Latest Posts Recent Comments 문의사항 신고하기 이용안내 이벤트 포인트 리스트 공지사항 관리자문의

공지사항

고정공지

(자유게시판에서 질문 금지) 질문하신 유저는 통보 없이 "계정정리" 될수 있습니다.

놀이터 일간 추천 베스트

놀이터 일간 조회 베스트

랜섬웨어, 본격적인 공격 시작되기 전 충분히 막는 것 가능
패치 자동화와 클라우드 확산되면 자연스럽게 사그라질 것



[보안뉴스 문가용 기자] 랜섬웨어라는 단어에는 어딘지 모를 어둡고 침침한 느낌이 있다. 그리고 이에 대한 모든 미디어의 집중도도 그 어느 때보다 높다. 정보보안에서 이토록 오래동안 열렬한 스포트라이트를 받은 주제가 있었나 싶을 정도다. 랜섬웨어로 공격자들이 얻은 이득이 1조원을 넘어섰다고 하니 그럴 만도 하다.

ran-body(7).jpg


랜섬웨어의 가장 무서운 점은 ‘신뢰’를 바탕으로 성과를 거두고 있다는 것이다. 특정 대상이나 메일 출처에 신뢰를 가지고 있는 피해자의 심리를 악용한 가짜 이메일을 통해 퍼지는 게 가장 흔한 감염 경로다. 즉, 우리가 하루에 몇 번씩이나 하는 ‘마우스 클릭’에 담긴 무의식적인 신뢰가 이들에게 공략 당한다는 것이다. 마치 불쌍한 사람인 척 도움을 요청하고, 그에 응한 사람을 되려 공격하는 것과 같은 질 나쁜 행위다.

게다가 랜섬웨어 공격자들은 법률 전문가들이 사용하는 ‘인센티브’ 전략도 도입하기 시작했다. 크리스마스 때 돈을 지불할 경우 할인을 해주는 범인들이 생겨난 것이다. 게다가 친구 두 명에게 랜섬웨어를 전파하면 암호화 키를 제공하는, 이를 테면 피라미드 구조로 운영되는 랜섬웨어도 발견되었다.

1조원이라는 금액도 금액이지만, 이런 식의 비즈니스 전략 발전 양상도 ‘랜섬웨어 산업’이 얼마나 빠르게 발전하고 있는지를 나타낸다. 최근 IT 전문가들을 대상으로 진행한 설문에서, IT 부서 직원의 50%와 CIO의 70%가 랜섬웨어 방지를 2017년 제1 순위 목표라고 답했다. 랜섬웨어는 어떻게 이렇게까지 자라났을까? 그 동안 보안 업계를 스쳐간 악당들보다 유독 더 성공을 거두는 이유는 무엇일까? 랜섬웨어는 정말 정보보안이 마주한 최대의 적일까? 여기에 거품은 끼어있지 않은가?

1. 패치라는 고질병
2016년은 랜섬웨어가 노아 때의 홍수처럼 온 세상을 휩쓸고 간 해라고 기록되겠지만, 사실 랜섬웨어의 급부상은 이전부터 예견되어 있었다. 취약점 패치에 대한 어려움이 정보보안 업계를 오랫동안 괴롭혀왔기 때문이다. 2010년과 2015년 사이에 산업 통제 시스템에서만 발견된 취약점이 1552개인데, 그 중 516개는 공개될 때까지 픽스가 존재하지 않았다. 모두가 아는 해킹 공격 경로가, 활짝 열린 채 방치되어 있다는 것이다.

모든 생산 및 제조사에서 부지런히 패치 작업을 하지 않는 것도 문제지만, 패치가 발표된 후 실제 현장에서 적용되는 것에도 문제가 있었다. 패치 작업이라는 게 시간이 걸리고 시스템에 따라 매우 복잡한 일이기 때문에 여기에 시간과 전문가라는 자원이 투자되어야 하기 때문이다. 이런 자원을 모든 조직들이 충분히 보유하고 있지 않다보니 패치 작업은 자꾸만 뒤로 미뤄졌다. 패치를 필요로 하는 기기들은 폭발적으로 늘어나는데, 패치가 잘 나오지 않고, 잘 설치되지 않는 근본 문제는 ‘패치’되지 않았다. 보고서에 따라 실제 패치가 적용되기까지 평균 100일에서 18개월까지 걸린다고 한다. 즉 랜섬웨어든 뭐든, 공격자들을 위한 활주로가 깨끗하게 닦여 있는 상태로 우리는 몇 년을 살아왔던 것이다.

2. 랜섬웨어? 알고 보면...
보안이 아니라 IT 전문가의 입장에서 랜섬웨어를 봤을 때, 첫 단계의 침투가 성공한다고 해도 막기가 그다지 까다로운 멀웨어는 아니다. 랜섬웨어가 실제로 구현하는 악성 행위인 ‘암호화’는 랜섬웨어 공격의 전체 과정에 있어 꽤나 후반부에 속한 일이다. 기술적으로 봤을 때 최초 침투부터 실제 암호화가 진행되기까지, 랜섬웨어를 구축할 수 있는 기회가 여러 차례 존재한다. 만약 URL 필터링이나 보안이 강화된 웹 게이트웨이에서 랜섬웨어가 발견되었다면 비교적 간단히 우회가 가능하다.

하지만 위 두 가지 방어 시스템을 통과해 시스템에 안착한 멀웨어가 두 번째 페이로드를 다운로드 받기 시작한다면 어떨까? 일단 이 공격이 성립되려면 멀웨어가 피해자의 시스템으로부터 공격자의 서버로 트래픽을 뻗쳐야 한다. 여기까지도 성공을 해서 C&C 서버로부터 실제 암호화 기능을 가지고 있는 페이로드가 다운로드 되었다면? 여전히 암호화 키 생성을 위해 C&C 서버와 연결을 유지해야 한다. 이 모든 과정에 탐지의 기회가 풍부히 들어있다. 즉, 랜섬웨어가 알고 보면 그렇게나 대단하고 완벽한 프로그램이 아니라는 것이다. 그런데 왜 그렇게 성공률이 높은 걸까?

3. 복잡 복잡 복잡
지난 11월, 보안 전문가들은 SVG 파일에 대한 익스플로잇의 변종을 발견했다. SVG란 XML을 바탕으로 한 벡터 이미지 포맷으로 웹 브라우저 및 다양한 애플리케이션과 호환이 된다. 사람들은 페이스북 메신저 같은 프로그램을 통해 SVG 파일을 주고받기도 한다. 공격자들은 이 SVG 파일에 악성 자바스크립트 코드를 삽입하는 법을 개발했다. 이미지를 클릭해보고 싶은 사용자들의 마음을 꿰뚫은 것이다.

게다가 SVG 파일의 악성코드는 난독화 처리까지 되어 있었다. 이러한 파일을 사용자가 클릭하면, 악성 웹사이트로 우회되고, 이는 엔드포인트 감염으로 이어진다. 난독화 때문에 탐지가 매우 어렵고, 서명을 기반으로 한 탐지 기법은 거의 100% 무용지물이 된다.

이 공격이 시사하는 바가 무엇일까? 우리가 가지고 있는 방어 시스템은 언젠가 반드시 뚫린다는 것이다. 위에서 패치가 고질적인 문제라고 했는데, 사실 더 근본적인 문제는 패치가 나온다 안 나온다, 적용한다 안 한다가 아니라 1) 패치는 반드시 깨지며 2) 공격자가 항상 더 빠르다는 것이다. 랜섬웨어 역시 이 맥락에 놓여 있다. 즉, 우리는 속도의 싸움에서 지고 있다고도 볼 수 있다. 랜섬웨어라는 게 그렇게 막기 어렵지 않다는 사실 또한 ‘속도전’이라는 본질을 받쳐주고 있다.

4. 그래도 희망이 있다
결국 물리적인 속도에서 이길 수 없어서 랜섬웨어가 급증하는 것이기 때문에 CIO들이 랜섬웨어를 방어 1순위에 놓고 있는 것이다. 사전방지가 가장 좋은 랜섬웨어 대처법이라는 걸 그들도 알고 있다. 그런 차원에서 현재 트렌드로 자리잡아가고 있는 클라우드 기반 보안과 ‘간편한 패치 / 자동 업데이트’이 큰 도움이 될 것으로 보인다. 자동 패치가 늘어나면서 공격자들을 위한 ‘활주로’가 줄어들고, 클라우드 기반 보안은 방어자들의 속도와 유연성을 높여주기 때문이다.

2016년이 랜섬웨어로 물든 건 1) 패치와 2) 클라우드 도입이 느리다는 현상과 맞물렸기 때문이다. 그들이 잘 한 측면도 있지만 우리가 못 한 측면도 분명히 존재한다. 클라우드의 사용이 늘어나고 좀 더 많은 패치들이 자동으로 적용되기 시작하면 랜섬웨어도 사그라들 것이 분명하다.

글 : 구르 샤츠(Gur Shatz)

[국제부 문가용 기자(globoan@boannews.com)]



Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



http://www.boannews.com/media/view.asp?idx=53089&page=1&kind=4

자료만 받아갈줄 아는 회원님들께, 개발자님들에게 최소한의 경우는 우리가 피드백으로 보답하는 겁니다

문제가 있던 없던 그동안 고생하신 것을 생각하여 피드백 작성을 부탁 드립니다
­

의견쓰기::  상업광고, 인신공격,비방, 욕설, 아주강한음담패설등의 코멘트는 예고없이 삭제될수 있습니다. 회원정리 게시판

profile

shaula

2017.01.18 14:02
가입일: 2018:10.08
총 게시물수: 2
총 댓글수: 567

이득이 1조원이라니.....

profile

Bobono

2017.01.18 21:56
가입일: 2016:12.05
총 게시물수: 17
총 댓글수: 815

유용한 정보 고맙습니다.

profile

프리네

2017.01.20 03:42
가입일: 2016:05.06
총 게시물수: 310
총 댓글수: 13182

올해 피해가 급증할거라는 소식에 직원교육과 더불어 백업 시스템 구축등 많은 신경을 쓰고 있는데요. 가장 큰 문제는 사용자의 안전불감증 입니다. 사장님 지시로 사내 모의 테스트를 실시했는데 결과가 참혹합니다. 아무 생각없이 여는 사람이 태반이고 일부는 실행까지 합니다. 그렇게 교육을 했는데도....

profile

무무심

2017.01.20 17:52
가입일: 2018:10.04
총 게시물수: 12
총 댓글수: 1882

정보 감사합니다


profile

쪼쪼

2017.02.15 15:43
가입일: 2017:02.15
총 게시물수: 9
총 댓글수: 325

좋은정보 잘보고갑니다.

profile

sonagisky

2017.03.07 17:08
가입일: 2019:09.24
총 게시물수: 3
총 댓글수: 190

유익한 정보 감사합니다. ^^*

profile

세계일주

2017.09.28 08:56
가입일: 2018:10.09
총 게시물수: 86
총 댓글수: 737

유익한 정보 감사합니다. ^^*

List of Articles
번호 제목 글쓴이 날짜 조회 수
공지 보안 게시판 신설 file + 8 Op 2016-10-16 565
395 보안 소식 랜섬웨어 때문에 ‘아이웹’ 서버 암호화 파란하늘 09-27 205
394 보안 소식 Kraken Cryptor 랜섬웨어, SuperAntiSpyware 보안 프로그램으로 위장 + 1 티오피 09-18 373
393 보안 소식 새로운 콜드 부트 공격, 거의 모든 최신 PC에서 디스크 암호화 해제해 + 1 티오피 09-18 247
392 보안 소식 CryptoNar 랜섬웨어 출현! 모든 파일 암호화 + 3 파란하늘 09-17 220
391 보안 소식 잠시 주춤한가 싶더니... 이미지 도용 위장 갠드크랩 활동 재개 티오피 09-15 181
390 보안 소식 [中 상반기 정보보안 동향③] 랜섬웨어 악성코드 TOP 10 + 1 티오피 09-15 126
389 보안 소식 보안 앱인줄 알았는데 스파이웨어! 2년 만에 스토어에서 삭제 + 1 티오피 09-15 217
388 보안 소식 새로운 콜드 부트 공격, 거의 모든 최신 PC에서 디스크 암호화 해제해 + 1 티오피 09-15 120
387 보안 소식 패치 되지 않은 사파리 브라우저, 공격자들이 URL 스푸핑 가능해 + 1 티오피 09-15 81
386 보안 소식 2중 인증 방식도 레딧 해킹 막지 못해 + 1 티오피 09-08 144
385 보안 소식 윈도우 작업 스케쥴러 제로데이를 악용하는 악성코드 발견 + 1 티오피 09-08 213
384 보안 소식 보안업계로 확대되는 구글 제국 영향력 + 1 티오피 08-31 176
383 보안 소식 중국 Huazhu Hotels Group 정보 유출! + 1 티오피 08-31 768
382 보안 소식 윈도우 10 KB4100347 인텔 CPU 업데이트, 부팅 이슈 발생 및 AMD 사용자들에게도 배포 돼 + 2 티오피 08-31 481
381 보안 소식 한국 사이트 100여곳 홈페이지 변조...왜? file + 2 티오피 08-28 227
380 보안 소식 T-Mobile 해킹 돼 - 2백만 고객의 개인 정보 도난 + 2 티오피 08-28 153
379 보안 소식 북한 추정 공격그룹의 8월 작전명은 ‘로켓맨’ + 1 티오피 08-27 175
378 보안 소식 Windows 원격코드 실행 취약점 보안 업데이트 권고 + 1 티오피 08-27 92
377 보안 소식 막오른 5G장비 대전… 관건은 `보안이슈` 티오피 08-15 190
376 보안 소식 액티브X 걷어낸다…차세대 전자서명 '각축' + 1 티오피 08-14 273
375 일반 검찰, 가상화폐 거래소 업비트 압수수색… 장부거래 혐의 file + 3 Op 05-14 772
374 보안 소식 중견기업도 당했다…이메일로 전파되는 '이모텟' 악성코드 주의보 + 1 파란하늘 05-01 884
373 일반 한국 세계 6번째 타깃 + 5 파란하늘 04-25 793
372 보안 소식 카카오톡 보안에도 구멍이? + 3 파란하늘 04-05 570
371 보안 소식 이력서로 위장한 ‘시그마 랜섬웨어’ 전세계 유포 + 7 파란하늘 03-27 464