11.19
뉴스홈 > 리뷰
[솔루션 리뷰] 랜섬웨어 공격원리 파악부터 탐지 및 차단까지파이어아이(FireEye)

   
 
[컴퓨터월드] 최근 랜섬웨어(Ransomware)가 국내에 본격적으로 상륙해 개인 PC 뿐만 아니라 기업 서버에 이르기까지 크고 작은 피해를 양산하고 있다. 지난 2015년 4월 국내 유명 IT 커뮤니티 사이트 ‘클리앙(Clien)’에서 랜섬웨어의 일종인 ‘크립토락커(Cryptolocker)’가 유포되면서 많은 피해자들이 발생한 것이 단적인 예이다.

이 사건에서 주목해야 할 것은 한글을 사용한 랜섬웨어가 처음 발견됐다는 점이다. 그동안은 영문으로 된 랜섬웨어가 대부분이었지만, 이 때 한글로 된 랜섬웨어가 발견되면서 랜섬웨어 유포 그룹이 우리나라도 타깃으로 인식하기 시작한 것으로 여겨지고 있다. 기업을 비롯한 조직들이 랜섬웨어에 대해 더욱 경각심을 가져야 할 이유다.


진화하고 있는 랜섬웨어 변종
랜섬웨어는 계속해서 그 수와 변종을 증식시키고 있으며, 피해 범위 역시 넓어지고 있다. 공격자들 역시 일정 기간 내 입금하지 않으면 파일을 훼손하거나 온라인을 통해 해당 파일을 공개하겠다고 협박을 하는 등 점점 더 악질적인 태도를 취하고 있다.

파이어아이(FireEye)는 지난해 5월 크립토락커(Cryptolocker), 크립토월(Cryptowall) 및 CTB락커 등 발견한 랜섬웨어 변종 6개에 대해 발표했다. 파이어아이가 발표한 자료에 따르면 크립토락커의 경우 처음 발견된 2013년부터 2014년 4월까지 9개월간 총 300만 달러(약 35억 원)를 벌어들였으며, 크립토월은 6개월간 100만 달러(약 11억 원)의 부당 수익을 올린 것으로 추정된다. 또한, 테슬라크립트(Teslacrypt) 해커들은 2015년 2월 7일부터 4월 28일까지 7만 6,522달러(약 8천만 원)를 챙긴 것으로 추산된다.

중요한 것은 랜섬웨어를 이용한 사이버 공격이 향후 몇 년 간 더 증가할 것으로 전망된다는 점이다. 랜섬웨어를 이용한 사이버 공격은 초보자도 이용할 수 있을 정도로 공격 방법이 쉬우며, 이를 통해 손쉽게 전 세계 인터넷 사용자로부터 부당 이익을 취할 수 있기 때문이다. 
 

■ 파이어아이가 발견해 발표한 랜섬웨어 변종 6종

● 크립토락커(Cryptolocker) - 가장 흔한 파일 암호화 랜섬웨어 변종으로, 2013년에 처음 발견됐다. 게임오버 제우스(Gameover Zeus) 봇넷을 통해 유포되며, 300~500만 달러(약 35~58억 원)의 몸값을 요구한다. 2014년 클리앙을 공격했으며, 당시 피해자들은 웹사이트 방문만으로도 랜섬웨어에 감염됐다.

● 크립토월(Cryptowall) - 크립토락커가 발견된 몇 개월 후 출몰했으며, 크립토락커와 유사한 양상을 보였다. 2014년 6개월 만에 100만 달러(약 11억 원)의 부당 수익을 올렸다.

● CTB락커(CTB-Locker)
- 2014년에 처음 발견됐으며, 최초의 파일 암호화 방식의 랜섬웨어로 토르 네트워크를 이용한 익명의 네트워크에서 이용됐다. 비공식 포럼에서 사이버 범죄자들을 대상으로 판매되고 있다.

● 토르락커(TorLocker)
- 2014년에 일본 사용자를 타깃으로 제작된 랜섬웨어로, 현재는 존재하지 않는 온라인 블랙마켓, 에볼루션(Evolution)에서 판매됐다.

● 크립토오보(Kryptovor)
- 감염된 PC로부터 파일을 훔쳐가는 악성코드로 2014년에는 랜섬웨어적 요소가 발견됐다. 러시아에 있는 비즈니스 업체를 타깃으로 하고 있다. ‘Krypto’는 암호를 의미하며, ‘Vor’는 도둑이라는 뜻이다.

● 테슬라클립트(TeslaCrypt)
- 2015년 2월 처음 발견된 랜섬웨어 변종으로 온라인 게임을 포함한 다양한 파일을 암호화한다. 복호화 열쇠가 개발되고 있지만, PC에서 키 파일을 지우게끔 업데이트 돼 복호화 열쇠가 있더라도 복원이 불가능하다.



탐지부터 사전 차단까지 완벽 지원
랜섬웨어로 인한 피해가 증가하자 보안업체들은 앞 다퉈 랜섬웨어 대응 솔루션을 내놓고 있다. 그러나 일부 제품들의 경우 랜섬웨어 공격에 대한 탐지 및 방어보다는 파일 백업에 초점을 맞춘 수준에 머물러 있다. 이들 솔루션들은 랜섬웨어의 침입 경로 파악 및 사전 차단에 대해서는 명확한 답을 주지 못해 기업들의 불안감을 해소해주기엔 역부족이다.

이러한 상황에서 파이어아이는 고유의 멀티-벡터 가상 실행(Multi-Vector Virtual Execution; MVX) 엔진 기술을 기반으로 랜섬웨어의 전체 공격 과정에 대한 가시성을 확보하고, 효과적으로 대응할 수 있는 보안 전략을 제시한다. 웹 사이트 및 이메일 등 각종 랜섬웨어의 유입 경로에 따라 맞춤화된 보안 솔루션을 처방한다.


1. 네트워크 보안 솔루션으로 랜섬웨어 유포 및 감염 과정 확인·차단으로 피해 범위 최소화

   
▲ 파이어아이 NX 솔루션으로 웹을 통해 유입되는 랜섬웨어 탐지·차단


웹을 통해 유입되는 경우, 랜섬웨어 익스플로잇의 유포지를 정확하게 파악해 해당 사이트를 사전에 차단하는 것이 중요하다. 랜섬웨어의 침입은 익스플로잇 실행, 유입, CnC 서버 접속 등 크게 세 단계로 나뉜다.

처음 익스플로잇 실행 단계에서는 정상 페이지에서 악성코드 유포지로 여러 단계를 거쳐 리다이렉션 된 후 익스플로잇이 실행된다. 따라서 전체적인 웹 플로우를 분석할 수 있어야만 해당 유포지를 파악해 차단할 수 있다.

파이어아이는 네트워크 보안 제품인 NX 시리즈를 통해 웹 익스플로잇이 실행되는 전체 과정에 대한 정보를 제공한다. 이를 통해 조직들은 랜섬웨어의 유포지로 사용되는 유해 사이트를 확인하고, 사전 차단 정책을 적용해 효과적으로 랜섬웨어를 예방할 수 있다.

실제로 최근 국내에서 웹 포탈에 ‘박병호 포스팅’이라는 키워드를 검색해 특정 온라인 기사 사이트에 접속할 경우, 익스플로잇 사이트로 리다이렉션 돼 랜섬웨어에 감염된 사례가 발생했다. 당시 파이어아이는 NX 시리즈를 통해 이러한 익스플로잇 실행 과정을 정확히 분석했으며, 고객에게 해당 기사 사이트를 차단시키도록 권고한 바 있다.


   
▲ NX를 통해 웹을 통해 유입되는 랜섬웨어 탐지 케이스


또한, 랜섬웨어 유입 단계에서 NX 솔루션은 악성코드의 상세 분석을 통해 랜섬웨어를 차단하고, 대응 방안과 감염 호스트 확인을 위한 흔적 지표를 제공한다. 뿐만 아니라 우수한 행위 분석 기반 탐지 기술을 통해 랜섬웨어의 특정 행위를 완벽하게 분석한다. 예를 들어 랜섬웨어가 윈도우 복원 기능 해제 활동이나, 파일 암호화 행위 등의 특정 행위를 보이는 경우, NX 솔루션은 이를 분석해 사용자에게 정확한 흔적 지표를 제공하고 있다.

마지막으로, 파이어아이 NX 솔루션은 랜섬웨어가 감염 정보 전송 또는 암호화 키 값 수신을 위한 CnC 서버로의 접속 시도를 사전에 탐지해 차단하는 기능도 제공한다. 이미 익스플로잇이 유입됐다고 하더라도 CnC 서버로의 접속을 막는다면 궁극적으로 일부 랜섬웨어 공격의 피해를 최소화할 수 있다.


   
▲ NX가 제공한 전체 익스플로잇 실행 과정에 대한 플로우 정보

 

   
▲ 파이어아이 NX 시리즈 제품 이미지


2. 이메일 보안 솔루션 통한 첨부파일·악성링크 형태 랜섬웨어 유포 차단
파이어아이는 웹을 통한 감염뿐 아니라 피싱 이메일을 통한 랜섬웨어 공격을 막기 위한 전략도 제시한다. 일반적으로 이메일을 통한 랜섬웨어는 첨부 파일이나 악성 링크를 통해 유포된다. 파이어아이 이메일 보안제품 EX 시리즈는 의심스러운 이메일 첨부 파일과 내장된 URL을 실행 및 분석하고, 모든 악성 이메일을 차단할 수 있다. EX는 MTA(Mail Transfer Agent) 모드를 통해 랜섬웨어가 사용자 PC에 유입되기 전 사전 차단한다.

   
▲ EX를 통해 이메일로 유입되는 랜섬웨어 탐지·차단



   
▲ 파이어아이 EX 제품 이미지


MVX 엔진, 파이어아이의 차별성
파이어아이의 NX 및 EX 기술의 원동력은 가상환경에서 파일들을 실행하고 분석하는 MVX에 있다. 흔히 샌드박스(Sandbox)로 불리는 이 기술은 운영체제, 응용프로그램, 브라우저, 플러그인 등 다단계 탐지 엔진을 이용해 사이버 위협을 실시간으로 탐지하고 차단한다.

가상 머신에서 실시간 분석을 통한 결과 값을 기반으로 하기 때문에 알려지지 않은 패턴에 대해서도 정확한 분석 및 탐지가 가능하며, 랜섬웨어 공격의 침입부터 감염까지의 전체 라이프 사이클에 대한 가시성을 제공하기 때문에 효과적인 대응이 가능하다.

랜섬웨어는 유포지 파악이 어려워 피해가 급증하고 있는 실정이다. 파이어아이는 독보적인 네트워크 보안기술과 전문가들의 풍부한 경험을 기반으로 유해 사이트를 정확하게 파악해 고객들이 사전 조치할 수 있도록 지원한다. 또한 우수한 기술력을 자랑하는 이메일 보안 솔루션을 통해 스피어 피싱으로 유입되는 악성코드를 효과적으로 탐지 및 차단한다.


공격 주체와 조직 내부 보안 수준 파악해야
조직에 막대한 금전적 피해뿐 아니라 비즈니스 연속성에도 치명적인 영향을 끼치는 랜섬웨어의 공격이 현실적인 위협으로 다가오고 있다. 랜섬웨어는 워낙 변종이 많아 백신(Anti-Virus)으로도 탐지를 못하는 경우가 많다.

랜섬웨어는 더욱 위협적인 악성코드로 진화하고 있다. 랜섬웨어 제작자들은 다양한 형태의 랜섬웨어를 지속적으로 제작하는 한편, 금전적인 측면에서 효율성이 뛰어난 케이스들을 선별해 랜섬웨어를 고도화하고 있다. 향후 랜섬웨어로 인한 피해 범위가 더욱 넓어질 것으로 예상되는 이유다.

실제로 국내에서 보고되는 랜섬웨어 피해사례 건수는 지속적으로 증가하고 있다. 손자병법에 “지피지기면 백전불패”라는 말이 있다. 사이버 보안도 이에 해당한다. 랜섬웨어를 비롯한 사이버 공격의 공포에서 벗어나기 위해서는 공격 주체와 조직의 내부 시스템 보안 수준에 대한 정확한 이해가 우선이다.

일단 랜섬웨어에 감염되면 조직은 막대한 피해를 입는다. 따라서 랜섬웨어로 인한 피해를 예방하기 위해서는 전문적인 보안 기술 및 전문가의 도움을 통해 악성코드를 사전 탐지 및 차단 조치를 철저히 하는 것이 중요하다. 파이어아이는 랜섬웨어의 감염 경로 및 공격에 사용되는 악성코드를 철저하게 분석해 사전에 탐지 및 차단하도록 권고함으로써 조직들이 랜섬웨어에 효과적으로 대응할 수 있도록 지원한다.

인기기사 순위
(우)08503 서울특별시 금천구 가산디지털1로 181 (가산 W CENTER) 1713~1715호
TEL : 02-2039-6160  FAX : 02-2039-6163  사업자등록번호:106-86-40304
개인정보/청소년보호책임자:김선오  등록번호:서울 아 00418  등록일자:2007.08  발행인:김용석  편집인:김선오