[사이버 보안] 랜섬웨어에 대해 알아보자


코로나로 인한 펜데믹은 우리에게 언텍트 시대를 강제하게 되었습니다.

우리는 이제 업무와 경제생활, 교육 등을 포함한 많은 활동들을 온라인으로 대체하고 있는데, 변화하는 온라인 위주의 생활 환경에 맞춰 대두되는 문제가 바로 온라인 보안 영역입니다.


전 세계적으로 하루에 약 10,000건 이상의 보안 이벤트가 발생하며, 백만개 이상의 멀웨어(Malware), 6만개 이상의 신규 악성 도메인이 생성됩니다.


우리는 휴대폰과 노트북, 타블렛과 같이 온라인에 연결된 개인 디바이스를 평균 2개 이상 사용하고 있으며 IoT 제품의 사용량도 폭발적으로 늘어났습니다.

하지만 갑작스럽게 노출된 온라인 환경에 맞춰 보안의 중요성을 의식하지 못해 피해를 입는 경우가 많이 발생합니다.


그에 따라 인포라드는 사이버 보안과 그에 관련된 여러가지 정보들을 정리 해보겠습니다.

이번 시간에는 랜섬웨어에 대해 알아보겠습니다.

랜섬웨어(Ransomware)



랜섬웨어는 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 사용자의 컴퓨터 시스템을 감염시켜 접근을 제한하고 데이터를 암호화해 사용할 수 없도록 만든 후, 금전을 요구하는 악성 프로그램입니다.

컴퓨터 자체 또는 원하는 데이터로의 접근이 제한되기 때문에 제한을 풀기 위해서는 랜섬웨어 개발자에게 대가를 지불할 것을 강요받게 됩니다.


2021년 5월에는 미국 텍사스에서부터 뉴욕까지 휘발류 및 디젤, 제트 연료 등을 운반하며, 미 동부 해안에서 소비되는 모든 연료의 약 45%를 제공하는 미국 최대의 송유관 업체인 콜로니얼 파이프라인(Colonial Pipeline)가 랜섬웨어에 감염되는 사건이 발생했습니다.


랜섬웨어 감염을 통해 파이프라인의 청구 시스템이 손상되었으며, 100GB에 달하는 데이터를 해킹해 대가를 지불하지 않으면 인터넷에 공개하겠다고 위협했습니다.

회사는 파이프라인 가동을 중지했고, 폐쇄 후 주유소에 연료 부족 현상이 발생하기 시작했습니다.


회사는 공격자에게 약 440만 달러, 한화 약 57억원에 달하는 가격의 비트코인을 지불한 후 랜섬웨어 공격 6일만에 파이프라인을 다시 가동할 수 있었습니다.

이 공격은 미국의 중요 기반 시설에 대한 사상 최악의 사이버 공격으로 남게 되었습니다.


랜섬웨어 공격을 받은 콜로니얼 파이프라인사의 동부 해안 파이프라인

출처 : BBC

https://www.bbc.com/news/business-57050690



랜섬웨어의 역사

최초의 랜섬웨어는 1989년 조셉 팝(Joseph Popp)이 제작한 에이즈라는 이름의 트로이 목마 프로그램입니다.

이 프로그램은 하드 드라이브에 파일을 숨기고 파일의 이름을 암호화시킨 후, 특정 소프트웨어를 사용할 수 있는 라이선스가 만료되었다는 메시지를 표시해 사용자에게 금전을 지불할 것을 요구했습니다.


트로이 목마 프로그램이란 악성 루틴이 숨어있는 프로그램으로, 겉보기에는 정상적인 프로그램으로 보이지만 실행하면 악성코드를 실행합니다.

현재도 많은 종류의 랜섬웨어는 이 트로이 목마 프로그램 방식으로 시스템에 침투합니다.


랜섬웨어의 감염

랜섬웨어 공격은 주로 이메일의 첨부파일이나 웹페이지 접속을 통해 시작됩니다.


가장 많은 경우는 랜섬웨어 개발자가 배포한 확인되지 않은 프로그램이나 파일을 다운로드 받는 과정에서 랜섬웨어 파일이 컴퓨터로 유입되는 것입니다.

확인되지 않은 이메일이나 SNS 상의 파일에 랜섬웨어가 들어있는 경우도 있으며 불법으로 유통되는 영화나 드라마 영상 파일에 가장 많이 들어있습니다.


최근에는 단순히 홈페이지를 방문하는 것으로 랜섬웨어에 감염되기도 하는데, 드라이브 바이 다운로드(Drive by Download) 기법을 이용합니다.

이 방식은 랜섬웨어 개발자가 보안이 취약한 특정 웹사이트에 악성 코드를 숨겨놓으면, 사용자가 방문하는 순간 자신도 모르게 랜섬웨어를 다운로드 하고 실행하는 방식입니다.


랜섬웨어의 증상

랜섬웨어 파일이 컴퓨터로 유입되면 특정한 확장자명을 가진 파일 또는 폴더를 찾아 암호화하기 때문에 사용자가 엑세스할 수 없게됩니다.

주요 시스템 파일 역시 열리지 않고 파일의 확장자명이 변경됩니다.

컴퓨터의 CPU와 램 사용량이 급격하게 증가하며, 백신 프로그램이 강제로 종료되거나 지속적으로 오류가 발생합니다.


또한 윈도우의 복원 시점을 제거함으로써, 윈도우 시스템 상에서 복구도 불가능하게 만드는 경우도 있습니다.


랜섬웨어의 차단

많은 사람들이 컴퓨터용 백신을 사용하고 있습니다.

특히 국내에서는 개인에게 무료로 제공되는 백신들이 있기 때문에 백신 보급률이 높은 편이며, 윈도우에서 기본으로 제공되는 Windows Defender도 사용할 수 있습니다.


하지만 백신 프로그램을 사용한다고 랜섬웨어는 모두 막을 수 있는 것은 아닙니다.

전 세계에서 매일 새로운 악성 코드들이 생성되고 있는 상황에서 대조 방식으로 감염을 차단하는 백신 프로그램이 새로운 데이터베이스를 업데이트 하는 속도에는 한계가 있기 때문입니다.


따라서 랜섬웨어를 차단하기 위해서는 사용자의 주의가 필요합니다.

출처를 알 수 없는 파일을 다운로드 받지 않고, 보안이 허술한 웹사이트는 방문하지 않아야 합니다.

또한 불법 소프트웨어 및 영상 파일 등의 다운로드는 지양하는 것이 좋습니다.


또한 기업에서 사용할 수 있는 랜섬웨어 감염을 차단하는 가장 간단한 방법은 바로 오프라인, 즉 인터넷 연결을 끊고 내부망을 사용하는 것입니다.


랜섬웨어 공격 이후 데이터의 복구

랜섬웨어에 감염될 경우 3가지 선택을 할 수 있습니다.


첫 번째, 백신 업체 또는 복구 전문 회사의 복구화 툴을 이용할 수 있습니다.

하지만 복구가 100% 된다는 보장이 없으며, 비용이 발생할 수 있습니다.


두 번째, 랜섬웨어 개발자가 요구하는 금전을 지불합니다.

기본적으로 높은 비용이 발생하며, 하지만 랜섬웨어 개발자가 암호를 전달한다는 보장을 할 수 없습니다.


세 번째, 하드 드라이브를 포맷하고 시스템을 초기화시킵니다.

랜섬웨어가 삭제되지만 데이터를 복구시킬 수는 없습니다.


따라서 랜섬웨어 공격에 대처하는 가장 좋은 방법은 애초에 감염되지 않거나, 감염되더라도 피해를 최소화 할 수 있도록 중요한 데이터는 백업을 해 두는 것입니다.

특히 온라인에 연결되어 있는 백업 데이터는 시스템과 동일하게 공격에 노출될 수 있기 때문에 외장 하드디스크와 같은 오프라인 백업 데이터를 만들어 두는 것도 좋은 방법입니다.

감염된 컴퓨터에서 액세스할 수 없는 외부 저장 드라이브, 인터넷을 포함한 네트워크에 대한 액세스 권한이 없는 저장 장치는 랜섬웨어의 감염을 방지할 수 있습니다.




출처


https://en.wikipedia.org/wiki/Ransomware

https://en.wikipedia.org/wiki/AIDS_(Trojan_horse)

https://en.wikipedia.org/wiki/Trojan_horse_(computing)

https://en.wikipedia.org/wiki/Colonial_Pipeline_ransomware_attack

https://www.bbc.com/news/business-57050690

카테고리