디지털 인질극, 랜섬웨어(Ransomware)

디지털 인질극, 랜섬웨어(Ransomware)의 개념

랜섬웨어는 몸값이라는 Ransom이라는 단어와 소프트웨어의 ware가 합쳐진 합성어로 "시스템을 잠그거나 데이터를 암호화하고 이를 인질로 돈 등을 요구하는 악성 프로그램"이다.

랜섬웨어는 최근에 등장한 것 같지만, 사실 최초의 등장은 1989년 조셉 팝(Joseph Popp)이 작성한 AIDS가 시작이다. 이토록 오래전에 등장했지만 그동안 랜섬웨어의 등장은 다른 악성코드처럼 활발하지 못했다. 왜냐하면 돈을 주고받는 행위는 결국 오프라인으로 만나거나, 계좌를 이체해야 하는 등. 잡히기 매우 쉽기 때문에 해커가 다른 방식으로 이득을 취하는 경우가 많았기 때문이다.

하지만, 비트코인(Bitcoin)이 등장하며 암호화폐는 해커들(정확히 말해서는 크래커들)사이에서 랜섬웨어로 매우 쉽게 돈을 벌 수 있는 수단을 제공하게 되면서 랜섬웨어는 폭발적으로 성장하게 된다. 다른 시선으로 비트코인의 폭발적인 성장세는 랜섬웨어가 시켰다는 우스개 소리가 있을 정도이다.

필자의 경우, 국내에서 랜섬웨어에 걸린 피해자들이 해커들에게 비트코인을 지불해야 되는 것을 도와주는(정확히 말해서 방법을 알려주는) 분을 지인으로 알고 있는데 이 분은 이 때문에 비트코인이 크게 뜰거라 생각해서 100만원대에 비트코인을 매수를 하셨었다.

랜섬웨어의 공격 프로세스와 공격 유형, 종류

공격 프로세스

source, https://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=24371v

랜섬웨어는 기존의 바이러스와 같은 악성코드와 감염되는 방식과 유사하다. 다만 차이점이 바이러스는 파일에 악성코드를 심어서 의도치 않는 행위를 한다면 랜섬웨어는 공격 대상을 암호화한다. 암호화된 파일들은 풀 수 있는 키가 있지 않는 이상 복호화를 할 수 없기 때문에, 사실상 랜섬웨어가 걸린 경우 방법이 없을 정도다.

공격 유형

구분	상세설명	피해
E-mail 첨부파일	- 이메일의 첨부파일이나 링크 형태로 악성 프로그램 유포	- 문서, 이미지, 동영상 등 암호화 후 금품요구 - 소프트웨어 인증코드 생성하여 금품요구 - 운영체제 잠금을 통한 금품요구
Adobe 취약점	- Adobe reader, Adobe flash 취약점 악용
ActiveX 취약점	- Active-X의 취약점을 악용하여 유포
아이콘 위장	- 알려진 프로그램의 아이콘으로 위장하여 악성프로그램 다운로드
메시지, SNS  링크 공격	- 인스턴스 메시지, SNS 등의 링크를 통해 전파. 사회공학적 기법 응용

랜섬웨어 종류

심플로커(SimpleLocker)

- 모바일 랜섬웨어의 일종으로 스마트폰의 사진이나 동영상, 문서를 암호화 후 금전 요구

크립토락커(CryptoLocker)

- 피해자 PC의 파일을 암호화한 후 비트코인이나 현금을 요구, 돈을 보내지 않으면 이를 풀어주지 않겠다고 협박

스케어웨어(ScareWare)

- 가장 단순한 형태의 악성코드로 대체로 가짜 안티바이러스 프로그램이나 바이러스 제거 툴로 위장해 PC에 문제가 많으니 돈을 내고 이를 고쳐야 한다고 경고

락-스크린(Lock-Screen)

- 감염되면 PC를 전혀 사용 할 수 없고, 일반적으로 풀 사이즈 윈도 창을 여러 개 띄워 FBI나 사법부 로고를 박아놓고 불법 다운로드 등으로 법을 어겼으니 벌금을 내야 한다며 협박

워너크라이(WannaCry)

- MS Windows의 SMB(Server Message Block)을 이용하여 감염, 감염된 시스템에서 접속 가능한 IP를 스캔하여 네트워크로 전파, 감염되면 바탕화면을 변경하고 파일들을 암호화

WannaCry의 감염 시 등장하는 안내 화면

특히 2017년 5월에 발생한 워너크라이(WannaCry)는 전세계적으로 매우 강력한 전염력을 보여주면서 랜섬웨어를 잘 모르던 사람들도 알게 될 정도로 당시 신문이나 네이버 등에서 자주 등장하면서 사람들을 공포로 몰고 갔었다. 이때 많은 사람들이 백업용으로 외장하드를 많이 구매하게 된다.

국내 웹호스팅 업체의 랜섬웨어 사건

워너크라이로 전세계적인 이슈가 발생했을 때, 국내 웹호스팅 업체 '인터넷나야나'에서 리눅스 변종 랜섬웨어인 Erebus로 웹서버 및 백업서버 153대가 감염되면서 해커에게 13억원을 준 사건이 있다.

My boss tell me, your buy many machine, give you good price

550 BTC

If you do not havce enough money, you need make a loan

You company have 40+ employees,

every employees's annual salary $30,000

all employees 30,000*40 = $1,200,000

all server 550BTC = $1,620,000

If you can't pay that, you should go bankrupt.

But you need to face your childs, wife, customers and employees.

Also you will lost your reputation, business.

You will get many more lawsuits.

- 해커가 보낸 메세지 -

처음에는 162만 달러라는 중소기업 입장에서 파산하라는 말과 같은 금액을 요구받았으나, 협상을 통해 13억으로 타결하면서 복호화 키를 받고 랜섬웨어의 암호를 푼 사건이었다. 

이 일을 계기로 국제적에서 활동하는 해커 그룹(Armada Collective)이 국내 기업들을 타겟으로 공격을 하는 등. 해커들의 인식에서 국내의 기업들은 먹잇감이라는 안 좋은 인식이 심어지게 되었다.

해커그룹 'Armada Collective'의 비트코인 요구 협박 및 DDoS 공격 주의 2017.06.24

□ 개요

 o 최근 해커그룹 'Armada Collective'가 국내 기업을 대상으로 비트코인을 요구하는 협박 메일을 발송하고, DDoS 공격 시도 및 추가 공격을 예고하고 있어 DDoS 공격에 대비한 자체 모니터링 강화 및 DDoS 공격 대비 필요

□ 주요 내용

 o 해커그룹 'Armada Collective'는 협박 이메일을 보내고 DDoS 공격을 시도

  ※ NTP Amplification, TCP SYN Flooding, ICMP Flooding 등 인터넷 회선 대역폭 및 웹서버 자원을 고갈시키는 공격기법 활용

 o 특정 일자까지 비트코인 입금을 요구하며, 송금하지 않을 경우 추가 공격을 예고하며 협박

- KISA의 Armada Collective 해커 그룹의 공격 주의 게시글 -

랜섬웨어 예방 수칙

가장 확실한 것은 중요 자료를 정기적으로 백업하는 것이다. 어떤 방법으로 당할 수 있을지... 모든 것을 예방하기가 힘들기 때문에 개인의 경우 외장 하드로 주기적으로 백업을 하고 랜섬웨어에 걸릴 경우 과감하게 포맷을 하는 것이 정신건강에 좋다.

백업을 한 후 꼭 케이블을 분리하며 외장하드를 계속 USB로 연결을 해 놓는 행동을 하지 않으며, 클라우드와 같은 공간도 적극적으로 활용하여 외장하드 + 클라우드 복구 방법을 늘리는 것이 좋다.

참고자료

위키피디아 - 랜섬웨어

안랩(Ahnlab) - 최신 보안 뉴스

나무위키 - 인터넷나야나 랜섬웨어 감염 사태

KISA - 해커그룹 'Armada Collective'의 비트코인 요구 협박 및 DDoS 공격 주의

연관 포스팅

랜섬웨어 복구방법, NMR(No More Ransom)