랜섬웨어 공격의 진화

랜섬웨어(Ransomware) 란 ?

랜섬웨어는 사용자의 데이터나 장치를 잠그고, 이를 해제하기 위해 금전적인 몸값을 요구하는 멀웨어의 한 종류입니다. 최근에는 단순한 데이터 암호화를 넘어서, 데이터를 탈취하고 이를 공개하겠다고 협박하는 이중 갈취 및 삼중 갈취 공격으로 진화하고 있습니다.

랜섬웨어의 정의 및 특징

• 정의: 랜섬웨어는 사용자의 컴퓨터를 제어하거나 데이터를 암호화하여 사용자가 접근할 수 없게 만든 후, 이를 해제하기 위해 금전을 요구하는 악성 소프트웨어입니다. 
• 진화: 최근 랜섬웨어는 데이터를 암호화하는 것뿐만 아니라, 데이터를 탈취하여 공개하겠다고 협박하는 방식으로 진화했습니다. 이러한 공격은 이중 갈취 또는 삼중 갈취 공격으로 불리며, 피해의 범위와 심각성을 증가시킵니다. 

랜섬웨어의 영향

• 통계: 2022년에 랜섬웨어 공격은 전체 사이버 공격의 17%를 차지했습니다. 방어자들은 공격을 더 성공적으로 탐지하고 차단했지만, 공격 타임라인이 단축되어 조직이 대응할 시간이 거의 없어졌습니다. 2
• 기업에 미치는 영향: 랜섬웨어는 기업 데이터를 암호화한 후, 접근 권한을 되찾고 싶으면 몸값을 요구합니다. 이로 인해 기업은 중요한 데이터를 잃거나, 엄청난 금전적 손실을 입을 수 있습니다. 4

랜섬웨어의 위협은 계속해서 진화하고 있으며, 이에 대응하기 위해서는 지속적인 보안 교육과 정기적인 백업, 그리고 최신 보안 소프트웨어의 사용이 필수적입니다. 또한, 의심스러운 이메일이나 링크는 열지 않는 등의 기본적인 사이버 보안 수칙을 준수하는 것이 중요합니다. 🛡️🔐

랜섬웨어 기술의 세대별 발전 단계

랜섬웨어는 시간이 지남에 따라 여러 세대를 거치며 발전해왔습니다. 각 세대는 기술적 진보와 공격 방식의 변화를 통해 구분됩니다. 아래에서는 랜섬웨어의 주요 발전 단계를 세대별로 살펴보겠습니다.

초기 랜섬웨어 (1세대)

• 특징: 초기 랜섬웨어는 주로 간단한 암호화 기법을 사용하여 사용자의 파일을 잠그고 몸값을 요구하는 방식이었습니다. 이 단계의 랜섬웨어는 기술적으로 복잡하지 않았으며, 대부분 개인 사용자를 대상으로 했습니다.

고도화된 암호화 랜섬웨어 (2세대)

• 특징: 이 세대의 랜섬웨어는 보다 고도화된 암호화 기술을 사용하여 파일을 잠그고, 복구 키 없이는 데이터를 복구할 수 없도록 만들었습니다. 이 시기에는 기업과 조직을 대상으로 한 공격이 증가하기 시작했습니다.

Ransomware as a Service (RaaS) (3세대)

• 특징: RaaS 모델의 등장으로 랜섬웨어 공격은 더욱 조직화되고 전문화되었습니다. 이 모델을 통해, 공격자들은 랜섬웨어를 '서비스'로 제공받아, 별도의 기술적 지식 없이도 공격을 수행할 수 있게 되었습니다.

이중/삼중 협박 랜섬웨어 (4세대)

• 특징: 최신 세대의 랜섬웨어는 단순히 데이터를 암호화하는 것을 넘어서, 데이터를 탈취하고 이를 공개하겠다고 협박하여 몸값 지불을 강요합니다. 일부 공격에서는 데이터 복구와 공개를 막기 위한 '이중 몸값'을 요구하기도 하며, 추가적인 협박 수단으로 DDoS 공격을 예고하는 경우도 있습니다.

랜섬웨어의 발전은 사이버 보안의 중요성을 강조합니다. 각 세대의 랜섬웨어는 보안 기술의 발전에 따라 새로운 방식으로 대응해야 하는 도전을 제시합니다. 따라서, 지속적인 보안 교육, 정기적인 백업, 보안 소프트웨어의 사용 등이 필수적입니다. 랜섬웨어의 위협은 계속해서 진화할 것이므로, 우리의 대응 또한 발전해야 합니다.

랜섬웨어 공격의 진화

랜섬웨어 공격은 지난 몇 년 동안 눈에 띄게 진화해왔습니다. 초기에 단순한 파일 암호화와 몸값 요구에서 시작된 랜섬웨어는 이제 조직화된 범죄로 발전했으며, 공격자들은 이익을 증대하기 위해 더 쉬운 방법을 모색하고 피해자들에게 지불 압력을 가하고 있습니다. 이 글에서는 랜섬웨어 공격의 진화 과정과 그에 따른 대응 방안에 대해 자세히 살펴보겠습니다.

랜섬웨어의 초기 단계

• 파일 암호화와 몸값 요구: 초기 랜섬웨어는 주로 사용자의 파일을 암호화하고, 이를 해제하기 위한 몸값을 요구하는 방식으로 작동했습니다. 이러한 공격은 대부분 개인 사용자를 대상으로 이루어졌으며, 비교적 단순한 기술로 실행되었습니다.

조직화된 범죄로의 진화

• Ransomware as a Service (RaaS): 최근 랜섬웨어 공격은 RaaS 모델을 통해 조직화된 범죄로 발전했습니다. 이 모델은 전문 지식이 없는 사람도 랜섬웨어를 구매하고 사용할 수 있게 하여, 공격의 범위를 대폭 확장시켰습니다.
• 이익 증대를 위한 전략: 공격자들은 피해자에게 더 큰 압력을 가하기 위해 다양한 전략을 사용합니다. 예를 들어, 데이터를 암호화하는 것뿐만 아니라 중요한 정보를 탈취하고 이를 공개하겠다고 위협하여 몸값 지불을 강요합니다.

랜섬웨어 공격의 현재 동향

• 조직화된 범죄의 증가: 랜섬웨어 공격이 조직화된 범죄로 발전함에 따라, 공격자들은 더욱 정교하고 대규모의 공격을 계획하고 있습니다. 이는 기업과 정부 기관을 포함한 다양한 대상에게 심각한 위협이 되고 있습니다.
• 대응 방안의 중요성: 랜섬웨어 공격의 진화에 따라, 효과적인 대응 방안 마련의 중요성이 더욱 강조되고 있습니다. 이에는 정기적인 백업, 보안 소프트웨어의 사용, 직원 교육 등이 포함됩니다.

랜섬웨어 공격의 진화는 우리에게 랜섬웨어가 단순히 기술적인 문제가 아니라, 조직화된 범죄와의 싸움임을 상기시킵니다. 따라서, 개인과 조직 모두가 보안 의식을 강화하고, 지속적인 보안 업데이트와 교육을 통해 이러한 위협에 대응해야 합니다. 랜섬웨어 공격의 진화는 멈추지 않을 것이므로, 우리의 대응 또한 진화해야 합니다. 보안에 대한 지속적인 관심과 투자가 필요한 시점입니다. 

반응형

랜섬웨어는 누가 만드는가?

랜섬웨어를 만드는 사람들은 대부분 범죄 조직이나 해커 그룹에 속해 있으며, 이들의 목적은 대부분 금전적 이득입니다. 특정 개인이나 조직을 지목하기는 어렵지만, 몇 가지 유명한 사례를 통해 랜섬웨어 제작자들의 다양성을 엿볼 수 있습니다.

랜섬웨어 제작자의 유형

• 범죄 조직: 대부분의 랜섬웨어는 범죄 조직에 의해 제작되며, 이들은 전문적인 기술을 가지고 대규모의 공격을 계획합니다. 예를 들어, WannaCry 랜섬웨어는 전 세계적으로 큰 피해를 입혔으며, 이를 제작한 조직은 북한에 기반을 둔 것으로 추정됩니다.
• 개인 해커: 일부 랜섬웨어는 개인 해커에 의해 제작되기도 합니다. 예를 들어, 유명 유튜버 PewDiePie의 구독자 수를 늘리기 위해 한 팬이 랜섬웨어를 만든 사례가 있습니다. 
• 커뮤니티 활동가: 드물게, 특정 커뮤니티 내에서 활동하는 개인이나 그룹이 랜섬웨어를 제작하는 경우도 있습니다. 예를 들어, 2017년에는 동방 프로젝트 갤러리에서 한 사용자가 자신이 만든 랜섬웨어에 대해 언급한 사례가 있습니다. 

<WannaCry ramsomware>

랜섬웨어 제작자들은 다양한 배경과 목적을 가지고 있으며, 이들의 활동은 지속적으로 모니터링하고 대응하는 것이 중요합니다. 랜섬웨어 공격을 예방하기 위해서는 정기적인 보안 업데이트와 백업, 그리고 의심스러운 링크나 파일을 열지 않는 등의 기본적인 사이버 보안 수칙을 준수해야 합니다.

RaaS에 대해 좀더 알아보자

Ransomware as a Service (RaaS)는 랜섬웨어 공격을 수행할 수 있는 서비스를 제공하는 비즈니스 모델입니다. 이 서비스는 주로 다크 웹에서 운영되며, 사용자는 비용을 지불하고 원하는 랜섬웨어를 선택하여 특정 대상에 대한 공격을 실행할 수 있습니다. RaaS는  사이버 범죄자들이 랜섬웨어 공격을 쉽게 수행할 수 있도록 하는 서비스입니다. 이러한 서비스는 사이버 보안에 큰 위협이 되며, 몇몇 대표적인 RaaS는 많은 피해를 입혔습니다.

RaaS의 작동 방식

• 서비스 모델: RaaS는 소프트웨어 개발자가 랜섬웨어를 만들고, 사용자는 이를 구매하여 특정 대상을 공격하는 서비스 형태입니다. 사용자는 계정을 생성하고, 첫 번째 결제(주로 비트코인으로)를 한 후 원하는 맬웨어 유형을 선택할 수 있습니다. 결제가 완료되면 공격자는 맬웨어를 배포합니다.

RaaS의 영향

• 공격 비중: 2021년 공격 비중에서 서비스형 랜섬웨어(RaaS)가 64%로 압도적으로 많았으며, 제조업 등을 비롯한 다양한 업종을 무차별 공격했습니다. RaaS를 통해 아마추어도 쉽게 랜섬웨어 공격을 할 수 있게 되었습니다.

대표적인 RaaS 예시

GandCrab

• GandCrab은 대표적인 RaaS 중 하나로, 서비스 중단 전까지 많은 피해를 입혔습니다. GandCrab은 사용자가 비용을 지불하고 랜섬웨어 공격을 실행할 수 있는 플랫폼을 제공했습니다. 

GrandCrab

Hive RaaS

• 개요: Hive는 2021년 6월부터 2023년 1월까지 활동한 랜섬웨어 서비스(RaaS) 운영 그룹입니다. 
• 피해 규모: Hive는 전 세계적으로 1,500명 이상의 피해자를 남기고 수백만 달러의 몸값을 갈취했습니다.

DarkSide RaaS

• 개요: DarkSide는 CARBON SPIDER라는 eCrime 그룹과 연관된 RaaS 운영입니다. 
• 피해 사례: DarkSide는 Colonial Pipeline 사건에 관여했으며, 이 사건에서는 약 100GB의 데이터가 도난당하고 거의 500만 달러의 몸값이 지불되었습니다.

REvil RaaS

• 개요: REvil, 또한 Sodinokibi로 알려져 있으며, PINCHY SPIDER라는 범죄 그룹에 의해 판매되는 RaaS입니다. 
• 피해 규모: REvil은 기록적인 1천만 달러의 몸값 요구 사례를 포함하여 전 세계 기업들로부터 큰 금액을 갈취했습니다.

Dharma RaaS

• 개요: Dharma는 주로 원격 데스크톱 프로토콜(RDP) 공격과 연관되어 있으며, 2016년부터 다크 웹에서 사용 가능합니다. 
• 피해 규모: 공격자들은 대상으로부터 1-5 비트코인을 요구하며, Dharma의 변종은 다양한 소스에서 나오며, 대부분의 사건에서 거의 100% 일치하는 샘플 파일을 발견했습니다. 

LockBit RaaS

• 개요: LockBit는 러시아어를 구사하는 사용자 또는 러시아어를 구사하는 보증인이 있는 영어 사용자를 대상으로 광고되며, 2019년 9월부터 개발되었습니다. 
• 피해 사례: LockBit는 러시아어 범죄 포럼에서 데이터 유출 위협을 게시하는 등의 활동을 통해 주목을 받았습니다.

랜섬웨어 공격 방지 및 복구 전략

랜섬웨어 공격으로부터 회복하는 것은 어렵고 비용이 많이 들기 때문에, 공격을 완전히 예방하는 것이 최선의 방법입니다. RaaS 공격을 예방하는 방법은 일반적인 랜섬웨어 공격을 예방하는 방법과 동일합니다. RaaS는 단지 악의적인 의도를 가진 사람이 쉽게 사용할 수 있도록 패키지화된 랜섬웨어일 뿐입니다.

랜섬웨어 공격 예방 전략

• 신뢰할 수 있는 최신 엔드포인트 보호 구현: 고급 알고리즘을 사용하고, 백그라운드에서 자동으로 24시간 작동하는 보호 기능을 구현합니다. 
• 정기적이고 자주 백업 수행: 주말마다 한 번만 백업을 수행한다면, 랜섬웨어 공격으로 인해 일주일간의 작업 결과물을 잃을 수 있습니다.
• 여러 백업을 만들고 별도의 장치에 다른 위치에 저장: 중요한 데이터의 손실을 방지하기 위해 다양한 위치에 백업을 분산시킵니다.
• 백업을 정기적으로 테스트하여 복구 가능성 확인: 백업이 제대로 작동하는지 정기적으로 확인하여, 필요할 때 데이터를 복구할 수 있는지 확인합니다.
• 지속적인 패치 프로그램 유지: 알려진 및 알려지지 않은 취약점으로부터 보호하기 위해 엄격한 패치 프로그램을 유지합니다.
• 네트워크 세분화를 통한 확산 방지: 네트워크를 세분화하여 환경 전체로의 확산을 방해합니다.
• 고급 안티 피싱 보호 구현: 사용자를 대상으로 한 피싱 공격으로부터 보호하기 위해 고급 안티 피싱 솔루션을 구현합니다.
• 사용자 교육 투자 및 보안 문화 구축: 사용자들이 보안에 대해 인식하고, 보안을 우선시하는 문화를 구축합니다.

랜섬웨어 공격 복구 전략

• 랜섬웨어 복구 계획의 중요성: 데이터를 암호화하고 지불을 요구하는 범죄 침입에 대처하기 위한 복구 계획이 중요합니다. 
• 최근 및 신뢰할 수 있는 백업에서 파일 복원: 랜섬웨어 공격으로부터 회복하는 가장 좋은 방법은 최근 및 신뢰할 수 있는 백업에서 파일을 복원하는 것입니다. 

랜섬웨어 방어 솔루션 (국내외)

• 랜서트(Rancert): 랜섬웨어 유형, 복호화 도구, 예방 방법에 대한 정보를 제공합니다. 사용자는 랜섬웨어 사건을 신고하고 서버 방어 솔루션에 접근할 수 있습니다. 웹 안전 검사 및 악성 코드 탐지 기능도 제공합니다. 
• ESTsecurity: 랜섬웨어 대응 솔루션을 고려할 때, 랜섬웨어 위협이 특정 의도를 가진 개인에 의해 생성된다는 것을 이해하는 것이 중요합니다. ESTsecurity는 이러한 위협에 대응하는 솔루션을 제공합니다. 
• WhiteDefender: 행동 기반으로 100% 랜섬웨어 공격을 차단하는 안티 랜섬웨어 솔루션입니다
• Symantec Endpoint Protection - Symantec
• Cisco - Umbrella, AMP, XDR
• McAfee Total Protection - McAfee
• Bitdefender GravityZone - Bitdefender
• Kaspersky Endpoint Security - Kaspersky Lab
• Sophos Intercept X - Sophos
• Trend Micro Apex One - Trend Micro
• ESET Endpoint Security - ESET
• Malwarebytes for Business - Malwarebytes
• Avast Business Antivirus Pro Plus - Avast
• F-Secure Protection Service for Business - F-Secure