사이버위협 관점에서 볼 때 2017년은 ‘랜섬웨어의 해’라고 불러야 할 것 같습니다. 올해 상반기 내내 ‘랜섬웨어’ 위협이 쓰나미처럼 몰려왔습니다.
랜섬웨어는 작년에도 크게 기승을 부리면서 가장 위협적인 악성코드로 떠올랐는데요, 올해에는 그 강도와 위력이 더욱 커졌습니다.
지난 5월 전세계를 강타해 단숨에 100여개국 수십만대 컴퓨터를 감염시켜 큰 피해를 입힌 ‘워너크라이(WannaCry)’ 랜섬웨어가 대표적인 사례입니다. 마이크로소프트 윈도 운영체제의 SMB(Server Message Block) 프로토콜 취약점을 악용하는 랜섬웨어로, 사용자 활동과 관계없이 네트워크상에서 스스로 전파할 수 있는 능력을 갖고 있어 대규모로 확산됐습니다.
이달 초에는 ‘워너크라이’와 같은 취약점과 익스플로잇을 사용해 빠르게 전파할 뿐 아니라 파괴력까지 지닌 ‘네티야(Nyetya, 일명 페트야(Petya) 변종)’까지 등장했습니다. ‘네티야’는 공격자가 요구하는 대가를 지불하더라도 복호화가 불가능해 금전 목적 보다는 파괴적 성격이 강한 것으로 분석됐는데요. 우크라이나를 겨냥해 러시아가 벌인 사이버표적공격이라는 분석이 나오기도 했습니다.
그나마 국내에서는 ‘워너크라이’나 ‘네티야’로 인한 피해는 크지 않았습니다. 하지만 리눅스 기반 ‘에레버스’ 랜섬웨어에 인터넷호스팅 기업인 ‘인터넷나야나’의 서버 150여대가 한꺼번에 감염돼 웹·서버 호스팅을 받고 있던 5000여개 웹사이트가 피해를 입으면서 큰 이슈가 됐습니다.
이 호스팅기업은 결국 고객 데이터를 복구하기 위해 13억원에 달하는 비트코인을 해커에게 지불하고 오랜 복호화 작업을 벌인 후에야 서비스를 가동할 수 있었습니다.
이 ‘인터넷나야나’ 사건은 단순 랜섬웨어 감염이 아니라 지능형지속위협(APT)이 결합된 방식으로 표적공격이 이뤄진 것으로 나타났습니다. 공격자는 사전에 탈취한 계정정보를 이용해 서버를 장악한 후 백업된 자료까지 모두 파기해놓은 상태에서 모든 서버에 설치한 랜섬웨어를 실행시켰습니다. 아직까지는 이번 침해사고 원인을 규명할 핵심단서인 최초 계정정보 유출 경로가 밝혀지지 않은 상태입니다.
이밖에도 크게 이슈화되지 않았지만 올해 내내 세이지, 비너스락커 변종, 메트릭스 등 수많은 랜섬웨어가 발견돼 많은 개인과 기업에 피해를 입혔습니다.
공격자들에게 높은 수익을 가져다준다는 이점 때문에 랜섬웨어 악성코드는 계속해서 기승을 부릴 것으로 예상되는데요. 보다 쉽게 제작, 배포하는 방법을 사용되고 있고, 탐지나 방어를 회피하기 위해 갈수록 더욱 정교화되는 양상이 나타나고 있어 걱정입니다.
시스코가 최근 발표한‘2017 중기 사이버보안 보고서(Cisco 2017 Midyear Cybersecurity Report)’에는 시스코 위협 분석가들이 관찰한 최근 랜섬웨어 공격 추세가 담겨있습니다.
RaaS 플랫폼
먼저 ‘서비스형랜섬웨어(RaaS)’ 플랫폼이 빠르게 성장하고 있다는 점입니다. 이제 공격자들은 랜섬웨어를 직접 코딩하거나 프로그래밍하지 않아도, 기술역량이 좀 부족하더라도 RaaS를 이용해 얼마든지 쉽게 랜섬웨어를 유포할 수 있습니다. RaaS 플랫폼 운영자들 중에서는 제작뿐만 아니라 캠페인 진행 상황을 추적하는 ‘고객 서비스’를 제공하고 있을 정도로 발전하고 있는 상황입니다.
오픈소스 코드베이스
최근 오픈소스 랜섬웨어 코드를 기반으로 만들어진 새로운 랜섬웨어도 발견되고 있습니다. 공격자들은 Hidden Tear, EDA2와 같은 오픈소스 코드를 ‘교육적인 목적’으로 공개하고 있습니다. 이같은 오픈소스 코드베이스는 멀웨어를 빠르고 쉽게 비용효과적으로 생성할 수 있습니다. 공격자들은 코드를 수정해 원본과는 다르게 보이도록 조치한 후 악성코드를 배포합니다.
익명화되고 분산된 인프라
랜섬웨어를 비롯해 악성코드 제작자들은 탐지를 회피하기 위해 새로운 기술을 활용하고 있습니다. 명령제어(C&C) 인프라를 난독화하기 위해 익명화되고 분산된 네트워크 인프라나 프로토콜을 사용합니다. 토르(Tor) 네트워크를 사용해 그 안에서 C&C 서비스를 제공하는 방식이 대표적이죠. 때문에 공격자들이 사용하는 C&C 인프라를 추적하는 것이 점점 더 어려워졌습니다.
공격자들은 샌드박스나 악성코드 자동 탐지 시스템을 우회할 수 있는 방법을 끊임없이 찾아내고 시도하고 있습니다.
RDoS, 협박성 디도스 공격
랜섬웨어 외에도 올해 협박성 디도스(DDoS, 분산서비스거부) 공격으로 금융권이 비상에 걸린 적이 있었습니다.
‘아르마다 콜렉티브(Armada Collective)’라는 해외 해킹그룹이 국내 은행 등 금융기관들에게 금전(비트코인)을 요구하면서 1테라비트(Tbps)에 달하는 대규모 디도스 공격을 가하겠다고 협박한 일이 있었습니다.
실제 공격이 발생하지 않아 해프닝으로 끝났지만, 이같은 RDoS(ransom denial of service)도 최근 전세계적으로 두드러지는 추세입니다.
시스코 보안팀이 기업에 제시하는 보안 권고
·인프라와 애플리케이션을 최신 상태로 유지해 공격자가 공개된, 알려진 취약점을 이용할 수 없도록 한다.
·통합적인 방어체계를 구축해 복잡성을 해결한다.
·위험·보상·예산 제약사항을 파악할 수 있도록 회사 주요 임원을 초기 단계부터 참여시킨다.
·명확한 지표를 설정하고 이를 활용해 보안 프랙티스를 검증 및 개선한다.
·일반적인 방법과 역할 기반 교육을 비교해 직원 보안 교육을 검토한다.
·방어와 적극적인 대응 간 균형을 유지한다. 보안 통제나 프로세스를 ‘설정하고 잊지 않도록’ 한다.
글. <이유지 기자>yjlee@byline.network
이유지 기자는 전문기자들의 멀티채널네트워크(MCN)인 바이라인네트워크에서 활동하고 있습니다.