[칼럼] 당신의 지갑을 노리고 있는 랜섬웨어


“당신의 모든 개인 파일이 강력한 알고리즘을 통해 암호화 되었습니다. 해독하려면 비용을 지불하세요”


어느 날 컴퓨터에 위와 같은 메시지가 나타난다면 어떻게 하시겠습니까? 

이런 게 바로 최근 일반 인터넷 사용자들의 파일을 암호화 시키고 비용 지불을 요구하는 ‘랜섬웨어’ 입니다. 


한번쯤은 들어보았을 법한 이 랜섬웨어는 몸값을 뜻하는 랜섬(ransom)과 제품을 뜻하는 웨어(ware)의 합성어로, 컴퓨터 사용자의 문서를 인질로 잡고 돈을 요구한다고 해서 붙여진 명칭입니다. 얼마 전 유명한 온라인 커뮤니티 사이트에서도 이 랜섬웨어가 유포되어서 큰 문제를 일으킨 적이 있었지요.



엄청난 규모의 비즈니스로 진화한 랜섬웨어 


과거의 악성코드는 해커들이 자신의 실력을 과시하기 위한 용도로 사용되었지만, 몇 년 전부터는 이를 활용하여 금전적인 요구를 하는 비즈니스 형태로 변화하고 있습니다. 지난 한 해 동안 급증한 랜섬웨어는 보안 업계의 고민거리로 대두되고 있습니다. 사용자 또는 기업은 랜섬을 지불하는 것이 데이터를 되찾는 가장 비용 효율적인 방법이라고 생각합니다. 한 예로, 10년 동안 회사에서 사용하던 컴퓨터가 랜섬웨어에 감염되어 10년치의 설계도면이 암호화되어 사용할 수 없는 상태에 이르게 되자 어쩔수 없이 대가를 지불하고 복구한 사례도 있었지요. 하지만 어떻게 보면, 돈을 지불한 자체가 랜섬웨어의 개발에 직접 자금을 대고 있는 것으로도 볼 수 있습니다. 


첫번째 랜섬웨어는 1989년 AIDS라는 이름의 트로이목마로 알려져 있습니다. AIDS는 그 당시 플로피 디스크를 통해 확산되었지요. 이후 1996년 암호화 바이러스가 나오기 시작했고, 이를 바탕으로 2005년에 Krotten, Archiveus, GPCoder 등의 랜섬웨어가 등장하기 시작합니다. 이후 2012년 들어 좀 더 본격화 되면서 대량으로 랜섬웨어가 배포되었고 이때부터 암호를 해독하기 위한 금액이 요구되기 시작했습니다. 



GPCoder 는 암호를 해독하기 위해 비용 지불을 요청했던 최초의 랜섬웨어중 하나


랜섬웨어는 오늘날 전 세계 사용자들에게 지속적인 위협입니다. 불특정 다수를 대상으로 감염 비율을 높이기 위해 지능적인 방법을 사용하는 것은 물론, 점점 더 큰 금액의 복구 비용을 요구하고 있습니다. 


시스코에서 조사한 바로는 유명한 공격도구 중에 하나인 앵글러익스플로잇 킷(Angler Exploit Kit)이 랜섬웨어 배포로 연간 6천만 달러에 달하는 비용을 거둬들이는 것으로 추정하고 있습니다. 이는 월 평균 5백만 달러에 해당하며, 금액을 모두 합쳐서 생각해보면 랜섬웨어를 통해 얻는 수익 비용이 상상을 초월하는 규모일 것입니다. 또 다른 랜섬웨어의 사례인 로키(Locky)는 하루 90,000 명의 피해자를 양산하고 있고, 감염된 피해자의 2.9% 정도가 비용을 지불하는 것으로 추정됩니다. 로키의 해독된 키를 받기 위해 평균적으로 0.5 비트코인에서 1 비트코인 정도가 거래되고 있는데, 연 평균 3억 9천 3백만 달러 규모의 수입을 거둬들이는 것으로 볼 수 있습니다. 


 


로키(Locky) 가 1일, 30일, 1년 동안 벌어들이는 평균 금액(USD)을 추정한 것


최근의 일부 랜섬웨어는 더 큰 금액을 얻고자, 복구 비용을 더 높이고 있는 추세입니다. 또한 다수의 사용자를 대상으로 하다 보면 지속적으로 공격을 유지하기 위한 인프라를 유지하는 데에도 상당한 비용이 들어가다 보니 공격 방향을 확대해가고 있는 것으로 관측되고 있습니다. 



미래의 랜섬웨어


그렇다면 앞으로 미래의 랜섬웨어는 어떻게 변화할까요? 


만약 차세대 랜섬웨어가 과거의 악명 높았던 웜(Worm)과 같이 자체 전파방법을 가지고 사용자의 개입없이 자동으로 전파된다면 그 피해는 엄청날 것이라는 걸 알 수 있습니다. 이렇게 증가하는 랜섬웨어를 방어하기 위해서는 다양한 보안 정책이 수반되어야 하는데요, 개인 관점에서는 최신의 보안패치 유지, 의심스러운 메일이나 파일은 열어보거나 실행하지 않는 것과 같은 보안 규칙을 준수해야 합니다. 


기업의 관점에서는 내부로의 유입을 최대한 차단하기 위해 여러 레이어의 방어층을 구성하는 것이 필요한데요, 하나의 솔루션 만으로는 현재의 지능화된 위협을 완벽히 차단하는 것이 현실적으로 어렵기 때문입니다. 예를들어, 랜섬웨어가 유포되는 경로중에 하나인 이메일의 경우 시스코의 ESA(EMAIL SECURITY APPLIANCE)를 통해 아래와 같은 방어층을 구성하여 사용자에게 메일이 최종적으로 전달되기까지 여러 단계를 거쳐 위협 유무를 확인하는 것입니다.



시스코 이메일 시큐리티를 통한 랜섬웨어 위협 차단


앞으로도 공격자 그리고 방어자의 싸움은 계속 될 것입니다. 랜섬웨어로 인한 보안위협은 훨씬 지능적으로, 계속 증가할 것입니다. 이를 차단하기 위해서는 다양한 보안 솔루션도 필요하지만 가장 중요한 것은 그것을 관리하는 관리자, 즉 정책을 관리하고 적용하는 사람의 역할이 무엇보다 중요하다는 것입니다. 작게는 내 PC와 외부로부터 유입되는 파일, 메일들에 대한 보안 의식을 가지는 것이 중요하다는 것이겠지요. 랜섬웨어로부터 소중한 데이터를 안전하게 보호하는 가장 중요한 보안관은, 바로 지금 이 글을 읽고 있는 여러분입니다. 



이 칼럼을 SlideShare에서 다운받으실 수 있습니다!

<<클릭>> 당신의 지갑을 노리고 있는 랜섬웨어

 



Cisco IT Connect

시스코 전문가들의 칼럼에 담긴 최신 IT 트렌드!


이 글은 정관진 보안솔루션 스페셜리스트가 작성한 칼럼입니다.

  

 

  

저작자 표시 비영리 동일 조건 변경 허락
신고