4분만에 암호화 끝내는 랜섬웨어, 예방이 무엇보다 중요
2022-03-26 08:00
스플렁크 랜섬웨어 암호화 속도 연구결과 발표
최소 4분안에 60GB 분량 10만개 파일 공격 완료
암호화 탐지 및 대응만으로는 제때 공격 막기 어려워...예방이 필수
최소 4분안에 60GB 분량 10만개 파일 공격 완료
암호화 탐지 및 대응만으로는 제때 공격 막기 어려워...예방이 필수
랜섬웨어는 오늘날 대표적인 피해 유형 중 하나다. 과학기술정보통신부에 따르면 지난 2021년 공식 신고된 랜섬웨어 피해 건수는 223건으로, 지난 2020년 127건 대비 76% 늘었다. 올해 1월에만 신고된 건수는 19건으로, 피해는 점차 증가하는 추세다.
랜섬웨어가 실행되면 대부분의 기업이나 조직이 대응할 수 있는 것보다 더 빠르게 확산하다. 보안기업 스플렁크가 최근 실시한 연구에 따르면 랜섬웨어가 실행되면 최소 4분에서 3시간 사이에 주요 파일이 암호화된다. 기업은 랜섬웨어 대응을 위해 다양한 방안을 사용하지만, 암호화 행위 탐지를 통한 대응만으로는 빠르게 확산하는 랜섬웨어를 쉽게 막을 수 없다는 의미다.
스플렁크 보안 연구팀 '서지'는 락비트(Lockbit), 콘티(Conti), 레빌(REvil) 등 주요 랜섬웨어 10개에 대해 연구를 진행했다. 연구 결과 랜섬웨어가 53.93GB 분량의 파일 10만개를 암호화하는 데 걸린 평균 시간은 42분 52초로 나타났다. 특히 락비트가 평균값보다 86% 빨랐으며, 분당 2만5000개의 파일을 암호화했다.
연구팀은 랜섬웨어가 얼마나 빠르게 파일을 암호화하는지 확인하기 위해 주요 랜섬웨어 10개를 선정하고, 클라우드 서버에 윈도우 10 및 윈도우 서버 2019 시스템을 구축한 뒤 랜섬웨어를 실행했다.
락비트의 경우 파일 전체가 아닌, 4KB만 암호화하고 다음 파일로 넘어간다. 최소한의 손상만으로 파일을 사용할 수 없도록 잠그기 때문에 빠른 공격이 가능하다.
라이언 코바 스플렁크 서지팀 연구원에 따르면 "이 연구는 랜섬웨어의 암호화 속도에 대한 단순한 재미있는 사실을 넘어, 이 정보를 활용해 랜섬웨어 대응을 강화할 수 있다"고 말했다.
랜섬웨어 자체를 방어하는 보안 솔루션은 암호화 프로세스를 탐지하고, 해당 파일을 백업하거나 암호화 프로세스를 강제 종료한다. 하지만, 시스템 작동을 위한 주요 파일이 빠르게 암호화될 경우 솔루션이 제대로 작동하기 어려운 상황도 발생한다.
이번 연구결과는 예방과 조기발견에 대한 중요성을 강조한다. 랜섬웨어 대응에서 탐지보다는 랜섬웨어가 시스템에 침투하지 못하도록 막고, 해커가 네트워크를 통해 다른 PC로 이동한 뒤 랜섬웨어를 실행하는 '수평이동'을 예방해야 한다.
이에 대한 방안으로는 업데이트를 들 수 있다. 소프트웨어에 대한 정기적인 보안 패치를 통해 해커가 침입할 수 있는 취약점을 제거하면, 랜섬웨어 자체가 시스템에 들어오는 것을 막을 수 있다. 또한, 네트워크 보안 솔루션으로 랜섬웨어 실행이 아닌 침입을 탐지해야 하며, 2단계 인증 등을 통해 권한 없는 사용자가 시스템에 접근할 수 없도록 차단해야 한다.
랜섬웨어가 실행되면 대부분의 기업이나 조직이 대응할 수 있는 것보다 더 빠르게 확산하다. 보안기업 스플렁크가 최근 실시한 연구에 따르면 랜섬웨어가 실행되면 최소 4분에서 3시간 사이에 주요 파일이 암호화된다. 기업은 랜섬웨어 대응을 위해 다양한 방안을 사용하지만, 암호화 행위 탐지를 통한 대응만으로는 빠르게 확산하는 랜섬웨어를 쉽게 막을 수 없다는 의미다.
스플렁크 보안 연구팀 '서지'는 락비트(Lockbit), 콘티(Conti), 레빌(REvil) 등 주요 랜섬웨어 10개에 대해 연구를 진행했다. 연구 결과 랜섬웨어가 53.93GB 분량의 파일 10만개를 암호화하는 데 걸린 평균 시간은 42분 52초로 나타났다. 특히 락비트가 평균값보다 86% 빨랐으며, 분당 2만5000개의 파일을 암호화했다.
연구팀은 랜섬웨어가 얼마나 빠르게 파일을 암호화하는지 확인하기 위해 주요 랜섬웨어 10개를 선정하고, 클라우드 서버에 윈도우 10 및 윈도우 서버 2019 시스템을 구축한 뒤 랜섬웨어를 실행했다.
락비트의 경우 파일 전체가 아닌, 4KB만 암호화하고 다음 파일로 넘어간다. 최소한의 손상만으로 파일을 사용할 수 없도록 잠그기 때문에 빠른 공격이 가능하다.
라이언 코바 스플렁크 서지팀 연구원에 따르면 "이 연구는 랜섬웨어의 암호화 속도에 대한 단순한 재미있는 사실을 넘어, 이 정보를 활용해 랜섬웨어 대응을 강화할 수 있다"고 말했다.
랜섬웨어 자체를 방어하는 보안 솔루션은 암호화 프로세스를 탐지하고, 해당 파일을 백업하거나 암호화 프로세스를 강제 종료한다. 하지만, 시스템 작동을 위한 주요 파일이 빠르게 암호화될 경우 솔루션이 제대로 작동하기 어려운 상황도 발생한다.
이번 연구결과는 예방과 조기발견에 대한 중요성을 강조한다. 랜섬웨어 대응에서 탐지보다는 랜섬웨어가 시스템에 침투하지 못하도록 막고, 해커가 네트워크를 통해 다른 PC로 이동한 뒤 랜섬웨어를 실행하는 '수평이동'을 예방해야 한다.
이에 대한 방안으로는 업데이트를 들 수 있다. 소프트웨어에 대한 정기적인 보안 패치를 통해 해커가 침입할 수 있는 취약점을 제거하면, 랜섬웨어 자체가 시스템에 들어오는 것을 막을 수 있다. 또한, 네트워크 보안 솔루션으로 랜섬웨어 실행이 아닌 침입을 탐지해야 하며, 2단계 인증 등을 통해 권한 없는 사용자가 시스템에 접근할 수 없도록 차단해야 한다.
날로 늘어나는 랜섬웨어 피해, 예방이 최선의 대응
빔 소프트웨어가 발표한 2022년 데이터 보호 트렌드 리포트에 따르면 세계적으로 지난해 한 번 이상 랜섬웨어 공격을 받은 기업은 76%로 나타났으며, 공격받은 데이터 36%는 복구되지 못한 것으로 나타났다. 89%의 기업이 데이터가 비즈니스 성공을 위한 필수 요소로 인식하고 있지만, 보호조치는 미흡하다는 의미다.
과기정통부와 KISA는 이처럼 랜섬웨어가 확대되는 상황에서 올해 2월 9일 침해사고 주의보를 발령했다. 지난해 랜섬웨어 신고를 분석한 결과, 피해 업종은 제조업(33%), 정보서비스업(18%), 도매 및 소매업(18%) 기타(31%) 등 업종에 구분이 공격이 발생했으며, 상대적으로 보안 투자 여력이 부족한 중소기업(92%)과 서울 외 지역(64%)을 대상으로 공격이 이뤄졌다.
피해가 확산하면서 정부도 본격 대응에 나섰으며, 이달에는 주요 랜섬웨어 중 하나인 하이브(HIVE)에 대한 복호화 도구를 개발해 무료로 배포했다. 하이브 랜섬웨어는 과거 미국 대형 의료센터, 유럽 도소매 업체 등을 공격해 각종 전산 시스템을 마비시킨 바 있다.
그간 과기정통부와 KISA는 현재까지 랜섬웨어 암호키 복구 도구 4종을 개발했으며, 올해 3분기 중에도 하이브 변종인 버전 2와 버전 3에 대해서도 복구 도구를 개발해 배포할 계획이다.
보안 업계에서는 랜섬웨어에 감염되면 사실상 피해를 되돌리기 어렵다고 평가한다. 협상을 위해 비용을 지불하더라도, 해커가 실제로 복구 도구를 제공할지는 미지수기 때문이다. 특히 수익을 얻은 랜섬웨어 공격 조직은 수익성을 확신하고 더 많은 공격을 펼칠 수 있다.
이에 따라 전문가들은 예방이 가장 중요한 대응법이라고 말한다. 대표적으로는 백업을 들 수 있다. 빔 소프트웨어가 발표한 보고서에 따르면 조사 기업 약 88%가 향후 데이터 보호를 위한 투자를 늘릴 것으로 답했다. 또한, 67%는 데이터 보호를 위해 클라우드 서비스를 이용하고 있으며, 42%는 가장 좋은 데이터 백업 수단으로 하이브리드 클라우드를 꼽았다.
과기정통부는 랜섬웨어 피해 예방을 위해 △정기적 백업 △알 수 없는 URL 주의 △불법 복제 소프트웨어 사용주의 △소프트웨어 보안 업데이트 △백신 사용 등 랜섬웨어 피해 예방 5대 수칙을 홍보하고 있다.
사진이나 문서 등을 네트워크가 분리된 매체에 정기적으로 백업해야 한다. 랜섬웨어로 파일을 못 쓰게 되더라도, 백업해둔 데이터를 통해 파일을 복구할 수 있다. 특히 백업 이미지를 생성해두면 피해가 발생하기 이전 시점으로 시스템을 되돌릴 수 있기 때문에 정기적인 백업이 필요하다. 또한 백업 이미지가 랜섬웨어 공격에 노출되지 않도록 네트워크가 분리된 안전한 매체에 보관하는 것이 중요하다.
이메일이나 메시지 등에 포함된 알 수 없는 URL을 주의하고, 신뢰할 수 없는 사이트에서 불법 복제 소프트웨어·동영상 등을 내려받는 것 역시 지양해야 한다. 공격자는 파일공유 사이트 등을 소프트웨어 크랙 등으로 위장한 랜섬웨어를 유포하기 때문이다.
이밖에 소프트웨어와 백신 등을 업데이트해 최신 버전을 유지해야 한다. 최신 업데이트에는 새롭게 발견된 보안 취약점을 제거하는 내용이 포함돼 있다. 남아있는 취약점은 공격자가 사용자 PC에 침투할 수 있는 경로가 되며, 특히 해킹 포럼 등을 통해 이러한 취약점 정보가 해커 사이에 빠르게 공유되기 때문이다.
과기정통부와 KISA는 이처럼 랜섬웨어가 확대되는 상황에서 올해 2월 9일 침해사고 주의보를 발령했다. 지난해 랜섬웨어 신고를 분석한 결과, 피해 업종은 제조업(33%), 정보서비스업(18%), 도매 및 소매업(18%) 기타(31%) 등 업종에 구분이 공격이 발생했으며, 상대적으로 보안 투자 여력이 부족한 중소기업(92%)과 서울 외 지역(64%)을 대상으로 공격이 이뤄졌다.
피해가 확산하면서 정부도 본격 대응에 나섰으며, 이달에는 주요 랜섬웨어 중 하나인 하이브(HIVE)에 대한 복호화 도구를 개발해 무료로 배포했다. 하이브 랜섬웨어는 과거 미국 대형 의료센터, 유럽 도소매 업체 등을 공격해 각종 전산 시스템을 마비시킨 바 있다.
그간 과기정통부와 KISA는 현재까지 랜섬웨어 암호키 복구 도구 4종을 개발했으며, 올해 3분기 중에도 하이브 변종인 버전 2와 버전 3에 대해서도 복구 도구를 개발해 배포할 계획이다.
보안 업계에서는 랜섬웨어에 감염되면 사실상 피해를 되돌리기 어렵다고 평가한다. 협상을 위해 비용을 지불하더라도, 해커가 실제로 복구 도구를 제공할지는 미지수기 때문이다. 특히 수익을 얻은 랜섬웨어 공격 조직은 수익성을 확신하고 더 많은 공격을 펼칠 수 있다.
이에 따라 전문가들은 예방이 가장 중요한 대응법이라고 말한다. 대표적으로는 백업을 들 수 있다. 빔 소프트웨어가 발표한 보고서에 따르면 조사 기업 약 88%가 향후 데이터 보호를 위한 투자를 늘릴 것으로 답했다. 또한, 67%는 데이터 보호를 위해 클라우드 서비스를 이용하고 있으며, 42%는 가장 좋은 데이터 백업 수단으로 하이브리드 클라우드를 꼽았다.
과기정통부는 랜섬웨어 피해 예방을 위해 △정기적 백업 △알 수 없는 URL 주의 △불법 복제 소프트웨어 사용주의 △소프트웨어 보안 업데이트 △백신 사용 등 랜섬웨어 피해 예방 5대 수칙을 홍보하고 있다.
사진이나 문서 등을 네트워크가 분리된 매체에 정기적으로 백업해야 한다. 랜섬웨어로 파일을 못 쓰게 되더라도, 백업해둔 데이터를 통해 파일을 복구할 수 있다. 특히 백업 이미지를 생성해두면 피해가 발생하기 이전 시점으로 시스템을 되돌릴 수 있기 때문에 정기적인 백업이 필요하다. 또한 백업 이미지가 랜섬웨어 공격에 노출되지 않도록 네트워크가 분리된 안전한 매체에 보관하는 것이 중요하다.
이메일이나 메시지 등에 포함된 알 수 없는 URL을 주의하고, 신뢰할 수 없는 사이트에서 불법 복제 소프트웨어·동영상 등을 내려받는 것 역시 지양해야 한다. 공격자는 파일공유 사이트 등을 소프트웨어 크랙 등으로 위장한 랜섬웨어를 유포하기 때문이다.
이밖에 소프트웨어와 백신 등을 업데이트해 최신 버전을 유지해야 한다. 최신 업데이트에는 새롭게 발견된 보안 취약점을 제거하는 내용이 포함돼 있다. 남아있는 취약점은 공격자가 사용자 PC에 침투할 수 있는 경로가 되며, 특히 해킹 포럼 등을 통해 이러한 취약점 정보가 해커 사이에 빠르게 공유되기 때문이다.