Category

  1. 오에스매니아


보안/해킹
스폰서링크

랜섬웨어, 본격적인 공격 시작되기 전 충분히 막는 것 가능
패치 자동화와 클라우드 확산되면 자연스럽게 사그라질 것



[보안뉴스 문가용 기자] 랜섬웨어라는 단어에는 어딘지 모를 어둡고 침침한 느낌이 있다. 그리고 이에 대한 모든 미디어의 집중도도 그 어느 때보다 높다. 정보보안에서 이토록 오래동안 열렬한 스포트라이트를 받은 주제가 있었나 싶을 정도다. 랜섬웨어로 공격자들이 얻은 이득이 1조원을 넘어섰다고 하니 그럴 만도 하다.

ran-body(7).jpg


랜섬웨어의 가장 무서운 점은 ‘신뢰’를 바탕으로 성과를 거두고 있다는 것이다. 특정 대상이나 메일 출처에 신뢰를 가지고 있는 피해자의 심리를 악용한 가짜 이메일을 통해 퍼지는 게 가장 흔한 감염 경로다. 즉, 우리가 하루에 몇 번씩이나 하는 ‘마우스 클릭’에 담긴 무의식적인 신뢰가 이들에게 공략 당한다는 것이다. 마치 불쌍한 사람인 척 도움을 요청하고, 그에 응한 사람을 되려 공격하는 것과 같은 질 나쁜 행위다.

게다가 랜섬웨어 공격자들은 법률 전문가들이 사용하는 ‘인센티브’ 전략도 도입하기 시작했다. 크리스마스 때 돈을 지불할 경우 할인을 해주는 범인들이 생겨난 것이다. 게다가 친구 두 명에게 랜섬웨어를 전파하면 암호화 키를 제공하는, 이를 테면 피라미드 구조로 운영되는 랜섬웨어도 발견되었다.

1조원이라는 금액도 금액이지만, 이런 식의 비즈니스 전략 발전 양상도 ‘랜섬웨어 산업’이 얼마나 빠르게 발전하고 있는지를 나타낸다. 최근 IT 전문가들을 대상으로 진행한 설문에서, IT 부서 직원의 50%와 CIO의 70%가 랜섬웨어 방지를 2017년 제1 순위 목표라고 답했다. 랜섬웨어는 어떻게 이렇게까지 자라났을까? 그 동안 보안 업계를 스쳐간 악당들보다 유독 더 성공을 거두는 이유는 무엇일까? 랜섬웨어는 정말 정보보안이 마주한 최대의 적일까? 여기에 거품은 끼어있지 않은가?

1. 패치라는 고질병
2016년은 랜섬웨어가 노아 때의 홍수처럼 온 세상을 휩쓸고 간 해라고 기록되겠지만, 사실 랜섬웨어의 급부상은 이전부터 예견되어 있었다. 취약점 패치에 대한 어려움이 정보보안 업계를 오랫동안 괴롭혀왔기 때문이다. 2010년과 2015년 사이에 산업 통제 시스템에서만 발견된 취약점이 1552개인데, 그 중 516개는 공개될 때까지 픽스가 존재하지 않았다. 모두가 아는 해킹 공격 경로가, 활짝 열린 채 방치되어 있다는 것이다.

모든 생산 및 제조사에서 부지런히 패치 작업을 하지 않는 것도 문제지만, 패치가 발표된 후 실제 현장에서 적용되는 것에도 문제가 있었다. 패치 작업이라는 게 시간이 걸리고 시스템에 따라 매우 복잡한 일이기 때문에 여기에 시간과 전문가라는 자원이 투자되어야 하기 때문이다. 이런 자원을 모든 조직들이 충분히 보유하고 있지 않다보니 패치 작업은 자꾸만 뒤로 미뤄졌다. 패치를 필요로 하는 기기들은 폭발적으로 늘어나는데, 패치가 잘 나오지 않고, 잘 설치되지 않는 근본 문제는 ‘패치’되지 않았다. 보고서에 따라 실제 패치가 적용되기까지 평균 100일에서 18개월까지 걸린다고 한다. 즉 랜섬웨어든 뭐든, 공격자들을 위한 활주로가 깨끗하게 닦여 있는 상태로 우리는 몇 년을 살아왔던 것이다.

2. 랜섬웨어? 알고 보면...
보안이 아니라 IT 전문가의 입장에서 랜섬웨어를 봤을 때, 첫 단계의 침투가 성공한다고 해도 막기가 그다지 까다로운 멀웨어는 아니다. 랜섬웨어가 실제로 구현하는 악성 행위인 ‘암호화’는 랜섬웨어 공격의 전체 과정에 있어 꽤나 후반부에 속한 일이다. 기술적으로 봤을 때 최초 침투부터 실제 암호화가 진행되기까지, 랜섬웨어를 구축할 수 있는 기회가 여러 차례 존재한다. 만약 URL 필터링이나 보안이 강화된 웹 게이트웨이에서 랜섬웨어가 발견되었다면 비교적 간단히 우회가 가능하다.

하지만 위 두 가지 방어 시스템을 통과해 시스템에 안착한 멀웨어가 두 번째 페이로드를 다운로드 받기 시작한다면 어떨까? 일단 이 공격이 성립되려면 멀웨어가 피해자의 시스템으로부터 공격자의 서버로 트래픽을 뻗쳐야 한다. 여기까지도 성공을 해서 C&C 서버로부터 실제 암호화 기능을 가지고 있는 페이로드가 다운로드 되었다면? 여전히 암호화 키 생성을 위해 C&C 서버와 연결을 유지해야 한다. 이 모든 과정에 탐지의 기회가 풍부히 들어있다. 즉, 랜섬웨어가 알고 보면 그렇게나 대단하고 완벽한 프로그램이 아니라는 것이다. 그런데 왜 그렇게 성공률이 높은 걸까?

3. 복잡 복잡 복잡
지난 11월, 보안 전문가들은 SVG 파일에 대한 익스플로잇의 변종을 발견했다. SVG란 XML을 바탕으로 한 벡터 이미지 포맷으로 웹 브라우저 및 다양한 애플리케이션과 호환이 된다. 사람들은 페이스북 메신저 같은 프로그램을 통해 SVG 파일을 주고받기도 한다. 공격자들은 이 SVG 파일에 악성 자바스크립트 코드를 삽입하는 법을 개발했다. 이미지를 클릭해보고 싶은 사용자들의 마음을 꿰뚫은 것이다.

게다가 SVG 파일의 악성코드는 난독화 처리까지 되어 있었다. 이러한 파일을 사용자가 클릭하면, 악성 웹사이트로 우회되고, 이는 엔드포인트 감염으로 이어진다. 난독화 때문에 탐지가 매우 어렵고, 서명을 기반으로 한 탐지 기법은 거의 100% 무용지물이 된다.

이 공격이 시사하는 바가 무엇일까? 우리가 가지고 있는 방어 시스템은 언젠가 반드시 뚫린다는 것이다. 위에서 패치가 고질적인 문제라고 했는데, 사실 더 근본적인 문제는 패치가 나온다 안 나온다, 적용한다 안 한다가 아니라 1) 패치는 반드시 깨지며 2) 공격자가 항상 더 빠르다는 것이다. 랜섬웨어 역시 이 맥락에 놓여 있다. 즉, 우리는 속도의 싸움에서 지고 있다고도 볼 수 있다. 랜섬웨어라는 게 그렇게 막기 어렵지 않다는 사실 또한 ‘속도전’이라는 본질을 받쳐주고 있다.

4. 그래도 희망이 있다
결국 물리적인 속도에서 이길 수 없어서 랜섬웨어가 급증하는 것이기 때문에 CIO들이 랜섬웨어를 방어 1순위에 놓고 있는 것이다. 사전방지가 가장 좋은 랜섬웨어 대처법이라는 걸 그들도 알고 있다. 그런 차원에서 현재 트렌드로 자리잡아가고 있는 클라우드 기반 보안과 ‘간편한 패치 / 자동 업데이트’이 큰 도움이 될 것으로 보인다. 자동 패치가 늘어나면서 공격자들을 위한 ‘활주로’가 줄어들고, 클라우드 기반 보안은 방어자들의 속도와 유연성을 높여주기 때문이다.

2016년이 랜섬웨어로 물든 건 1) 패치와 2) 클라우드 도입이 느리다는 현상과 맞물렸기 때문이다. 그들이 잘 한 측면도 있지만 우리가 못 한 측면도 분명히 존재한다. 클라우드의 사용이 늘어나고 좀 더 많은 패치들이 자동으로 적용되기 시작하면 랜섬웨어도 사그라들 것이 분명하다.

글 : 구르 샤츠(Gur Shatz)

[국제부 문가용 기자(globoan@boannews.com)]



Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



http://www.boannews.com/media/view.asp?idx=53089&page=1&kind=4

추천한 회원

프리네
profile 시간은 너무 없고 할 일도 너무 없다
엮인글 :

놀이터 인기 글

연 예 호불호 ㅊㅈ 패션 newfile 2017-10-21 10:52 까치
걸그룹 승연 newfile 2017-10-21 10:42 까치
존슨 [동서양] 길거리 일반인 1 newfile 2017-10-21 07:57 익명
존슨 서양녀 newfile 2017-10-21 03:26 익명
존슨 셀카 newfile 2017-10-20 22:17 익명

shaula 

2017.01.18 14:02:43
*.116.43.184

이득이 1조원이라니.....

Bobono 

2017.01.18 21:56:34
*.252.163.164

유용한 정보 고맙습니다.

profile

프리네 

2017.01.20 03:42:32
*.212.248.12

올해 피해가 급증할거라는 소식에 직원교육과 더불어 백업 시스템 구축등 많은 신경을 쓰고 있는데요. 가장 큰 문제는 사용자의 안전불감증 입니다. 사장님 지시로 사내 모의 테스트를 실시했는데 결과가 참혹합니다. 아무 생각없이 여는 사람이 태반이고 일부는 실행까지 합니다. 그렇게 교육을 했는데도....

무무심 

2017.01.20 17:52:57
*.249.221.133

정보 감사합니다


profile

쪼쪼 

2017.02.15 15:43:02
*.232.176.56

좋은정보 잘보고갑니다.

sonagisky 

2017.03.07 17:08:29
*.81.72.135

유익한 정보 감사합니다. ^^*

세계일주 

2017.09.28 08:56:01
*.67.37.51

유익한 정보 감사합니다. ^^*


나울PC 정치 베스트
List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file [7] Op 16.10.16 82
139 보안 자료 20개 넘는 랜섬웨어 변종 잡아내는 무료 툴 6개 [25] 크로커스 17.1.31 579
138 일반 “사람 속이는 방법도 가지 가지”… 설연휴, 보안사고 대응 어떻게? file [15] Op 17.1.27 323
137 바이러스 슈퍼마리오 런, 악성코드 런? [11] Op 17.1.27 193
136 보안 소식 '북한민주화' 한글문서, 열람 시 악성코드 감염 [10] 크로커스 17.1.26 196
135 보안 소식 미국 동부 인터넷 마비 시킨 ‘미라이’ 악성 파일, 국내서도 발견 [12] 크로커스 17.1.25 232
134 보안 소식 확장자 숨겨 악성 파일 클릭 유도 메일 유포중…랜섬웨어 피해 주의 [17] 크로커스 17.1.20 247
133 보안 소식 로그인 하기 전에 주소 확인 하셨나요? [17] 크로커스 17.1.19 261
132 보안 소식 [긴급] 블로거 노린 대규모 피싱 공격 발생...초상권 침해 항의 메일 조심! [15] 크로커스 17.1.18 156
131 보안 소식 차기 인증 방식으로 떠오르는 이중 인증이란 [8] 크로커스 17.1.18 262
» 보안 소식 성공가도 달리는 랜섬웨어의 본질은 “속도전” [7] 크로커스 17.1.18 111
129 보안 소식 안드로이드 버전 ‘슈퍼 마리오 런’?! 실체는 악성 APK 파일 [13] 크로커스 17.1.10 647
128 보안 소식 지갑 열기 위한 랜섬웨어의 또 다른 진화, 독스웨어 file [11] 따봉 17.1.5 280
127 보안 소식 비트코인 대신 다른 인질을 달라는 랜섬웨어 [7] 크로커스 17.1.5 266
126 보안 소식 1월 ‘위조 WhatsApp 알림메시지·발렌타인데이 선물’ 위장 스팸 많아 file [7] 따봉 17.1.4 49
125 보안 소식 구글 서비스 위장한 스파이앱, 기업 임직원 노린다 file [6] 따봉 17.1.4 52
124 보안 소식 왓츠앱 통한 멀웨어 공격, 인도가 첫 스타트 끊어 file [6] 따봉 17.1.4 32
123 보안 소식 2017년 해킹을 일반인에게 이해시켜야 할지도 모르는 해 file [7] 따봉 17.1.4 50
122 보안 소식 새해맞이 보안 강화 결심이 작심삼일로 그치지 않으려면 file [5] 따봉 17.1.4 11
121 보안 소식 씁쓸하고 치밀하新 해커들: 2017년 보안 위협 전망 file [5] 따봉 17.1.4 21
120 보안 소식 비트코인 지갑 제조사 킵키, 사이버 공격 당해 file [6] 따봉 17.1.4 26