기업 내부 보안을 위협하는 랜섬웨어 대응법

최근 국내외 기업을 대상으로 한 랜섬웨어 공격이 크게 증가하고 있습니다. statista*의 통계에 따르면 전 세계 랜섬웨어 공격 건수는 ‘17년 1억 8,400만건에서 ‘20년 3억 400만건으로 2배 가까이 증가하였으며, 국내의 경우도 마찬가지로 한국인터넷진흥원 인터넷침해대응센터에 접수된 신고 건수 기준 ‘19년 39건에서 ‘20년 127건으로 3배 이상 증가하였습니다.
* statista : 시장 및 고객 데이터 분석 전문 독일 회사
‘21년 상반기 미국 최대 송유관 운영사 콜로니얼 파이프라인과 글로벌 육가공업체 JBS 미국 지사, 미국 IT 보안 관리업체인 카세야 등이 랜섬웨어 공격을 당하면서 미국 정부는 랜섬웨어를 심각한 안보 위기로 정의하고 랜섬웨어 피해 대응을 위한 웹사이트를 개설, 공격 관련 제보자에게 최대 1천만달러(114억원)의 사례금을 지급하겠다고 밝혔습니다. 우리 정부 역시 글로벌 사이버 위협 대응을 위해 ‘한미 사이버 워킹그룹’을 출범시켜 미국과 공동 대응에 나서기로 했습니다.

최근 랜섬웨어 공격이 증가하는 원인은?

이러한 랜섬웨어 공격이 증가하는 원인은 어디에 있을까요? 한가지 원인은 서비스형 랜섬웨어인 RaaS에 있습니다. RaaS(Ransomware as a Service)란 소프트웨어 서비스모델(Software as a Service)을 사이버범죄로 가져온 형태로, ‘15년부터 활성화되기 시작하였습니다. 이는 다크웹을 통해 공격자가 필요한 요건에 맞는 랜섬웨어를 해커를 통해 제작, 구매하는 형식으로, 랜섬웨어 공격에 성공하면 획득한 범죄 수익은 제작자인 해커와 구매자인 공격자가 나누어 갖게 됩니다. RaaS를 통해 악성코드 개발 역량이 없는 사람도 랜섬웨어 공격을 시도할 수 있어 관련 공격 시도 건수가 크게 증가한 것으로 추측하고 있습니다.
또한 일부 전문가들은 최근 비트코인 시세가 우상향하고 있는 것도 랜섬웨어 공격이 증가한 원인 중 하나라고 보고 있습니다. 이는 지급 후 추적이 불가능하다는 점 때문에 사이버 범죄자들이 복구 대금으로 비트코인을 요구하고 있기 때문입니다. 실제 콜로니얼 파이프라인의 경우 암호화된 파일 복구를 위해 약 500만 달러 규모의 비트코인을 공격자에게 지불하였으며, 카세야의 경우 복구 비용으로 7천만 달러 규모의 비트코인을 요구받은 것으로 알려졌습니다.

랜섬웨어에는 왜 감염되나?

기업에서는 보안장비를 투자하여 악성코드가 들어올 수 있는 네트워크 경로에 방어장비를 설치하고 모니터링을 강화하고 있지만, 랜섬웨어에 감염되어 피해를 입는 사례는 줄어들지 않고 있습니다. 왜 그럴까요? 랜섬웨어에 감염되는 대표적인 3가지 사례에 대해 알아보겠습니다.

1) 위장 악성코드
2) 스피어피싱
3) Drive by download

1) [위장 악성코드] “업무에 필요한 프로그램을 다운로드 받았습니다”

- 악성코드를 포함하고 있는 정상 파일로 위장된 악성코드를 다운받는 경우

감염절차

• 1. 자료검색:사용자는 업무에 필요한 자료를 포털 사이트에서 검색합니다.
• 2. 파일저장소이동:포털사이트는 파일이 있는 저장소의 링크를 보여줍니다.
• 3. 다운로드:사용자는 해당 파일을 다운로드 받습니다.
• 4. 실행후감염:파일을 실행시키면 랜섬웨어가 작동합니다.

[그림 1] 위장 악성코드에 의한 랜섬웨어 감염 절차

대부분의 사용자들은 불법 프로그램이 아니기 때문에 이러한 업무 유관 프로그램은 의심없이 다운로드 받습니다. 포털 사이트가 연결해 준 다운로드 링크가 설마 악성코드를 포함하고 있을 것이라고 생각하지 않는 경우가 대부분입니다. 웹 파일저장소 운영업체 역시 악성코드를 대비하여 파일이 업로드 되는 시점에 검사를 통해 걸러진 정상 파일만 업로드하도록 허용하고 있습니다. 하지만 정교하게 만들어져 탐지 솔루션을 우회하는 파일이나 압축파일의 경우 사용자가 실행하기 전까지는 정상 파일로 판단되기 때문에 랜섬웨어 감염을 100% 예방할 수는 없습니다.

2) [스피어피싱*] “관련된 업무를 하고 있어서 메일을 열어보았습니다”

- 외부에서 전달된 업무 유관 메일에 포함된 악성코드가 실행되는 경우
* 스피어 피싱 : 잘 파악된 지정된 대상에게 위장 이메일을 전송하는 활동

감염절차

• 1. 정보수집:해커는 타셉이 되는 사용자에 대한 정보를 수집합니다. 예)회사정보,담당업무,담당자e-mail,조직구성등
• 2. 메일발송:사용자의 업무와 유관한 제목으로 악성코드가 포함된 첨부파일과 함게 메일을 발송합니다. 예)전자세금계산서가 도착했습니다,속도위반범칙금조회
• 3. 메일개봉:사용자는 메일을 개봉하고 파일을 다운로드 받습니다.
• 4.실행후감염:파일을실행하면랜섬웨어가 동작합니다.

[그림 2] 스피어피싱을 통한 랜섬웨어 감염 절차

대부분의 사용자들은 위 2번의 사례에서 보여지는 이메일을 받은 경험이 있을 것입니다. 스피어피싱은 간단하지만, 표적을 지정하여 수행되는 이메일 기반의 사이버 공격입니다. 과거의 이메일 공격은 불특정 다수를 타겟으로 하였지만, 사용자들의 인식 수준이 높아지면서 쉽게 말해 “낚이는 사람”이 줄어드는 것은 해커들에게도 위기가 되었고 공격방식의 고도화를 위해 사회공학기법을 적용하였습니다. 시간과 자원이 소요되더라도 “효과적인” 공격을 위해 정보를 수집합니다. 이러한 “정보기반의 표적형 공격”으로 사용자는 메일을 개봉하게 되고 세부 내용을 확인하려 첨부파일을 실행하는 순간, 랜섬웨어에 감염이 됩니다.

3) [Drive by download*] “여행관련(혹은 물건구매를 위한) 후기 관련 링크 몇 개 들어가봤습니다”

- 무심코 방문한 웹사이트에서 악성코드가 감염되는 경우
* Drive by download : 사용자가 모르게 악성코드가 다운로드 되어 실행되는 공격

감염절차

• 1. 악성스크립트삽입:해커는 취약한 사이트에 악성 스크립트를 삽입합니다.
• 2. 사이트접속:사용자는 웹서핑 중 취약한 사이트를 접속합니다.
• 3. 리다이렉션:해커가 삽입한 악성 스크립트가 동작하며, 사용자는 악성코드를 다운로드 받게 되는 사이트로 리다이렉션(Re-direction)됩니다.
• 4. 사용자가 모르게 파일이 다운로드 되고 실행되면 랜섬웨어가 동작합니다.

[그림 3] Drive by download를 통한 랜섬웨어 감염 절차

최근에 많이 일어나는 공격사례입니다. 사용자는 단순 웹서핑만 하고 있었고, 파일을 다운로드 하지도 않았는데 “어쩌다보니” 랜섬웨어에 감염이 됩니다.
사용자가 접속한 웹사이트는 취약점을 가지고 있는 경우도 있지만, 정상적인 웹사이트에 같이 보여지는 광고에 해커가 악성 스크립트를 삽입하기도 합니다. 광고 팝업(또는 광고네트워크)을 통해 악성코드를 유포하는 서버에 접속하도록 유도하는 기법을 멀버타이징(Malvertising)이라고 합니다. Drive by download의 과정을 상세히 보면 다음과 같습니다.

사용자가 웹사이트 접속

• 1. 웹사이트 접속시 js파일 강제 다운 및 실행,js파일에서 PDF파일 다운
• 2. PDF -> EXE확장자 변경 후 EXE실행
• 3. EXE -> EXE2 파일 강제 다운 및 실행
• 4. EXE2 -> DLL 파일 강제 다운 및 실행
• 5. DLL 실행 후 암호화 진행

[그림 4] Drive by Download에 의한 감염 상세 절차

이러한 멀버타이징과 일부 보안이 취약한 사이트에 접속을 하면 악성 스크립트가 포함된 JS를 강제로 다운받고 실행되며 JS파일에서 PDF(정상인척 위장한 파일)을 다운로드합니다. 그 후 해당 문서 파일을 실행 가능한 확장자인 exe로 변경 후 실행되도록 스크립트가 동작하고, 이로 인해 새로운 exe2 파일과 dll 파일이 강제 다운로드 되어 실행되면 랜섬웨어가 작동합니다.

랜섬웨어에 감염되면 어떻게 되나?

랜섬웨어에 감염되면 PC에 있는 문서와 사진이 암호화됩니다. 해커는 랜섬웨어를 통해 금전적 이득을 목표로 하기 때문에 각 폴더마다 “랜섬노트”라고 불리는 경고 메시지를 남깁니다. Readme.txt 파일이나 How to Recover Data라는 웹 화면으로 실행시키면 랜섬웨어 유형을 알게 하는 문구와 협상을 위해 비트코인을 전달받을 수 있는 방법이 포함된 화면이 보여집니다.

[그림 5] Wannacry 랜섬웨어 랜섬노트

[그림 6] 랜섬웨어가 감염되어 PC의 파일이 모두 암호화된 모습

랜섬웨어에 감염되어 암호화된 문서를 복호화할 수 있는 방법은 없습니다. 일부 복구업체에서 감염복구를 서비스하고 있지만, 완벽히 복구하는 것은 불가능합니다.
랜섬노트에 보여지는 대로 해커와 협상을 통해 비트코인을 넘겨주는 것은 좋은 방법이 아니고, 비트코인 거래 후 100% 복호화할 수 있는 것도 아닙니다.
사용자는 감염된 PC에서 주요 자료를 다시 확보하지 못하는 것을 포함하여 PC 내부의 악성코드가 없던 상태로 되돌리기 위해 OS를 재설치하고, 필요한 업무 프로그램을 다시 설치하려면 짧게는 반나절, 길게는 2~3일이 소요되기도 합니다.
그렇다면 업무 가용성을 저해하는 랜섬웨어는 어떻게 대응하는 것이 효과적일까요?

랜섬웨어 공격에 대한 대응 방안은 무엇이 있을까?

오피스 공간이 사업장(건물)로 한정되었던 과거에는 네트워크 경계가 명확했고, 사이버 위협이 침투되는 경로를 잘 막으면 공격에 대한 방어가 되었습니다. 하지만 재택근무의 활성화로 인한 원격 업무 환경, 클라우드 인프라의 활성화, 모바일 단말의 확산과 함께 하이브리드형 업무 환경으로의 변화로 네트워크 기반 보안솔루션만으로 사이버 위협에 대응하는 것은 한계가 있습니다.
방화벽과 비업무 사이트 차단솔루션으로 방어하던 C&C서버¹⁾와의 통신은 1회용 주소의 사용으로 단순 차단에는 한계가 있고, 시그니처 기반의 IDS/IPS²⁾ 등 탐지/차단 장비는 악성코드간 통신이 암호화되면서 우회가 가능합니다. 또한 파일의 동적 분석을 위한 Sandbox기법³⁾도 Anti-VM(Virtual Machine)이 적용된 악성코드로 우회가 가능하여 악성코드가 실행되어 피해로 이어지는 사용자의 PC와 서버 단말, 즉 엔드포인트에 대한 공격이 가능합니다.
그래서 다시 단말보안인 엔드포인트 보안의 중요성이 강조되기 시작합니다.
엔드포인트 보안을 생각하면 가정 먼저 떠오르는 것은 백신(Anti-Virus)입니다. 그러나 백신 우회 공격과 파일리스공격⁴⁾이 확대됨에 따라 시그니처 기반의 백신을 통한 엔드포인트 보안은 한계가 있습니다. 이에 대한 대응책으로 ‘16년부터 EDR 솔루션이 주목받기 시작했습니다. EDR은 Endpoint Detection & Response로 엔드포인트를 상세히 모니터링하며, 이상행위를 감지하고 대응함으로써 기존 백신이 탐지하지 못했던 악성코드 공격에 대한 탐지/차단/대응을 담당하는 솔루션입니다.
1) C&C서버(Command and Control) : 해커가 다른 PC를 공격을 하기 위해 명령을 전달하고 제어하는 서버
2) IDS(Intrusion Detection System)/IPS(Intrusion Protection System) : 악의적인 공격을 탐지/방어하기 위해 설치하는 네트워크 보안 솔루션
3) Sandbox기법 : 보호된 영역 내에서 프로그램을 동작시켜 악성코드를 탐지하는 방법
4) 파일리스(Fileless)공격 : 파일없이 악의적인 기능을 수행하는 코드를 메모리에서만 실행시키는 공격방법

Pre-Execution(실행 전)

• 사전차단
• 악성코드 차단, 해킹 차단
• 시그니처 기반 백신
• Fire Reputation 기반 백신
• 휴리스틱 기반 백신
• 인공지능 기반 백신

Execution(실행 중)

• 이상행위탐지
• 이상징후: Fireless공격, 스크립트 공격
• Zero-day 공격차단
• fileless 공격차단(메모리,스크립트 공격 등)
• 이상행위기반 탐지

Post-Execution(실행 후)

• 대응
• 사고 격리, 사고 분석, 피해 복구
• 로그분석/사고분석
• 장치제어
• 사고대응 Workflow 자동화
• 피해복구

자동화

• 탐지율 올라감
• 운영 인력 축소

[그림 7] 삼성SDS EDR 솔루션 주요기능

EDR은 악성코드가 유입되면 기존 백신처럼 시그니처 판단을 통해 악성여부를 판단하고, 정적 AI를 통해 파일의 구조적인 특징을 파악하여 악성여부를 추가 판단합니다. 사전 차단/방어하지 못한 악성코드가 실행되면 악성코드 이상행위를 판단하는 동적 AI엔진을 통해 악성여부를 판단하여 차단/방어합니다. 이렇게 탐지된 악성코드는 엔드포인트 PC 내에서 파일을 격리시킬 수 있으며 필요한 경우 네트워크 상에서 해당 PC를 격리시켜 다른 단말의 추가 감염을 예방합니다. 또한, 로그 분석을 통해 사고 발생 경위 파악이 가능하며 롤백 기능을 통해 악성코드 감염 이전으로 복구가 가능합니다.

랜섬웨어 공격 대응책 EDR 도입 시 고려사항은?

EDR은 알려지지 않은 악성코드와 보안취약점을 노리는 제로데이공격*에 효과적인 대응이 가능하며, 롤백을 통한 피해 복구가 가능하여 랜섬웨어 등 악성코드 대응에 효과적인 솔루션이라고 평가되는 반면, 엔드포인트에서 수집하는 로그의 양이 방대하고 이를 분석하고 대응하기 위한 전문인력이 필요하기 때문에 도입 및 운영이 어려운 솔루션으로 생각되는 경우가 많습니다.
* 제로데이공격 : 취약점에 대한 보안패치가 나오지 않은 시점에서 이루어지는 공격

그러나 아래 5가지 항목을 고려하여 EDR 솔루션을 도입한다면, 랜섬웨어와 같은 엔드포인트 보안 위협에 대한 보다 실질적인 대응이 가능합니다.

1) 가시성 확보를 위한 통합 플랫폼을 제공하고 있는가?
- 서버와 클라우드 VM, PC와 모바일, Windows를 비롯한 Linux와 Mac 등 다양한 단말과 OS에 대한 통합 지원이 가능한 플랫폼을 제공하는가
2) 통합 Agent로 리소스 최적화가 가능한가?
- 기존 운영 중인 백신에 EDR 모듈을 추가하거나, EDR 솔루션 도입 시 백신 모듈을 추가하여 하나의 Agent로 운영함으로써 사용자 단말 리소스 최적화가 가능한가
3) 인공지능 기반 탐지/차단/대응이 가능한가?
- AI기반의 탐지/차단/대응 자동화 설정을 통해 악성코드 대응 탐지율을 높이고, 운영 인력 최적화를 통해 운영 비용 효율화가 가능한가
4) 객관적인 성능 검증이 이루어진 솔루션인가?
- 가트너, Mitre ATT&CK 탐지 성능 분석 등 글로벌한 기관을 통한 제3자 분석에서 업계 리더로 평가받고 있는가
5) 상시 기술지원이 가능한 국내 파트너사를 보유하고 있는가?
- 솔루션 구축, 운영 이슈 발생 시 전문적인 기술 지원이 가능한 전담 기술팀/국내 파트너사를 보유한 업체인가?

보안사고가 발생하게 되면 비즈니스 중단으로 인한 경제적 손실 외 브랜드 가치 하락, 소비자 신뢰 저하 등으로 인한 피해 복구를 위해 수많은 노력이 필요합니다. 그만큼 기업은 인프라 환경 및 사용자 환경을 면밀히 분석하고 적절한 솔루션 도입 등을 통해 보안사고 예방을 위해 노력해야 합니다.
삼성SDS는 20여년 간의 삼성 관계사 및 대외 기업 대상 보안 사업 수행 노하우를 바탕으로 각 기업에 필요한 엔드포인트 보안 요건을 분석하고 관련 솔루션 구축 및 운영 사업을 수행하고 있습니다. 엔드포인트 보안 강화를 위한 전문가의 도움이 필요하시다면, 언제든지 문의 부탁드립니다. 삼성SDS가 해답을 찾아드리겠습니다.


Reference
◎ 랜섬웨어 공격 325% 증가…과기부, ‘랜섬웨어 대응지원반’ 운영
https://www.edaily.co.kr/news/read?newsId=01626886629050560&mediaCodeNo=257
◎ 전세계 랜섬웨어 기승…작년 3분기부터 50% 이상 급증
https://www.itdaily.kr/news/articleView.html?idxno=201509
◎ 美장관들 랜섬웨어 공격에 경보... CNN “바이든, 심각한 안보 위기”
https://www.chosun.com/international/us/2021/06/07/2GYT6V37OVDQZI7RV7BG4K3OII/
◎ 한미사이버워킹그룹 : 랜섬웨어 공동 대응
https://imnews.imbc.com/news/2021/politics/article/6286824_34866.html



▶ 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 기고자에게 저작권이 있습니다.
▶ 해당 콘텐츠는 사전 동의 없이 2차 가공 및 영리적인 이용을 금하고 있습니다.