2018년 11월 30일
랜섬웨어 (Ransomware)
I. 암호화된 파일 복호화 위한 금품 요구, 랜섬웨어의 개요
가. 랜섬웨어 (Ransomware)의 정의
내부 문서나 파일 등을 암호화하고 복호화 프로그램에 대한 금품을 요구하는 해킹 기법
나. 랜섬웨어의 동향
- 랜섬웨어 중 크립토락커 는 2013년 9월 처음 발견, ‘크립토월(CryptoWall)’, ‘토렌트락커(TorrentLocker)’, ‘크립토그래픽락커(CryptographicLocker)’, ‘테슬라크립트(TeslaCrypt)’ 등의 이름으로 변형들의 지속적인 유포
다. 랜섬웨어의 특징
| 특징 | 설명 |
|---|---|
| 사회공학 기법 | – 랜섬웨어배포 위한 사회공학적 기법 주로 사용 – 대표적인 사례로 이메일을 통한 랜섬웨어 배포 |
| 금품 요구 | – 사용자 파일을 암호화하여 접근할 수 없도록 한 후 복호화 프로그램 제공 위한 금품 요구 |
| 암호화 | – 사용자의 PC에 저장되어 있는 문서나 이미지 파일 등을 대상으로 암호화 수행 |
II. 랜섬웨어 침투 경로 및 공격 기법/유형
가. 랜섬웨어 침투 경로
| 침투 경로 | 관련 기법 | 설명 |
|---|---|---|
| 신뢰할 수 없는 사이트 | 웹 기반 DBD | – 단순 홈페이지 방문으로 감염 가능 |
| 스팸 메일 | 사회공학 적 기법 | – 이메일 내 URL 링크나 첨부 파일 통한 악성코드 유포 |
| 파일공유 사이트 | 익명 네트워크 | – P2P 사이트에서 파일 다운로드 및 실행 시 악성코드 감염 |
나. 랜섬웨어 공격 기법
| 공격 기법 | 사용 기술 | 설명 |
|---|---|---|
| 침입/배포 기법 | 웹기반 DBD | – 해커가 유도한 사이트에 접속 – 악성코드 즉시 다운로드/감염 |
| 멀버타이징 | – 인터넷 사이트 광고 클릭유도 – DBD 기법과 혼용 | |
| SMB 취약점 | – SMB 취약점 등 내부 네트워크 장비의 보안 취약점 이용 감염 | |
| 사회공학 | – 업무 메일인 것 처럼 가장 – 피해자가 메일 열어보도록 유도 | |
| 데이터 암호화 기법 | 단방향 암호화 | – 데이터를 복구할 수 없도록 단방향 암호화 |
| 양방향 암호화 | – AES/RSA 등 이용하여 암호화 – 대가 지불 시 복호화 키 전송 | |
| 금전 탈취 기법 | 비트코인 | – 비트코인 등 가상화폐 요구 – 금융 추적 회피 |
| 토르 네트워크 | – 익명 네트워크 사용하여 배포자 위치 은닉 |
다. 랜섬웨어의 유형
| 랜섬웨어 | 사용기술 | 특징 |
|---|---|---|
| CryptoWall | – 웹 기반 DBD | – 파일명 확장자 변경 – 암호화한 폴더 내 파일 생성 |
| CryptoLocker | – 웹 기반 DBD | – 파일 확장자 encrypted로 변경 – 시스템 보호 백업 삭제 후 동작 |
| TeslaCrypt | – 스피어 피싱 – DDoS | – 파일의 확장자 변조하지 않음 – 암호화 폴더 내 3개 파일 생성 – 개발자가 마스터키 배포 |
| CERBER | – 멀버 타이징 | – 네트워크 경로로 데이터 암호화 – PC에서 목소리로 감염사실 전달 |
| Locky | – 스피어 피싱 | – 파일명 및 확장자 변경 – 바탕화면 요구내용으로 변경 |
| WanaCry | – 스피어 피싱 | – SMB 취약점 통해 감염 – 시스템 당 300$ 비트코인 요구 |
| Erebus | – 스피어 피싱 | – 리눅스 주요 파일 암호화 – 암호화 파일명에 .ecrypt 확장자 |
III. 랜섬웨어 사전-실시간-사후 대응 방안
가. 감염원인에 따른 랜섬웨어 사전 예방방안
| 감염원인 | 예방 방안 | 공통 방안 |
|---|---|---|
| 드라이브 바이 다운로드 | – 바이러스 정보 안내 사이트 확인 | – 중요 자료 백업 – 취약점 보안 패치 – 안티랜섬웨어 |
| 스크립트 실행 | – 게시자 확인불가 S/W 실행 금지 | |
| 플래시 | – 플래시 차단 | |
| 멀버타이징 | – 광고 배너 클릭 금지 – Sandbox 솔루션 |
– 근본 예방 방안은 데이터의 충분한 보안 및 백업이며, 시스템 운용 시 외부 환경 노출 최소화
나. 랜섬웨어 실시간 대응 방안
| 대응 방안 | 예방 방안 |
|---|---|
| 스팸메일 실시간 대응 | – 메일 솔루션 확인하여 스팸메일 차단 – 전사 공지를 통한 공격 알림으로 예방 |
| 샌드박스기반 첨부파일 검증 | – 악성코드 전용 샌드박스 이용 – 신속한 악성코드 여부 판단 |
| 의심 파일 실행 보류 | – 샌드박스 검증 완료 시 까지 의심파일에 대한 실행 보류 기능 추가 |
다. 랜섬웨어 감염 후 조치 방안
| 조치 방안 | 세부 조치 방안 | 조치 확인 |
|---|---|---|
| 시스템 복원 | – 시스템 설정 복구 시점 복원 | – 시스템 복구 영역 존재 확인 |
| 암호화 해제 | – 암호화 파일 복호화 – 전용 백신 사용 | – 랜섬웨어 종류에 따라 불가능 경우 |
| 제거툴 사용 | – 부팅 시 CMD line 으로 제거툴 사용 | – 도구 적용 후 손실 발생 가능 |
- 감염 후 2차 감염을 차단하기 위해 네트워크 통한 2차 감염 차단 필요
- 랜섬웨어에 대한 원천적인 대응은 불가능하기 때문에 출처가 불명확한 프로그램은 실행 자제
IV. 기업보안 방안 수립 시 고려사항
| 고려사항 | 설명 |
|---|---|
| 최신 보안기술 유지 | – 진화하는 공격 기법에 대응 위해 보안 시스템을 최신 상태로 유지 |
| 보안 정책 적용 일관성 | – 보안 적용 예외 시 악용 소지 – 인적 사고 방지 위한 일관된 보안 정책 |
| 적절한 비용 투자 | – 중요/비중요 정보 구분하여 투자 집중 – 비용 대비 효율적 보안 체계 구축 |
– 대부분의 기업 보안 사고는 인재에 기인하므로 회사 구성원 보안 의식 제고가 핵심 요인
About The Author
