상품화, 쉽고 효율 높은 공격이 가능해... 표적형 공격 줄어들 것
커뮤니티 내에서 공유하는 것만이 상품화 시대의 대책

[보안뉴스 문가용 기자] 누구나 랜섬웨어 공격을 하게 해주는 서비스형 랜섬웨어(RaaS) 중 필라델피아(Philadelphia)라는 인터페이스가 있다. 사용해본 사람들에 의하면, 피자 주문하는 것이나 다름없다고 한다. 게다가 랜섬웨어에 걸린 피해자가 ‘돌아가신 어머님 사진은 돌려 달라’고 할 경우, 자비를 베풀기까지 한다. 잃어버린 가족의 사진이나 기록에 관한 파일은 암호화가 되었더라도 요청 시 돌려준다는 것이다.

작년이 랜섬웨어의 시대였다면, 올해는 랜섬웨어 상품화의 시대다. 이 필라델피아라는 인터페이스가 그 모든 걸 상징한다. 멀웨어 상품화 시대에 일어나는 공격들은 어떤 특징들을 나타낼까? 익스플로잇 킷, 반복 공격, 효율 높은 공격이 바로 그것이다.

1. 익스플로잇 킷과의 결합
멀웨어 상품화 시대에 발생하는 공격들의 가장 큰 특징은 사용하기 쉽게 되어 있는 익스플로잇 킷과의 결합이 자주 보인다는 것이다. 특히 구매가 쉬운 RIG 익스플로잇 킷이 자주 사용되며, 상용화에 널리 성공한 두 가지 랜섬웨어는 케르베르(Cerber)와 록키(Locky)다. 랜섬웨어 공격 초보인가? 그렇다면 케르베르나 록키를 RIG 익스플로잇 킷과 함께 사용하라. 그것이 현재 가장 정형화된 시나리오다.

2. 막고 또 막고 또 막고
특정 익스플로잇 킷이나 랜섬웨어 소프트웨어를 한 번 막으면, 해당 공격을 진행했던 자의 입장에서는 약간의 불편함만이 생긴다. 멀웨어가 상품화되었다는 건 그런 방어가 전혀 치명적으로 작용하지 않는다는 뜻이기 때문이다. 그저 다른 상품(랜섬웨어나 익스플로잇 킷)을 사용해 다른 공격을 시작하면 그만이다. 

2016년 1~6월 사이에는 앵글러(Angler)라는 익스플로잇 킷이 가장 널리 사용되는 인기 상품이었다. 하지만 러시아 정부가 관련자들을 모조리 검거함으로써 하루아침에 시장에서 사라졌다. 그러나 범죄자들은 동요하지 않았다. 앵글러를 대체할 익스플로잇 킷은 많았기 때문이다. 그 결과 2016년 9월초부터 RIG 익스플로잇 킷이 앵글러를 완전히 대체했다.

3. 노력은 적게, 효율은 높게
멀웨어 공격해 성공시켰다고 해서 곧바로 돈이 들어오는 것은 아니었다. 성공 자체를 현금화하려면 해킹 외에 또 다른 일들을 준비해야 했다. 예를 들어 암시장에 자기가 가진 정보를 판매한다는 광고글을 올리는 것이다. ‘정보 있으니 사가세요’ 수준이 아니라 어떤 크기의, 어떤 유형의, 어디에서부터 온 정보인지 상세하게 정리해 올려야 사람들이 구매 의사를 밝힌다. 그런데 랜섬웨어는 성공하면 곧바로 돈이 들어온다(광고나 판매를 해야 하는 두 번째 절차가 없어진다는 소리다). 

또, 멀웨어 공격에 당한 피해자는 쉽든 어렵든 멀웨어 감염을 해결할 수 있었다. 키로거에 당하거나 RAT, 룻키트에 감염되었다면 쉽지 않아도 멀웨어를 삭제할 수 있다는 옵션이 분명히 존재했다. 물론 특수 삭제용 툴이 필요할 수도 있고, 하염없이 모니터 앞에 앉아서 지겨운 반복 작업을 해야 할 수도 있지만 말이다. 그러나 랜섬웨어는 다르다. 최근 랜섬웨어는 거의 전부 비대칭 암호화 기술을 차용하고 있다. 거꾸로 되돌린다거나 분석하는 게 매우 힘들다.

당신만이 목적인 것은 아니다
랜섬웨어 공격자들은 이제 더 큰 돈을 따라 움직인다. 랜섬웨어 상품화의 핵심이 바로 ‘더 큰 이윤’이기 때문이다. 이들은 몇몇 개인보다 치명적인 시설을 노리는 게 자신들의 원하는 바를 이루는 데 유리하다는 걸 알게 되었다. 지난 해의 할리우드장로병원 공격이 그 시발점이었다고 보는 분석이 중론이다. 1주일 넘게 병원 업무를 제대로 할 수 없게 되자 병원 측에서 큰 돈을(물론 애초에 범인들이 요구한 것보다 에누리된 금액이긴 하지만) 줄 수밖에 없었기 때문이다.

상품화된 랜섬웨어의 시대라는 건 보안 업체들에게 있어 혼란의 시대를 예고한다. 아무나 돈을 목적으로 공격을 감행할 수 있기 때문에 피해자들 간의 연관성이 엷어지기 시작할 것이고, 이는 수사, 추적, 분석을 매우 어렵게 만들기 때문이다. 그나마 다행인 건 랜섬웨어의 상품화 시대에는 ‘표적형 공격’이 크게 줄어들 예정이라는 점이다. 

해킹 공격이 쉬워지면 쉬워질수록, 공격 대상이 많아지면 많아질수록 혼자 싸울 수 없는 상황이 나온다. 상품화된 랜섬웨어가 득세하면 할수록 우리는 더 많이 공유하고 더 많이 얘기하고 더 많이 함께해야 한다. 그것만이 정답일 수밖에 없다.

출처:http://www.boannews.com/media/view.asp?idx=54172&kind=4