랜섬웨어 내용정리

해커들의 목적 변화

  이전의 해커는 재미/과시용 공격이 많았으나 2017년 워너크라이 시점 전후로 금전적인 이익을 목표한 공격 증가

 

피해 금액

  한 예로, 사이버위협연함(CTA)이 2015년 10월에 발표한 자르에 따르면 '크립토월'이라는 랜섬웨어가 2015년 1월~10월까지 거둬들인 수익은 약 325억달라(약3900억원)에 이름

 

해커들의 수익 공로자, 비트코인

  비트코인의 가장 큰 특징은 돈 거래를 중개하는 금융기관이 필요 없다는 점이다. 돈 거래에 금융기관이 개입하지 않고 돈을 보낸 송금자와 수신자, 금액등의 정보는 모두 암호화된 상태로 저장되기 때문에 누가 얼마만큼의 돈을 받았는지 추적이 어렵다. 해커들의 좋은 거래 수단이다.

 

암호가 발전하면 랜섬웨어도 발전

  랜섬웨어의 수익은 사용자의 파일을 얼마나 풀기 어렵게 암호화하느냐에 달려 있다. 때문에 랜섬웨어는 암호의 발달과 궤를 같이한다.

  초기 랜섬웨어는 대칭키방식이었으나 최근엔 RSA 공개키 방식을 많이 사용한다.

  RSA 방식 : 큰 수를 소인수분해하는 데에는 천문학적인 시간이 걸린다는 수학전 난제를 기반으로 한다.

 

공격방식

  - 이메일 첨부(유창한 한국어로 사칭)

  - 인터넷 익스플로러 취약점

  - 어도비 플래시 취약점등의 응용프로그램의 취약점

 

드라이브 바이 다운로드(DBD) 방식 많이 사용

  - 공격자가 특정 웹사이트에서 보안이 취약한 점을 노려 악성코드를 숨긴 뒤 사용자 모르게 악성코드를 다운받아 실행 됨

  - ex 2015년 4월21일 IT 커뮤니티인 클리앙에서 DBD방식의 크립토락커가 유포 됨. 해커는 관리자 계정을 해킹해 메인페이지에 노출되는 광고에 악성코드를 삽입해 접속자들이 자신도 모르는 사이에 크립토락커를 다운받게 했다.

 

모바일 전용 랜섬웨어의 등장

  ex) 심플락커, 락커핀은 성인 콘텐츠 제공 앱, 백신이나 어도비 플래시 등 정상적인 앱으로 위장해 감염 시킴

 

서비스형 랜섬웨어(RaaS, Randsomeware as a Service)

  랜섬웨어 제작자에게 돈을 주고 원하는 조건을 갖춘 랜섬웨어를 만들 수 있음. 얻은 이익은 제작자와 공격자가 나눠 갖음. 기술적 지식이 없는사람도 공격할 수가 있어 더욱더 랜섬웨어가 성행하게 된 원인중 하나

  ex) 록키, 케르베르 - 2016년 하반기에 접수된 피해사례의 52%가 케르베르에 의한 것

 

랜섬웨어, 해결 방법?

KISA 5대 예방 수칙 발표

  - 모든 소프트웨어는 최신버전 유지

  - 백신 소프트웨어 설치

  - 출처가 불명확한 이메일과 URL 링크는 실행하지 않는다.

  - 파일 공유 사이트 등에서 파일 다운로드 및 실행에 주의

  - 중요한 자료는 정기적으로 백업

 

랜섬웨어 대응(개인)

랜섬웨어 전용 솔루션 설치(ex 앱체크)

외장하드 / 클라우드 정기적인 백업

복구 사이트

  - 보호나라 www.boho.or.kr

  - 노모어랜섬 www.nomoreransom.org

 

랜섬웨어 대응(기업)

1. 랜섬웨어 방어 솔루션

  - 악성메일 차단 솔루션(개인이 사칭메일을 선별하는방법은 한계에 도달함)

  - PC 가상화(ex VDI, VWMARE) > 중요 문서는 중앙화 또는 백업을 통해 별도의 저장소에 보관

  - 기업용 전용 백신 : 실시간 검시기능 > 랜섬웨어 감지되면 실행을 멈추고 자동으로 백업된 파일을 복구하는 기능 포함

  - PMS : 랜섬웨어 전용 백신 최신 버전 유지

 

2. 백업

  - 필수

  - 랜섬웨어뿐만아니라 어떤 상황에서 발생할지 모르는 데이터 소실을 막을 수 있음

 

3. 관리적 조치

정기적인 악성메일 훈련 및 전 직원 교육