랜섬웨어도 “Show Me the Money”?!

랜섬웨어도 “Show Me the Money”?!

- AhnLab 보안정보  2016년 7월 6일 -

2016년 상반기 가장 큰 보안 이슈는 랜섬웨어였다. 

올해 랜섬웨어 공격이 폭발적으로 증가한 이유는 무엇일까? 바로 ‘돈’이 되기 때문이다. 

$how me the MONEY! 올해 상반기 주요 랜섬웨어와 예방법을 소개한다.

올해 상반기 보안 이슈의 정점에는 랜섬웨어가 있었다.  안랩 시큐리티대응센터(ASEC)에서 집계한 결과에 따르면,  2016년 상반기에 발견된 랜섬웨어는 총 52개에 달한다(6월 10일 기준). 보안 업체에서 다루지 않았거나 알려지지 않은 랜섬웨어까지 포함하면 그 수는 더욱 늘 것으로 추정된다. 작년에 비해 올해 랜섬웨어가 폭발적으로 증가한 이유는 무엇일까? 바로 ‘돈’이 되기 때문이다. 2015년 1월에 발견된 크립토월 3.0의 제작자는 전세계적으로 3.25억 달러(한화 3900억 원)의 수익(?)을 거둔 것으로 추정된다. 한 달에 약 350억 원 이상의 범죄 수익을 올린 것이다. ‘단시간, 저위험, 고수익’이라는 매력 때문에 악성코드 제작자들이 랜섬웨어로 몰려들고 있는 것이다. 

$how me the MONEY!!

최근 인기리에 방영되고 있는 힙합 쇼프로그램을 말하는 것이 아니다. 한 시대를 풍미했던 게임의 치트키(cheat key)도 아니다. 바로 최근 급증하고 있는 랜섬웨어의 제작자들이 원하는 것을 한 마디로 표현한 것이다.

랜섬웨어 제작자들의 목적은 오로지 돈이다. 전 세계적으로 3.25억 달러(한화 3900억 원)를 탈취한 크립토월 뿐만 아니라 다른 수많은 랜섬웨어까지 고려하면, 랜섬웨어로 인해 발생하는 전체 피해는 수조 원 이상은 족히 될 것으로 보인다. 이런 랜섬웨어 제작자들은 수익을 극대화하기 위해 안티바이러스의 탐지를 우회하고, 감염 기법을 바꾸고, 목표물을 더욱 다양하게 확대하고, 랜섬웨어를 대신 제작 및 배포하는 서비스인 RaaS(Ransomware as a Service)를 제공해 추가 수익을 만들어내는 등 수익 극대화를 위한 노력을 계속하고 있다. 

랜섬웨어 제작자의 목적은 오로지 돈! 감염 목표 다각화 꾀해 

랜섬웨어는 수익을 극대화하기 위해 감염 대상을 보다 더 구체화하여 특정 환경 사용자들을 노리기 시작했다. 2016년 1월에 발견된 랜섬32의 경우 웹개발 모듈이 설치된 개발자 환경 또는 파워유저 환경을 대상으로 했으며, 2월 말에 발견 된 CTB 록커 포 웹(CTB-Locker for Web)은 웹 서버 환경에서 동작하도록 설정되어 있다. 삼삼(SaMaS 또는 SAMSAM)으로 알려진 랜섬웨어의 경우, 의료기관이나 헬스케어 관련 기업들을 대상으로 한 것으로 알려져 있다. 

▲ [그림 1] 특정한 환경을 노리는 랜섬32

2016년 상반기 주요 랜섬웨어 

지난 상반기, 특히 국내에서 악명을 떨쳤던 대표적인 랜섬웨어와 감염 경로는 다음과 같다. 

■ 테슬라크립트(TeslaCrypt)

2016년 1월에 테슬라크립트 3.0 버전이 등장한데 이어 3월에는 테슬라크립트 4.0 버전, 그 이후로 일부 기능을 개선하여 4월에 4.1 버전, 4.2 버전이 연속적으로 나타났다. 그러나 2016년 5월 18일, 테슬라크립트 제작자들이 테슬라크립트에 의해 암호화된 모든 파일의 암호화를 풀 수 있는 복호화 마스터키를 갑작스레 공개하고 활동을 종료했다. 

■ 록키(Locky)

2016년에 등장한 록키 랜섬웨어는 전세계적으로 상상을 초월할 정도로 많이 유포되어 악명을 떨쳤다. 특히 3월 말부터는 록키 랜섬웨어의 암호화 대상 파일에 한글 파일(.hwp)도 포함되었다.

■ 서버(CERBER)

3월 초에 발견된 서버(CERBER)는 감염되면 사용자의 데이터가 암호화된 사실을 음성으로 안내해주는 것이 특징이다. 취약한 광고 서버의 플래시(Flash) 파일을 통해 악성코드를 유포하는 멀버타이징(Malvertising) 기법이 사용되었다. 러시아의 블랙마켓에서 RaaS(Ransomware-as-a Service)로 판매된 사례가 발견되기도 했다.

■ 마크툽(Maktub)

3월 말에는 마크툽(Maktub) 랜섬웨어가 발견되었다.마크툽 랜섬웨어는 원본 파일을 압축한 다음 암호화를 진행한다.

■ 페트야(펫야, Petya) 

2016년 3월에는 단순하게 화면을 띄워 PC를 잠그고 공포감을 유발시키거나 사용자의 파일을 암호화 하는 것을 넘어 사용자 PC의 MBR(Master Boot Record) 영역까지 암호화하는 페트야 랜섬웨어도 등장했다.

▲ [그림 2] 페트야(펫야, Petya) 랜섬웨어 감염 화면

■ 미샤(Mischa)

5월 중순에는 미샤(Mischa)가 등장했다. 미샤 랜섬웨어는 MBR 암호화와 사용자 파일(데이터) 암호화 중 하나를 선택적으로 암호화할 수 있다. 주로 스팸 메일에 포함되어 있는 URL 링크를 통해 다운로드 후 실행하도록 유도한다.

■ 크립트엑스엑스엑스(CryptXXX)

2016년 4월부터 발견되기 시작한 크립트엑스엑스엑스는 갑자기 광범위하게 유포되면서 그 세력을 넓혀가고 있다. 크립트엑스엑스엑스 1.0이 발견된지 약 3주 정도 지난 5월 중순에는 2.0 버전이 발견되었고, 이후 2주도 채 지나지않은 5월 말에 3.0 버전이 확인되었다. 지난 6월 초에 국내 유명 대형 커뮤니티를 통해 유포되면서 많은 피해가 발생했다. 플래시로 제작된 특정 사이트의 광고 모듈이 취약한 점을 이용해 멀버타이징(Malvertising) 기법을 통해 유포된 사례로, 해당 광고 업체의 모듈을 사용한 대부분의 사이트에서 피해가 발생한 것으로 알려져 있다. 테슬라크립트와 마찬가지로 한글 파일(.hwp)이 암호화 대상에 포함되어 있어 국내 사용자들의 주의가 요구된다.

▲ [그림 3] 크립트엑스엑스 감염 화면

사용자를 위한 랜섬웨어 예방법

“취약점 중에 가장 크고 문제가 되는 취약점은 다름 아닌 사람이다”라는 표현이 있다. 아무리 좋고 뛰어난 보안 솔루션을 도입해서 사용한다고 하더라도, 최종 사용자는 결국 사람이기 때문에 그만큼 통제가 어렵다는 뜻이다. 하지만 반대로 생각하면 사용자들이 안전하게 PC를 사용할 수 있다면 랜섬웨어의 위협으로부터 상당 부분 벗어날 수 있다는 것을 의미하기도 한다. 아무리 강조해도 지나치지 않을 랜섬웨어 예방법은 다음과 같다. 

1. 최신 버전의 OS 설치 (보안 업데이트가 제공되지 않는 구버전 OS 사용 지양)

2. 마이크로소프트(Microsoft)에서 매달 둘째 주 수요일에 발표하는 보안 업데이트 적용

3. 인터넷익스플로러 외에 엣지(Edge), 크롬(Chrome), 파이어폭스(Firefox) 등 다른 브라우저 사용하기

4. 웹브라우저, 자바, 플래시 플레이어의 최신 버전 사용

5. 자바, 플래시 플레이어가 반드시 필요하지 않을 경우 가급적 PC에서 제거

6. ‘주기적인 데이터 백업’의 생활화 

7. 백신 프로그램의 최신 엔진 버전 적용, 실시간 감시 이용 등 올바른 사용

8. 불필요하거나 본래 목적에서 벗어난 무분별한 PC 사용 자제

9. 공짜 사이트는 악성코드의 온상임을 명심하기

10. 수상한 이메일 열람과 첨부파일 실행 자제

☞ ‘2016년 상반기 랜섬웨어 동향’ 더 보기 

한편, 안랩은 최근 자사 홈페이지의 ‘랜섬웨어 보안센터’를 개편하고 최신 랜섬웨어에 관한 자세한 정보와 복구툴 등을 제공하고 있다.

- AhnLab  ASEC 대응팀 -

<출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=25208>