응을 어렵게 만들고 있다.

올해는 기존 해킹의 주대상이었던 개인정보(주민등록번호, 휴대폰번호, 의료기록, 신용카드번호, 이메일 주소)를 거래하는 시장이 붕괴함에 따라, 랜섬웨어가 더욱 교묘하고 지능적이며 사회공학적인 기법을 접목해 발전할 것이라는 전망이 우세하다. 랜섬웨어 해킹은 특별한 기술 없이 시작할 수 있고 지속적인 수입을 보장하기 때문이다.

2016년 침해현황

한국랜섬웨어침해대응센터의 침해분석에 의하면 2016년도 랜섬웨어 침해 피해자는 2015년 2,678건에서 3,255건으로 1.2배 증가한 것으로 나타났다. 신고되지 않은 건수까지 포함하면 약 2.4배정도 증가한 것으로 분석된다.

랜섬웨어의 종류는 2015년 8가지 종류에서 2016년에는 16가지 종류로 2배가 증가했다. 2016년 3월에 위장 이메일 방식으로 새롭게 등장해 수천 개의 기업과 공공기관을 공격한 록키와 6월초 현충일을 기점으로 대형 IT커뮤니티인 뽐뿌를 숙주로 뽐뿌 접속자를 대상으로 공격한 울트라크립트가 상반기 가장 큰 피해를 입혔고, 하반기에는 록키 변종과 신종 케르베르(CERBER) 공격이 확대되어 전체 피해의 80%를 차지했다.

2016년 5월초까지 피해의 43%로 큰 비중을 차지했던 테슬라크립트는 복호화 마스터키가 해커에 의해 공개되며 6월 이후 피해가 거의 사라진 상태다.

규모로는 2015년도에 약 53,000명이 감염되어 1,090억 원의 피해를 입혔고, 30억 원 정도 해커에게 비트코인 금전이 지급된 것으로 추정된다. 2016년에는 13만명 감염, 3,000억 원 정도 피해가 발생했고, 13만명 피해자 중 최소 10%인 13,000명이 100억 원 이상의 비트코인을 지급한 것으로 추정되고 있다. 2016년 해커에게 지급된 비트코인은 작년 국내 비트코인 거래규모인 6천5백억원의 약 1.5%에 해당하는 금액이다.

대표적인 위장 이메일을 통한 침해 방식인 록키(Locky)와 후속 변종은 자바스크립트(JS)방식을 도입해 해외사업을 하는 거의 모든 기업에 뿌려 큰 피해를 입혔다. 특이할 사항은 C&C서버 운영 능력이 다른 해커그룹보다 크게 발전됐고, 네트워크에 의한 감염능력이 매우 강했다. 암호화 후 비트코인 거래 시 복호화키 수신 신뢰도가 거의 100%에 육박했고, 러시아IP는 감염시키지 않았다. 그 외 랜섬웨어 유포자와 실시간 메신저가 가능한 하반기 최고 위협인 케르베르를 비롯한 랜섬웨어는 주로 인터넷을 통해 감염시켰다.

랜섬웨어 해커는 개발그룹과 유포그룹으로 그룹핑되고 개발자의 노출을 최소화하는 구조이며수익은 개발그룹 40%, 유포그룹 60%로 분배된다. 국내를 대상으로 공격하는 랜섬웨어는 주로 러시아와 그 주변국에서 개발됐고 유포는 주로 중국발이며 한국과 중국 사용자를 대상으로 유포되고 있는 것으로 추정된다.

지난 3년간 랜섬웨어의 공격대상은 백업이 미비하고 보안이 취약한 PC데이터를 주로 노렸고 4GB보다 큰 사이즈 파일을 감염시키지 못했으나, 2016년부터는 4GB이상 파일도 암호화 시키고 서버의 DB를 감염시키기 시작했다. 특히 XTBL과 Glove3와 같은 랜섬웨어는 병원의 EMR DB와 같은 민감한 데이터를 감염시켜 1,000만 원 이상의 복구비용이 소요되고 업무진행의 어려움을 겪었다.

공격시기 및 국내 특징

2016년 6월 시만텍이 발표한 글로벌 랜섬웨어 피해지도를 보면 전체 30개국 중 미국이 30%로 1위, 일본과 이탈리아가 8%로 공동 2위인 반면 한국은 랜섬웨어의 공격 빈도수가 많음에도 불구하고 28위를 차지했다. 2016년 상반기 글로벌 공격 랜섬웨어는 14 종류였고 한국을 공격한 랜섬웨어는 13종류였다. 이 두 그룹의 랜섬웨어를 비교분석해 본 결과 Locky, 73V3n 단 두 종류만 일치했다. 이에 따라 중국의 유포자가 한국과 중국을 특정하여 공격하는 ‘국내 표적형 공격’으로 분석된다.

2017년 랜섬웨어 공격 전망

올해의 랜섬웨어 공격에 대해서는 두 가지 상반된 의견이 존재한다. 랜섬웨어 위협에 대한 사용자 인식의 확대와 안티 랜섬웨어 기술의 발전, 전반적인 정보 공유 증대와 국가간 사법 당국 간의 공조 등으로 랜섬웨어 위협이 한풀 꺾일 것이란 긍정적인 전망이 존재하지만, 해커들이 기술수준을 높인 랜섬웨어 위협은 올해도 계속되며, MS 오피스와 PDF로 만든 파일에 매크로를 숨겨 보안 소프트웨어를 피해가는 방법과 사회공학적인 기법이 적용된 지능화된 랜섬웨어의 등장으로 랜섬웨어의 위협이 올해 역시 지속될 것이란 전망 또한 존재한다.

기존 해킹의 주대상이었던 개인정보(주민등록번호, 휴대폰번호, 의료기록, 신용카드번호, 이메일 주소)를 거래하는 시장의 붕괴로 금전적 보상을 받기까지 장시간이 걸리고 가격도 낮아진 반면 랜섬웨어 해킹은 특별한 기술 없이 시작할 수 있고 유포 후 3일 이내에 비트코인이 들어오고 지속적인 수입을 보장해 해커들은 랜섬웨어를 포기할 이유가 없기 때문이다. 이에 따라 더욱 교묘하고 지능적이며 사회공학적인 기법을 접목해 발전할 것이라는 전망이 우세하다.

지난 2년간 랜섬웨어 위협에 대한 경험과 인식의 확산으로 데이터를 백업하는 사용자가 증가하고 랜섬웨어를 차단하는 보안기술이 발전했기 때문에 올해 랜섬웨어 해커들은 기존 랜덤방식의 지능형 공격을 강화하면서 동시에 병원 DB, 클라우드 스토리지, 중앙화 시스템을 공격하는 표적형 공격으로 진화할 것으로 전망된다.

또한 많은 인원이 동원된 콜센터 운영을 기반으로 강력한 오프라인 파일 암호화 실행과 100불정도의 낮은 금전요구, 차후 감염되지 않는 비용을 선불로 받는 새로운 랜섬 지불 모델의 도입 등을 특징으로 하는 스포라(Spora)와 같은 신종 랜섬웨어 그룹이 다수 출현할 것으로 내다보고 있다.