Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

랜섬웨어, 본격적인 공격 시작되기 전 충분히 막는 것 가능
패치 자동화와 클라우드 확산되면 자연스럽게 사그라질 것



[보안뉴스 문가용 기자] 랜섬웨어라는 단어에는 어딘지 모를 어둡고 침침한 느낌이 있다. 그리고 이에 대한 모든 미디어의 집중도도 그 어느 때보다 높다. 정보보안에서 이토록 오래동안 열렬한 스포트라이트를 받은 주제가 있었나 싶을 정도다. 랜섬웨어로 공격자들이 얻은 이득이 1조원을 넘어섰다고 하니 그럴 만도 하다.

ran-body(7).jpg


랜섬웨어의 가장 무서운 점은 ‘신뢰’를 바탕으로 성과를 거두고 있다는 것이다. 특정 대상이나 메일 출처에 신뢰를 가지고 있는 피해자의 심리를 악용한 가짜 이메일을 통해 퍼지는 게 가장 흔한 감염 경로다. 즉, 우리가 하루에 몇 번씩이나 하는 ‘마우스 클릭’에 담긴 무의식적인 신뢰가 이들에게 공략 당한다는 것이다. 마치 불쌍한 사람인 척 도움을 요청하고, 그에 응한 사람을 되려 공격하는 것과 같은 질 나쁜 행위다.

게다가 랜섬웨어 공격자들은 법률 전문가들이 사용하는 ‘인센티브’ 전략도 도입하기 시작했다. 크리스마스 때 돈을 지불할 경우 할인을 해주는 범인들이 생겨난 것이다. 게다가 친구 두 명에게 랜섬웨어를 전파하면 암호화 키를 제공하는, 이를 테면 피라미드 구조로 운영되는 랜섬웨어도 발견되었다.

1조원이라는 금액도 금액이지만, 이런 식의 비즈니스 전략 발전 양상도 ‘랜섬웨어 산업’이 얼마나 빠르게 발전하고 있는지를 나타낸다. 최근 IT 전문가들을 대상으로 진행한 설문에서, IT 부서 직원의 50%와 CIO의 70%가 랜섬웨어 방지를 2017년 제1 순위 목표라고 답했다. 랜섬웨어는 어떻게 이렇게까지 자라났을까? 그 동안 보안 업계를 스쳐간 악당들보다 유독 더 성공을 거두는 이유는 무엇일까? 랜섬웨어는 정말 정보보안이 마주한 최대의 적일까? 여기에 거품은 끼어있지 않은가?

1. 패치라는 고질병
2016년은 랜섬웨어가 노아 때의 홍수처럼 온 세상을 휩쓸고 간 해라고 기록되겠지만, 사실 랜섬웨어의 급부상은 이전부터 예견되어 있었다. 취약점 패치에 대한 어려움이 정보보안 업계를 오랫동안 괴롭혀왔기 때문이다. 2010년과 2015년 사이에 산업 통제 시스템에서만 발견된 취약점이 1552개인데, 그 중 516개는 공개될 때까지 픽스가 존재하지 않았다. 모두가 아는 해킹 공격 경로가, 활짝 열린 채 방치되어 있다는 것이다.

모든 생산 및 제조사에서 부지런히 패치 작업을 하지 않는 것도 문제지만, 패치가 발표된 후 실제 현장에서 적용되는 것에도 문제가 있었다. 패치 작업이라는 게 시간이 걸리고 시스템에 따라 매우 복잡한 일이기 때문에 여기에 시간과 전문가라는 자원이 투자되어야 하기 때문이다. 이런 자원을 모든 조직들이 충분히 보유하고 있지 않다보니 패치 작업은 자꾸만 뒤로 미뤄졌다. 패치를 필요로 하는 기기들은 폭발적으로 늘어나는데, 패치가 잘 나오지 않고, 잘 설치되지 않는 근본 문제는 ‘패치’되지 않았다. 보고서에 따라 실제 패치가 적용되기까지 평균 100일에서 18개월까지 걸린다고 한다. 즉 랜섬웨어든 뭐든, 공격자들을 위한 활주로가 깨끗하게 닦여 있는 상태로 우리는 몇 년을 살아왔던 것이다.

2. 랜섬웨어? 알고 보면...
보안이 아니라 IT 전문가의 입장에서 랜섬웨어를 봤을 때, 첫 단계의 침투가 성공한다고 해도 막기가 그다지 까다로운 멀웨어는 아니다. 랜섬웨어가 실제로 구현하는 악성 행위인 ‘암호화’는 랜섬웨어 공격의 전체 과정에 있어 꽤나 후반부에 속한 일이다. 기술적으로 봤을 때 최초 침투부터 실제 암호화가 진행되기까지, 랜섬웨어를 구축할 수 있는 기회가 여러 차례 존재한다. 만약 URL 필터링이나 보안이 강화된 웹 게이트웨이에서 랜섬웨어가 발견되었다면 비교적 간단히 우회가 가능하다.

하지만 위 두 가지 방어 시스템을 통과해 시스템에 안착한 멀웨어가 두 번째 페이로드를 다운로드 받기 시작한다면 어떨까? 일단 이 공격이 성립되려면 멀웨어가 피해자의 시스템으로부터 공격자의 서버로 트래픽을 뻗쳐야 한다. 여기까지도 성공을 해서 C&C 서버로부터 실제 암호화 기능을 가지고 있는 페이로드가 다운로드 되었다면? 여전히 암호화 키 생성을 위해 C&C 서버와 연결을 유지해야 한다. 이 모든 과정에 탐지의 기회가 풍부히 들어있다. 즉, 랜섬웨어가 알고 보면 그렇게나 대단하고 완벽한 프로그램이 아니라는 것이다. 그런데 왜 그렇게 성공률이 높은 걸까?

3. 복잡 복잡 복잡
지난 11월, 보안 전문가들은 SVG 파일에 대한 익스플로잇의 변종을 발견했다. SVG란 XML을 바탕으로 한 벡터 이미지 포맷으로 웹 브라우저 및 다양한 애플리케이션과 호환이 된다. 사람들은 페이스북 메신저 같은 프로그램을 통해 SVG 파일을 주고받기도 한다. 공격자들은 이 SVG 파일에 악성 자바스크립트 코드를 삽입하는 법을 개발했다. 이미지를 클릭해보고 싶은 사용자들의 마음을 꿰뚫은 것이다.

게다가 SVG 파일의 악성코드는 난독화 처리까지 되어 있었다. 이러한 파일을 사용자가 클릭하면, 악성 웹사이트로 우회되고, 이는 엔드포인트 감염으로 이어진다. 난독화 때문에 탐지가 매우 어렵고, 서명을 기반으로 한 탐지 기법은 거의 100% 무용지물이 된다.

이 공격이 시사하는 바가 무엇일까? 우리가 가지고 있는 방어 시스템은 언젠가 반드시 뚫린다는 것이다. 위에서 패치가 고질적인 문제라고 했는데, 사실 더 근본적인 문제는 패치가 나온다 안 나온다, 적용한다 안 한다가 아니라 1) 패치는 반드시 깨지며 2) 공격자가 항상 더 빠르다는 것이다. 랜섬웨어 역시 이 맥락에 놓여 있다. 즉, 우리는 속도의 싸움에서 지고 있다고도 볼 수 있다. 랜섬웨어라는 게 그렇게 막기 어렵지 않다는 사실 또한 ‘속도전’이라는 본질을 받쳐주고 있다.

4. 그래도 희망이 있다
결국 물리적인 속도에서 이길 수 없어서 랜섬웨어가 급증하는 것이기 때문에 CIO들이 랜섬웨어를 방어 1순위에 놓고 있는 것이다. 사전방지가 가장 좋은 랜섬웨어 대처법이라는 걸 그들도 알고 있다. 그런 차원에서 현재 트렌드로 자리잡아가고 있는 클라우드 기반 보안과 ‘간편한 패치 / 자동 업데이트’이 큰 도움이 될 것으로 보인다. 자동 패치가 늘어나면서 공격자들을 위한 ‘활주로’가 줄어들고, 클라우드 기반 보안은 방어자들의 속도와 유연성을 높여주기 때문이다.

2016년이 랜섬웨어로 물든 건 1) 패치와 2) 클라우드 도입이 느리다는 현상과 맞물렸기 때문이다. 그들이 잘 한 측면도 있지만 우리가 못 한 측면도 분명히 존재한다. 클라우드의 사용이 늘어나고 좀 더 많은 패치들이 자동으로 적용되기 시작하면 랜섬웨어도 사그라들 것이 분명하다.

글 : 구르 샤츠(Gur Shatz)

[국제부 문가용 기자(globoan@boannews.com)]



Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



http://www.boannews.com/media/view.asp?idx=53089&page=1&kind=4

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

shaula

2017.01.18 14:02
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

이득이 1조원이라니.....

profile

Bobono

2017.01.18 21:56
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

유용한 정보 고맙습니다.

profile

프리네

2017.01.20 03:42
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

올해 피해가 급증할거라는 소식에 직원교육과 더불어 백업 시스템 구축등 많은 신경을 쓰고 있는데요. 가장 큰 문제는 사용자의 안전불감증 입니다. 사장님 지시로 사내 모의 테스트를 실시했는데 결과가 참혹합니다. 아무 생각없이 여는 사람이 태반이고 일부는 실행까지 합니다. 그렇게 교육을 했는데도....

profile

무무심

2017.01.20 17:52
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다


profile

쪼쪼

2017.02.15 15:43
가입일: 2017:02.15
총 게시물수: 9
총 댓글수: 325

좋은정보 잘보고갑니다.

profile

sonagisky

2017.03.07 17:08
가입일: 2019:09.24
총 게시물수: 3
총 댓글수: 190

유익한 정보 감사합니다. ^^*

profile

세계일주

2017.09.28 08:56
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

유익한 정보 감사합니다. ^^*

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
220 일반 몰지각한 10대들의 돈벌이 해킹에 보안 전문교육 ‘불똥’ + 4 ordo 04-05 120
219 보안 소식 '스타크래프트'로 위장한 악성 파일 유포 발견 + 3 크로커스 04-04 51
218 보안 소식 [4.3 버그리포트] CVE + 6 ordo 04-03 94
217 보안 소식 금융 악성코드 드리덱스의 영리한 ‘위장’ 주의! + 4 ordo 04-03 48
216 보안 소식 날씨·광고 배너 통한 대량 악성코드 감염, ‘재발’ 우려 커지나 + 7 ordo 04-03 138
215 보안 소식 변경된 네이버 메인에 금감원 사칭 파밍! 점점 지능·신속화 + 5 ordo 04-03 147
214 보안 소식 '인증서 발급대행 권한' 회수 파장...구글-시만텍-한국전자인증, 무슨 일 있었나? + 9 크로커스 04-01 176
213 보안 소식 [!] 파워쉘을 이용한 ‘록키’ 랜섬웨어 변종 발견 + 5 ordo 04-01 68
212 보안 소식 [3.31 버그리포트] CVE-2017-7359 外 + 4 ordo 04-01 53
211 보안 소식 국내 블록체인 활성화 위한 힘찬 첫 걸음 + 4 ordo 04-01 87
210 보안 소식 [3.30 버그리포트] CVE-2017-7320 外 + 3 ordo 04-01 29
209 보안 소식 실수든 고의든, 해결책 묘연한 내부자 위협 + 4 ordo 04-01 37
208 보안 소식 애플과 MS, IoT와 서버 보안취약점 긴급 업데이트 + 5 ordo 03-30 133
207 보안 소식 [한국인터넷정보학회 칼럼] 국내 자체 개발 블록 암호 알고리즘 현황 + 5 ordo 03-30 153
206 보안 소식 해커들 귀가 쫑긋! DNS 하이재킹 선호도가 높아지는 이유 + 5 ordo 03-30 33
205 보안 소식 MS Application Verifier에서 Double Agent 제로데이 취약점 발견! + 3 ordo 03-29 165
204 보안 소식 LastPass 또 다시 취약점 발견! + 4 ordo 03-29 81
203 보안 소식 게임 유저들을 노린 파밍 악성코드, 주의! + 5 ordo 03-29 84
202 보안 소식 사이버 무기 '보안취약점' 암거래 활개친다 + 5 ordo 03-29 56
201 보안 소식 [긴급] 中 홍커연맹, 국내 17개 웹사이트 타깃 해킹 공격 개시 + 5 ordo 03-29 69
200 보안 소식 FBI, “익명 FTP 서버에 민감한 정보 저장 말라” + 4 ordo 03-29 80
199 보안 소식 [보안뉴스]국내 중견그룹 홈피 디페이스 공격! 중국발 해킹 본격화되나 + 5 ordo 03-28 128
198 보안 소식 [보안뉴스][3.27 버그리포트] CVE-2017-6066 + 5 ordo 03-27 100
197 보안 소식 Serv-U FTP/MFT Server 권한 상승 취약점 발견 + 5 ordo 03-27 309
196 보안 소식 공유기 DNS 변조 조직, 큐싱 등의 진화된 공격으로 다시 등장 + 8 ordo 03-27 203