디지털 인질극 랜섬웨어에 대한 정밀 해부 및 대응 방안

랜섬웨어는 어떻게 전 세게를 공포에 떨게 만들었을까. 진화하는 랜섬웨어에 대응할 수 있는 방안을 알아본다.

글 지란지교시큐리티 이상준 이사(연구소장)· 천명재 이사(CTO)

지난 5월 악성 프로그램의 일종인 랜섬웨어 ‘워너크라이(WannaCry)’의 사이버 공격으로 150개국에서 수십만 건의 피해가 발생했다.

영역을 초월한 글로벌 보안 위협의 화두, 랜섬웨어

얼마 전 모 인터넷 호스팅 업체가 랜섬웨어에 감염돼 큰 피해를 당하는 등 랜섬웨어의 위세가 대단하다. 랜섬웨어는 사용자의 파일을 암호화시켜 금전을 요구하는 악성 프로그램을 말한다. 사용자가 대가를 지불하면 암호화된 사용자의 파일을 복호화해 사용할 수 있도록 해주겠다고 하지만 돈만 지불하고 복호화하지 못하는 경우도 상당하다. 최근 사회 곳곳에 영향을 미치고 있는 랜섬웨어의 감염 사례를 보면, 환자의 정보에 대한 접근을 힘들게 해 치료를 할 수 없게 하거나 호텔 잠금장치를 조작해 대가를 요구하거나 랜섬웨어로 미국 주정부 시스템을 마비시키는 등 그 피해가 실로 다양하다. IT 전문 글로벌 미디어 IT월드에 따르면 2016년 한 해 동안 비트코인 총 지급액이 10억 달러(약 1조1000억 원) 규모로 추산된다.
랜섬웨어는 1989년 AIDS 멀웨어가 시작이며, 전 세계적으로 그 피해가 급증한 것은 2015년 10월이다. 이 시점부터 이메일을 통해 유입되는 악성 URL, 멀웨어의 탐지가 급격하게 증가했으며 한글화한 랜섬웨어의 유포까지 등장해 진화하기에 이르렀다. 랜섬웨어가 급부상하게 된 배경에는 정보기술(IT) 발전, 디지털 정보 자산의 가치 성장, 그리고 마지막으로 비트코인의 등장을 언급할 수 있다. 비트코인은 온라인상에서 자유로운 금전 거래가 가능함과 동시에 추적이 불가능한 거래 수단으로 해커들의 거래에 악용되고 있다.

자료: 지란지교시큐리티 내부 정리

랜섬웨어는 바이러스나 웜과는 따로 분류되지만 사용자가 악성코드를 실행시키도록 유도하는 기본 방식은 크게 다르지 않다. 다만 감염 후 금전을 요구하는 방식의 악성코드를 랜섬웨어로 분류한다. 과거에도 이러한 악성코드가 존재했으나 최근에 악명이 높아진 것은 블록체인을 기반으로 한 비트코인이 2009년 등장하면서 대가를 비트코인으로 요구하면서였다. 범죄자가 추적되지 않고 현금화하는 것이 쉬워졌으며, 직접적인 수익을 올릴 수 있는 방식이기 때문이다.
최근 동향 중 한 가지 특이한 점은 인터넷나야나에 사용된 에레버스의 경우 윈도우와 리눅스 버전이 모두 존재한다는 것이다. 수사 결과가 발표돼야 최종적인 감염 경로를 파악할 수 있지만, 일반적인 분석은 네트워크 자원 공유 프로토콜인 삼바(Samba)를 이용했으며 이는 윈도우 버전일 수도 리눅스 버전일 수도 있는데, 현재로서는 리눅스 버전일 가능성에 무게를 두고 있는 상황이다. 이는 동일한 해커가 웹 호스팅 업체들만 골라 지속적인 공격을 감행해 왔다는 분석과 함께 지능형지속위협(APT)과의 결합을 의심케 하고 있다.
비트코인 이전에도 랜섬웨어는 도스(DOS) 시절부터 존재했으나 통장을 통한 현금화는 어느 정도 추적이 가능해 범죄가 활성화되지는 않았다. 근래 랜섬웨어 범죄자는 토(Tor)와 비트코인을 활용해 추적을 따돌린다.
현대의 랜섬웨어는 보통 사용자의 파일을 AES 또는 AES+RSA 방식으로 암호화하게 된다. AES와 RSA 암호화는 인터넷뱅킹의 공인인증서에 사용되는 암호화 방식 중 일부이고 높은 컴퓨팅 파워를 사용해 일일이 대조하는 것 외에는 특별한 복호화 방법이 없기 때문에 사실상 복호화는 힘들다. 심지어는 파일의 내용을 뒤섞어 파괴해 놓고 암호화가 됐다고 협박하는 경우도 있는데 이 경우 복호화 키 자체가 무의미하고 복구할 방법이 전혀 없다.
랜섬웨어의 유포 경로는 여타의 악성코드와 동일하게 웹 사이트, 이메일, 기타 취약점을 이용한다. 웹 사이트를 통한 배포의 경우 정상적인 사이트를 통해서도 취약한 부분을 공격해 랜섬웨어 유포가 가능하다. 취약점을 통한 방법은 윈도우 등 운영체제(OS)나 애플리케이션 등 취약점을 통해 사용자가 별다른 동작을 하지 않더라도 공격하는 방법이다. 최근 화제가 됐던 SMB 프로토콜 취약점을 이용한 워너크라이(WannaCry)가 이런 유형이다. 이런 공격들은 취약점을 파악해야 하므로 상대적으로 손이 많이 가고 비용이 높다. 최신 취약점은 블랙마켓에서 비싸게 거래된다. 그래서 공격 비용이 저렴한 이메일을 통한 랜섬웨어 유포가 가장 비중이 높다. 이메일은 사회공학적 기법을 활용해 사용자가 첨부파일을 열어보게 하는 방법을 주로 사용한다.

이에 반해 사용자들의 인식은 안전 불감증 수준인데 보통 파일을 실행하거나 문서를 열어야 악성코드에 감염되는 것으로 생각하는 경우가 많지만, 웹 사이트에 접속하거나 이미지를 보는 것만으로도 감염시키는 드라이브 바이 다운로드(Drive by Download)라는 공격법도 존재하고, 심지어 아무것도 하지 않더라도 인터넷만 연결돼 있으면 인터넷을 통해 감염되는 경우도 있다는 것을 알아 둘 필요가 있다.
업계에서는 이러한 랜섬웨어를 방어하기 위해 많은 노력을 해 왔고 비정상적인 쓰기 행위 탐지, 프로세스 감시, 변경된 파일의 엔트로피 계산, 샌드박스를 통한 동적 분석 등 다양한 방법을 활용한 제품이 이미 출시돼 적절히 사용하면 어느 정도는 효과를 볼 수 있다. 그러나 보안 제품을 우회하기 위한 악성코드의 진화도 계속 진행 중이다. 샌드박스를 통한 분석은 샌드박스 환경을 감지해 동작을 멈추고 사용자 개인용컴퓨터(PC)에서 실행돼야 공격을 시작하거나 다음 페이지 이동처럼 특정 동작을 취해야만 공격을 개시하는 등 우회 방법이 있다. 프로세스 감시 방법의 경우 DLL 인젝션을 통해 정상 프로세스에 공격코드를 주입해 우회하는 등 점차 교묘해지고 있으므로 다층 방어막 구축은 필수적이다.
기업에서 랜섬웨어에 대응하는 방법은 망 분리, 네트워크와 서버 및 PC의 다중 방어막 구축, 이메일 수신과 인터넷 브라우징 시 악성코드 방어, OS나 프로그램의 보안 업데이트, 중요 데이터 백업, 지속적인 점검 및 사용자들의 보안 의식 고취를 들 수 있다. 이러한 방어 체계가 잘 갖춰진 대표적 분야 중 하나가 금융권이다. 서비스 데이터가 존재하는 영역과 사용자들의 PC 영역 등 업무 성격에 따라 인터넷 망이 물리적으로 분리된 데다 구간마다 여러 보안 제품들이 있어 공격 자체가 쉽지 않다.
그러나 언제나 100% 안전한 보안은 존재하지 않으며, 이러한 보안이 구축돼 있어도 방심하면 당할 수 있다. 최근 국내에서 발생한 대형 사고 중 몇몇이 이런 경우로, 사용자의 실수나 관리상 허점으로 발생했다. 어느 정도 방어가 돼 있는 상태에서는 보통 시스템보다 사람이 뚫리기 때문에 사용자의 보안 의식 고취와 관리 및 구성상 취약한 부분이 있는지 점검하는 것이 매우 중요함에도 보통 이 부분은 소홀한 경우가 많다.
그렇다면 최근 미래를 바꿀 기술 중 하나로 보안성 높은 블록체인과 랜섬웨어의 상관관계에 대해 잠시 살펴보기로 하자.

블록체인, 랜섬웨어 대응을 위한 기술인가

기본적으로 블록체인 기술의 보호 대상과 랜섬웨어의 공격 대상은 서로 다르다. 블록체인 기술을 분산거래원장 기술이라고도 하는데, 이는 블록체인이 말 그대로 거래당사자 간에 교환되는 정보에 대해 안전하고 신뢰성 있게 공유하기 위한 기술을 뜻한다. 보호 대상은 거래 정보다.
반면 랜섬웨어는 기업 내에서 지금 당장 활용돼야 하는 중요 내부 정보를 공격 목표로 한다. 그래야만 금전적 요구가 수용될 가능성이 크기 때문이다. 그렇다면 블록체인을 기업 내부 정보까지 확대하면 될 것 아닌가라고 생각할 수도 있겠으나, 이는 실현 불가능한 생각이다.
블록체인 기술은 운영을 위해 기존 방식보다 상당히 많은 시간과 비용을 지불해야 하는 오버헤드가 발생하는 방식이다. 그럼에도 불구하고 거래당사자 간에 안전하고 신뢰성 있는 정보의 공유를 기술적으로 뒷받침하기 때문에 각광받고 있는 것이지 내부 정보를 저장·관리하는 데 이러한 오버헤드를 감수할 수는 없는 노릇이다. 거래 정보와 내부 정보의 규모 차이도 무시하지 못할 문제가 될 것이다.
랜섬웨어 공격자는 작업증명(Proof of Work, PoW)을 요구받지 않는다. 블록체인의 안전성 또는 신뢰성을 유지하는 가장 큰 특징이 바로 PoW 또는 이와 유사한 기술이다. 그러나 이러한 기술은 특정 거래를 위·변조하고, 위·변조한 특정 거래가 정상 거래로 보이도록 하려는 공격자에게는 위력을 발휘하겠지만, 랜섬웨어 공격자에게는 무력한 기술이다.
랜섬웨어 공격자의 관심사는 랜섬웨어에 의해 암호화된 블록이나 거래(TR)가 모든 블록체인 참여자에게 정상으로 보이게 하는 것이 아니라 단지 본인이 보유한 암호화 키에 의해서만 복호화될 수 있기를 기대하기 때문이다.
특정 블록 또는 거래에 대한 암호화는 1초도 걸리지 않는 일이며, 전 세계 노드에 저장돼 있는 동일 블록 또는 거래를 암호화하는 것이 전체 블록체인 중 일부가 변경된 사실을 인지하고 정상 블록체인으로부터 복제해 암호화된 블록을 복구하는 시간보다 절대 늦지 않을 것이다.
다만 특정 블록 또는 거래를 암호화하더라도 누구에게 금전을 요구해야 하는지 불분명하기 때문에 시도 자체가 의미 없는 행위일 수 있으나, 도스 공격을 통한 특정 블록체인에 대한 무력화를 무기로 컨소시엄 또는 퍼블릭(Public) 블록체인 제공 사업자에 대한 협박은 가능할 것이다.
결론적으로 현재로서는 블록체인은 랜섬웨어에 대한 대응 기술도, 공격에 견고하지도 않은 기술이다. 다만 아직 성숙하지 않은 기술이며 발전 가능성이 무궁무진하기 때문에 속단하기는 이를 수도 있다.

랜섬웨어 대응 방안과 우리의 자세

이상의 분석 내용을 기반으로 랜섬웨어에 대한 대응 방안을 생각해보면 다음과 같다.

– 고가의 보안 제품을 도입하기 어려운 중소기업일수록 서비스를 제공하는 서버와 업무 망의 분리, 데이터 백업, 사용자들의 주의가 필요하며 최소한의 방화벽과 침입방지시스템(IPS) 등 네트워크 보안 제품과 PC 백신 등의 사용이 기본적으로 필요하다(리눅스 등 서버나 스마트폰도 랜섬웨어의 안전지대는 아니기 때문에 서버 데이터와 백업 스마트폰 사용에도 주의해야 한다).

– 드라이브 바이 다운로드를 방지하기 위해 모든 웹 서비스 사업자는 서비스 서버의 모든 파일이 변조되지 않았는지를 실시간으로 모니터링 및 자동 복구할 수 있는 기술적 체계를 반드시 구축해야만 한다. 사안의 긴급성을 감안해 ‘서버 보안 구축 지원사업’과 같이 정부 또는 공공 지원사업을 추진하는 것도 한 가지 방안이 될 것이다.

전방위적 위협은 비트코인이 사라지거나 통제돼 자금 흐름이 추적되지 않는 한 갈수록 고조될 것으로 전망되며, 특히 한국의 경우 서두의 호스팅 업체가 복구 비용을 지불한 것을 계기로 공격이 증가할 것으로 보는 게 보안업계 전문가들의 중론이다. 이러한 상황에도 불구하고 전가의 보도 같은 확실한 대응 방안은 현재까지는 없기 때문에 지속적인 관심을 기울여야 할 것이다.
지난 2월에 열린 글로벌 최대 보안 컨퍼런스 ‘RSA 컨퍼런스 2017’에서는 ‘랜섬웨어의 위협으로 인한 암흑의 시대가 올 수 있음’을 시사한 바 있다. 랜섬웨어는 IT 비즈니스 전 영역에 대한 위협으로 급부상하고 있다. 융합시대, IT 기술도 진화하지만 이에 비례해 위협도 진화한다는 것을 인지해야겠다. 이제 랜섬웨어도 서비스화되고 있는 시대에 이르렀고, 랜섬웨어 또한 사회공학적 기법을 활용해 더욱 정교화될 것이다. 앞으로 초연결시대, 새로운 디바이스들의 등장은 랜섬웨어의 새로운 타깃이 될 가능성이 높다.
최근 보안 위협에 대한 접근이 기술 및 통제 중심에서 ‘사람’ 중심으로 넘어가고 있으며 이를 이해할 필요가 있다. 클라우드 컴퓨팅, 소셜네트워크가 발달함에 따라 보안 기술의 진화도 뒷받침되고 있는데 기술이 아닌, 사람 중심의 보안으로 개인의 행동양식과 프로세스에 역점을 둔 보안 기술로의 진보가 이루어질 필요가 있다는 것이다.
다계층 보안 방어 구축 및 랜섬웨어 대응 솔루션 도입 등 보안 시스템을 통한 랜섬웨어 유입을 최소화하는 것과 빠른 사후 대응을 위한 보안 체계를 마련하는 것이 중요하다. 또한 랜섬웨어 대응을 위한 예방책을 소모성 비용이 아닌 ‘보험’으로 인식해야 하며, 사전에 안전한 보안 환경을 구축하고 보안에 대한 습관을 들이는 것이 무엇보다 중요하다.

* 저작권법에 의하여 해당 콘텐츠는 코스콤 웹진에 저작권이 있습니다.

* 따라서, 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금합니다.