세계 보안 엑스포 전자정부 솔루션 페어 스마트팩토리 개인정보보호 페어  세계 다이어트 엑스포  세계 태양에너지 엑스포  국제 사이버 시큐리티 컨퍼런스  INFO-CON
랜섬웨어, 올해에는 어떤 모습으로 출현할까?
입력날짜 : 2017-01-10 17:21
트위터 보내기  페이스북 보내기  네이버 밴드 보내기  싸이월드 공감 보내기  카카오 스토리 보내기  구글 보내기   
계속해서 새롭게 진화하는 랜섬웨어...올해는 표적형 공격 위주로
일반 개인보다는 돈 더 많은 업체 활발히 노릴듯...신상공격도 덤으로


[보안뉴스 홍나경 기자] 랜섬웨어가 벌써 수년 째 극성이다. 그럼에도 그 기세가 꺾일 줄을 모른다. 많은 보안 전문가들도 랜섬웨어로 인한 피해가 점점 더 심해질 것이라고 입을 모으고 있어, 올해 전망도 그리 밝지만은 않다. 게다가 그 방법에 있어서 더 악독해지고 변화무쌍해질 것이라고 하니 무섭기 짝이 없다. 우린 정확히 어떤 랜섬웨어를 예상하고 있어야 할까?

1. 랜섬웨어 정체기
2016년에는 더 강력해진 암호화 알고리즘 및 공격 전달 전략들로 인해 랜섬웨어가 전성기를 맞았다. 불과 한 해 동안 랜섬웨어 패밀리는 400%나 증가했다. 하지만 패밀리의 증가율 측면에 있어서는 올해 정체기로 들어설 것으로 보인다고 보안 업체인 트렌드 마이크로(Trend Micro)의 전문가들은 예측하고 있다. 랜섬웨어 시장이 이미 포화상태이기 때문이다. 트렌드 마이크로는 올해 랜섬웨어 패밀리가 25% 정도 증가할 것으로 보고 있다. 400%에 비해서 월등히 낮은 수치다.

또, 컨설팅 업체 부즈 앨런 해밀턴(Booz Allen Hamilton)에 따르면 일반인들보다 기업들이 주요 표적이 될 것이라고 한다. 일반 개인보다 기업이 더 많은 돈을 가지고 있기 때문이다. 그렇기에 특히 대기업을 집중적으로 노리는 전략들을 다양하게 등장할 것이라고 예상하고 있다. 윈도우 운영체제의 핵심요소인 마스터 부트 레코드(MBR)나 시스템 구성요소들의 펌웨어 같은 주요 시스템을 노리는 랜섬웨어가 새로운 공격 방식으로 나타날 가능성이 높다는 예측이다.

2.점점 더 어려워지는 랜섬웨어 탐지
위의 예측처럼 랜섬웨어의 목표가 기업들 위주로 변하면서 해커들이 탐지가 힘든 랜섬웨어를 사용할 것이라고 내다봤다. 위협 첩보 전문업체인 리코디드퓨처(Recorded Future)의 분석가 알란 리스카(Allan Liska)는 사이버 공격을 실행할 때 해커들이 ‘파일이 없는 랜섬웨어 Malware-less ransomeware)’ 방식 즉, 파워셀이나 자바스크립트에 의존하는 랜섬웨어 공격이 증가할 것이라고 예상했다. 그 이유는 해커들이 파웨셀이나 자바스크립트가 극히 정상적이고 합법적인 프로그램이기 때문에 보안 솔루션에 탐지되지 않기 때문이다.

“‘파일이 없는 랜섬웨어(Malware-less ransomeware)’는 점점 더 많이 사용될 듯합니다. 멀웨어를 찾아내는 기술들에 비해 파일 없는 공격에 대한 탐지 기술력이 아직 덜 발전했기 때문이죠. 공격자들은 저희 사정을 완전히 파악하고 있습니다.”

타니움(Tanium)의 최고보안아키텍트(CIA)인 라이언 카잔시얀(Ryan Kazanciyan)은 현재 기업들의 멀웨어 방어 도구가 이전에 사용되던 ‘서명 기반 탐지법’을 탈피하고 있다고 짚었다. “그런 유행 자체는 긍정적이지만, 아직 기술력에 허점이 많아 쉽게 우회가 가능한 게 현실이죠. 서명을 기반으로 하지 않고도 방어 성공률이 높은 기술을 좀 더 빠르게 개발해야 할 필요가 있습니다.”

3. 불특정 다수 향한 살포에서 표적형 공격으로
올해는 더 많은 해커들이 랜섬웨어 공격을 할 것으로 추정되기 때문에 자연스럽게 더 많은 시스템들이 표적이 될 것이라고 카잔시얀이 언급했다. “금전적 이익이라는 동기와 랜섬웨어 캠페인을 감행하는 것이 어렵지 않다는 점이 랜섬웨어 공격이 늘어나는 주요 이유입니다. 기업들의 저항력이 뛰어나지 않기 때문에 이를 악용하여 해커들이 이익을 더 크게 창출할 수 있는 것이지요.”

해커들의 전술은 2017년에도 점점 더 진화할 것이며 이로 인해 기업들이 처한 위험 또한 더 커질 것으로 보인다. 한 가지 시스템만을 표적으로 잡고 실행하는 랜섬웨어는 과거의 방식이며 이제는 여러 시스템들을 겨냥해 한 번에 공략하는 방식으로 향상될 것으로 알려졌다. 이게 가능한 건 랜섬웨어의 가장 주요한 감염 경로가 대다수 온라인 사용자들이 사용하는 이메일과 웹 브라우저이기 때문이다.

“지난 2년 동안 많은 수의 기업들이 랜섬웨어 캠페인으로 인해 피해를 봤습니다. 또한, 해커들은 더 이상 무작위로 한명이 걸릴 때까지 공격하는 방식 대신 적극적으로 대규모 표적형 공격을 감행할 것입니다. 사실 이전에도 표적형 공격들이 있었지만, 대부분이 암암리에 조용히 해결이 되었기 때문에 트렌드가 표적형 공격으로 변한 것처럼 보이고 있습니다. 하지만 실제로 대부분의 기업들이 이로 인해 많은 금전적 피해를 본 것은 공공연한 사실입니다.”

4.기업들의 이미지 타격
리스카는 올해 기업들의 이미지에 크게 타격을 줄 사건들이 증가할 것이라고 예상했다. 작년에 일어났던 ‘샌프란시스코 경전철 결제 시스템 마비’ 사건처럼 말이다. 사건 당시 샌프란시스코 교통국은 해커가 요구한 금액을 지불하지 않았지만 세계의 많은 외신들이 사건을 앞 다투어 보도했고 이로 인해 망신을 당했다.

“해커들이 피해자 또는 기업이 자신들을 요구를 들어주지 않으면 공개적으로 망신을 당할 수 있다고 겁을 줘 지갑을 열지 않을 수 없게끔 머리를 쓸 것으로 보입니다. 따라서 올해는 공공기관 및 시스템, 병원들, 유명 인사가 랜섬웨어의 주요 표적이 될 것으로 보입니다.”

5. 여기서도 사물인터넷 등장
몇몇 전문가들은 사물인터넷이 해커들의 주요 먹잇감이 될 것이라고 예상했다. 로그리듬(LogRhythm)의 CISO 제임스 카르더(James Carder)는 “사물인터넷 랜섬웨어로 인한 피해는 모바일로 인한 것보다 더 클 것으로 보인다”고 말했다. 기업들은 모바일을 겨냥한 랜섬웨어를 더 주목하고 있지만 사물인터넷으로 인한 피해야 말로 더 큰 재앙을 갖고 올 것이라고 했다. 또한, 이것이 기업들의 주요 인프라에 심각한 위협으로 작용할 수 있을 것으로 보인다.

반면 리스카는 사물인터넷 기기를 통한 랜섬웨어 공격 증가에 대해서 회의적인 자세를 취했다. 사실상 사물인터넷 기기에 있는 데이터들은 한정적이고 사용자들이 클라우드에 백업을 하기 때문에 크게 문제가 될 것이라고 보지 않는다고 했다. 그는 “사물인터넷 기기들은 랜섬웨어 공격의 위험보다는 주로 다른 보안 문제들로 인해 피해를 볼 것”이라고 덧붙였다.

또한, 사물인터넷 랜섬웨어에 감염되더라도 이러한 공격이 피해자의 지갑을 열게 하는 데 직접적으로 연결이 되기는 힘들다. 예를 들어 사물인터넷 연결 냉장고가 해킹을 당했다고 생각해보자. 냉장고에 중요한 정보가 들어 있을 리는 만무하고 만약 해킹을 당했더라도 리셋 버튼을 통해 복구가 되는 등 피해 수습이 어렵지 않다. 따라서 자연스럽게 사물인터넷 기기를 랜섬웨어로 감염시켜도 해커들이 금전적 이득을 충분히 얻을 수 없다는 주장이다.

반면, 사물인터넷 의료기기라면 상황이 다르다. 해커가 의료기기에 랜섬웨어를 설치해 이를 마음대로 조종할 수 있다면 그것은 환자에게 큰 위험으로 작용할 수 있기 때문이다.

단기적으로 봤을 때 사물인터넷의 취약점이 직접적으로 기업들을 겨냥한 데이터 중심 랜섬웨어 공격의 증가로 이어지지 않을 것이다. 기업들이 지속적으로 출시한 기기들의 보안 점검 및 패치 제공에 버거워 하는 한은 사용자들의 워크스테이션이 다른 사물인터넷 기기들보다 더 쉬운 표적으로 계속해서 머물 것이기 때문이다. 해커들이 이미 암호화된 MS의 워드 파일 등을 이용해 기관 시스템에 침입하는 데 능숙한데 굳이 다른 사물인터넷 기기를 해킹하는 데 에너지를 낭비하겠는가?

6. 모바일 겨냥 공격도 상승세
랜섬웨어를 사용해 공격하는 해커들은 주로 PC를 공격한다. 하지만 2017년에는 이러한 트렌드가 모바일 기기를 공격하는 식으로 변할 것이라는 게 카르더의 예상이다. 그는 이러한 트렌드 변화의 주요 원인을 2가지로 선정했다. 하나는 오늘날의 모바일 시장이 거대해 해커들에게 많은 먹거리가 있다는 것이고, 두 번째는 해커들이 모바일 분야를 모두 다 꿰고 있다는 것이다.

요즘 많은 사람들이 중요 개인정보를 핸드폰에 저장하고 다니기 때문에 이것이 해킹되면 정말 참담한 결과가 나타날 수도 있다. 사람들이 자신의 개인정보를 지키기 위해 얼마까지 낼 용의가 있을지는 아무도 모르는 일이다. 또한, 기업들이 개인 소유 모바일 기기를 제대로 관리하지 않는 현실도 문제다.

“이제는 모바일 기기 관련 멀웨어가 증가하고 있는 추세입니다. 따라서 그저 나는 괜찮을 것이라고 짐작하고 문제를 가볍게 여기는 태도는 버려야 합니다.” 카르더는 기업이 직원들의 모바일 기기를 관리하는 데 있어 엄격한 자세를 취해야 한다고 강조한다.

7. 모방 범죄
리스카는 모방 범죄자들 역시 증가할 것이라고 강조했다. 만약 한 해커가 성공적으로 기업의 시스템 침입에 성공하면 그 뒤를 이어 그 방식을 모방한 공격들이 증가할 것이라는 지적이다. 또한, 리스카는 의료업계가 주요 타깃으로 보인다고 했다. 그 이유는 해커들이 이미 의료 기업들이 환자의 안전을 최우선으로 생각해 쉽게 해커들의 요구를 들어준다는 사실을 간파했기 때문이다.

만약 이와 관련된 법적 제재 조치가 강화된다면 랜섬웨어 공격이 줄어들 수도 있겠지만 새로운 새 환경에 적응한 사이버 공격이 생겨나는 것은 시간문제일 것이라고 그는 덧붙였다. “법적인 조치보다 공격을 통한 수익이 더 크다고 해커들이 판단을 하게 되면 이마저도 사실 무용지물입니다. 계속해서 새로운 해커들이 랜섬웨어를 통한 공격을 실행하는 것을 볼 수 있게 될 것입니다.”

8. 사용자 훈련, 여전히 중요
카르더는 직원들이 안전한 브라우징을 실천할 수 있도록 교육시키는 것이 중요하다고 조언했다. 또한, 피싱 이메일들에 대한 변별력을 키우는 훈련도 필요하다고 덧붙였다. 종종 랜섬웨어 코드는 파일을 암호화시키기 전 여러 가지 단계를 통해 실행되기 때문에 사용자가 정신을 바짝 차리면 이를 예방하는 것이 어렵지 않다.

“사람들이 종종 자신의 컴퓨터가 느리다고 불평을 할 때가 있습니다. 이전에 보지 못한 프로세스들이 실행된다거나 인터넷 브라우저들이 충돌하고 심지어는 사용자의 파일이 허가 되지 않은 다른 시스템과 공유가 되는 식으로 말이지요. 이를 알아보는 것부터가 시작이라는 걸 강조해줘야 해요. 랜섬노트가 뜨고서 ‘아차’하면 너무 늦습니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 홍나경 기자(hnk726@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

랜섬웨어   사물인터넷   해킹   표적형 공격   사이버 범죄                  


보안뉴스에서 관심이 가장 많이 가는 기사 유형은?
사건·사고(최근 발생했던 보안사고)
공공·정책(보안정책과 정부기관 관련 뉴스)
비즈니스(정보보안 시장 및 업계 전반 이슈)
국제(정보보안 분야 해외 소식)
테크(신기술과 취약점 관련 뉴스)
오피니언(다양한 외부 전문가의 기고)
기타(댓글로)