2017년 상반기, 랜섬웨어 위협 쓰나미 휩쓸다

올해 상반기 내내 ‘랜섬웨어’ 위협이 쓰나미처럼 몰려왔다. 사이버위협 관점에서 2017년을 가히 ‘랜섬웨어의 해’라고 불러도 무방할 정도다.

랜섬웨어는 지난해에도 크게 기승을 부리면서 가장 위협적인 악성코드로 떠올랐다. 올해에는 그 강도와 위력이 더욱 커졌다. 경각심을 넘어 공포감을 느낄 정도라는 얘기까지 나왔다.

출처=지란지교시큐리티

지난 5월 전세계를 강타해 단숨에 100여개국 수십만대 컴퓨터를 감염시켜 큰 피해를 입힌 ‘워너크라이(WannaCry)’ 랜섬웨어가 대표적인 사례다. 마이크로소프트 윈도우 운영체제의 SMB(Server Message Block) 프로토콜 취약점을 악용하는 랜섬웨어로, 사용자 활동과 관계없이 네트워크상에서 스스로 전파할 수 있는 능력을 갖고 있어 대규모로 확산됐다.

지난달에는 ‘워너크라이’ 같은 취약점과 익스플로잇을 사용해 빠르게 전파할 뿐 아니라 파괴력까지 지닌 ‘페트야(Petya)’ 변종까지 등장했다. 이 랜섬웨어는 보안업체들마다 ‘네티야(Nyetya)’, ‘낫페트야(NotPetya)’, ‘엑스페트르(ExPetr)’, ‘페트랩(Petrwrap)’ 등 다양하게 부르고 있다.

이 ‘페트야’는 공격자가 요구하는 대가를 지불하더라도 복호화가 불가능해 금전 목적 보다는 파괴적 성격이 강한 것으로 분석됐다. 우크라이나를 겨냥해 러시아가 벌인 사이버표적 공격이라는 분석이 나오기도 했다.

그나마 국내에서는 ‘워너크라이’나 ‘페트야’로 인한 피해는 크지 않았다. 하지만 리눅스 기반 ‘에레버스’ 랜섬웨어에 인터넷호스팅 기업 인터넷나야나의 서버 150여대가 한꺼번에 감염돼 웹·서버 호스팅을 받고 있던 5천여개 웹사이트가 피해를 입으면서 큰 이슈가 됐다.

이 호스팅 기업은 결국 고객 데이터를 복구하기 위해 13억원에 이르는 비트코인을 해커에게 지불하고 오랜 복호화 작업을 벌인 후에야 서비스를 가동할 수 있었다.

이 인터넷나야나 사건은 단순 랜섬웨어 감염이 아니라 지능형지속위협(APT)이 결합된 방식으로 표적 공격이 이뤄진 것으로 나타났다. 공격자는 사전에 탈취한 계정정보를 이용해 서버를 장악한 후 백업된 자료까지 모두 파기해놓은 상태에서 모든 서버에 설치한 랜섬웨어를 한꺼번에 실행시켰다. 아직까지는 이번 침해사고 원인을 규명할 핵심단서인 최초 계정정보 유출 경로가 밝혀지지 않은 상태다.

이밖에도 크게 이슈화되지 않았지만 올해 내내 세이지, 비너스락커 변종, 메트릭스 등 수많은 랜섬웨어가 발견돼 많은 개인과 기업에 피해를 입혔다.

한국인터넷진흥원(KISA) ‘2분기 사이버 위협 동향 보고서’에 따르면, 올해 상반기 랜섬웨어 피해접수 건수는 4540건이다. 지난 한 해 동안 집계된 랜섬웨어 피해 민원접수 건수는 총 1438건이었다. 올해 상반기에만 지난해 대비 3배 넘는 규모의 랜섬웨어 피해건수가 집계됐다. 2015년에는 770건이었다.

출처 : 한국인터넷진흥원(KISA)

공격자들에게 높은 수익을 가져다준다는 이점 때문에 랜섬웨어 악성코드는 계속해서 기승을 부릴 것으로 예상된다. 보다 쉽게 제작·배포하는 방법이 사용되고 있고, 탐지나 방어를 회피하기 위해 갈수록 더욱 정교화되는 양상이 나타나고 있어 우려된다.

시스코가 최근 발표한 ‘2017 중기 사이버보안 보고서(Cisco 2017 Midyear Cybersecurity Report)’에는 시스코 위협 분석가들이 관찰한 악성코드 진화 트렌드가 담겨 있다. 이를 토대로 기승을 부리고 있는 랜섬웨어 공격 추세를 엿볼 수 있다.

RaaS 플랫폼 성장

먼저 ‘서비스형랜섬웨어(RaaS)’ 플랫폼이 빠르게 성장하고 있다는 점이다. 이제 공격자들은 랜섬웨어를 직접 코딩하거나 프로그래밍하지 않아도, 기술 역량이 좀 부족하더라도 RaaS를 이용해 얼마든지 쉽게 랜섬웨어를 유포할 수 있다. RaaS 플랫폼 운영자들 중에서는 제작뿐만 아니라 캠페인 진행 상황을 추적하는 ‘고객 서비스’를 제공하고 있을 정도로 발전하고 있는 상황이다.

오픈소스 코드베이스 활용

최근 오픈소스 랜섬웨어 코드를 기반으로 만들어진 새로운 랜섬웨어도 발견되고 있다. 공격자들은 ‘히든티어(Hidden Tear)’, ‘EDA2’와 같은 오픈소스 코드를 ‘교육적인 목적’으로 공개하고 있다. 이같은 오픈소스 코드베이스는 멀웨어를 빠르고 쉽게 비용효과적으로 생성할 수 있게 한다. 공격자들은 코드를 수정해 원본과는 다르게 보이도록 조치한 후 악성코드를 배포하고 있다.

익명화되고 분산된 인프라 이용해 회피 

랜섬웨어를 비롯해 악성코드 제작자들은 탐지를 회피하기 위해 새로운 기술을 활용하고 있다. 명령제어(C&C) 인프라를 난독화하기 위해 익명화되고 분산된 네트워크 인프라나 프로토콜을 사용한다. 토르(Tor) 네트워크를 사용해 그 안에서 C&C 서비스를 제공하는 방식이 대표적이다. 때문에 공격자들이 사용하는 C&C 인프라를 추적하는 것이 점점 더 어려워졌다.

공격자들은 샌드박스나 악성코드 자동 탐지 시스템을 우회할 수 있는 방법을 끊임없이 찾아내고 시도하고 있다.

RDoS, 금전 협박성 디도스 공격

랜섬웨어 외에도 올해 협박성 디도스(DDoS, 분산서비스거부) 공격으로 금융권이 비상에 걸리기도 했다.

‘아르마다 콜렉티브(Armada Collective)’라는 해외 해킹그룹이 국내 은행, 증권사, 거래소 등 금융기관들에게 금전(비트코인)을 요구하면서 1테라비트(Tbps)에 달하는 대규모 디도스 공격을 가하겠다고 협박한 일이 있었다. 실제 공격은 발생하지 않아 해프닝으로 끝났다.

국내 금융권이 해외 해킹그룹으로부터 비트코인을 요구하는 디도스 공격 협박을 받은 것이 처음도 아니다. 지난 2015년 7월 은행과 증권사들은 DD4BC라는 해킹그룹으로부터 연달아 디도스 공격을 받은 일이 있었다. DD4BC 역시 디도스 공격을 가하고 비트코인을 요구하면서 이 요구를 들어주지 않으면 더욱 강도 높은 공격을 벌이겠다는 협박을 했다.

당시에도 이들이 호언했던 400-500기가비트(Gbps) 공격은 현실화되지 않았고 15~20기가비트 규모의 공격이 발생했다.

랜섬웨어와 달리 디도스 공격으로 금전을 요구하며 협박하는 경우 국내에서는 대부분 먹히지 않는다.

그럼에도 이같은 협박성 디도스 공격은 최근 전세계적으로 두드러지는 추세다. 시스코는 보고서에서 이를 ‘RDoS(ransom denial of service)’라고 불렀다. 우리식으로 풀자면 ‘랜섬디도스’ 공격이라고 할 수 있겠다.

추적이 어려운 비트코인을 요구하면서 협박성 사이버공격을 벌이는 시도는 계속해서 꾸준히 늘어나고 있다. 사이버범죄자들에게 높은 수익을 안겨다주기 때문인데, 현재로선 마땅한 해결책이 없는 게 매우 큰 문제다.