​올해도 랜섬웨어 기승... 비주류 코딩으로 탐지 기술 회피한다

2023-04-29 12:00
  • 글자크기 설정

올해 1분기 발견된 공격 933건... 새 취약점 나오면 공격 몰려

비주류 코딩으로 탐지 회피하는 추세... 윈도 기본 기능 악용도

[사진=게티이미지뱅크]

올해 1분기 발생한 전 세계 랜섬웨어 공격은 하루 평균 10.3건인 것으로 나타났다. 특히 클롭 랜섬웨어 조직이 왕성하게 활동한 지난 3월에 공격의 절반이 집중된 것으로 나타났다. 지난해에 이어 올해도 랜섬웨어가 대표적인 사이버 공격 수단으로 활용되는 추세다.

민간 랜섬웨어 대응 협의체 'KARA(Korea Anti Ransomware Alliance)'가 발표한 2023년 1분기 랜섬웨어 동향 보고서에 따르면 이 기간 랜섬웨어 공격은 총 933건 발생했다. 이 중 클롭랜섬웨어 조직이 파일 전송 소프트웨어 'GoAnywhere MFT'의 신규 취약점을 악용해 공격을 펼친 3월, 464건의 공격이 집중됐다.

랜섬웨어란 몸값(Ransom)과 악성코드(Malware)의 합성어다. 인질을 잡고 피해자에게 금품을 요구하는 사이버 공격인데, 많은 경우 기업의 데이터베이스를 암호화하고 금품을 주지 않으면 파일을 쓸 수 없게 하는 방식이 쓰인다. 특히 최근 몇 년간 데이터 유출을 동시에 진행해 협상에 응하지 않으면 이를 유포하는 이중협박 전술도 쓰이고 있다.

◆협박 위한 전술 고도화... 탐지 회피 위해 비주류 코딩 등 다양한 기법 동원

피해자를 협박하고 데이터를 유출하는 방법은 다양화되는 추세다. 유출된 데이터에 접근하는 과정을 영상으로 촬영하고, 이를 다크웹 등 범죄 커뮤니티에 게시하는 사례가 나왔다. 또 피해 기업의 홈페이지와 비슷한 인터넷 주소로 자신의 사이트를 개설하고, 탈취한 데이터를 공개하는 방식도 등장했다. 이중협박을 넘어 피해자가 빠르게 협상에 나서도록 실질적인 행동을 취하는 셈이다.

KARA는 초기 침투를 전문으로 수행하는 IAB(Initial Access Broker) 등장도 눈여겨볼 점이라고 설명했다. 초기 침투를 원활하게 수행할 수 있도록 지원하는 것은 물론, 공격자 간 서로 역할을 분담해 조직 규모를 키우기 위한 목적으로 보인다.

보고서에 따르면 최근 랜섬웨어 공격 동향 중 하나는 비주류 개발언어로 제작된 랜섬웨어가 늘어난 점이다. 기존에는 C나 C++ 등의 개발언어를 사용해 왔으나, 최근 GO, Rust 등 흔히 쓰이지 않는 언어가 쓰이기도 한다. 주류 언어로 개발된 랜섬웨어와 비교해 분석 데이터가 부족한 만큼 보안 소프트웨어 등에 탐지될 확률이 낮다. 이를 이용해 코드 하나로 다양한 운영체제를 목표로 공격을 펼칠 수도 있다.

이에 따라 KARA는 앞으로 비주류 개발언어를 사용해 탐지를 회피하고 분석을 방해하는 고도화된 랜섬웨어들이 꾸준히 발견될 것으로 예측했다.

국내 기업을 노린 랜섬웨어도 발견됐다. 글로브임포스터(GlobeImposter) 랜섬웨어는 원격 데스크톱 프로토콜을 통해 국내에 유포됐으며, 이를 이용해 국내 기업을 대상으로 시도한 공격이 포착됐다. 원격 데스크톱 프로토콜은 PC 등을 원격에서 제어하는 접속 방식이다. 코로나19 이후 원격근무로 사용이 늘어났는데, 해커가 공격을 실행하는 수단으로도 악용되고 있다.

랜섬웨어 없는 랜섬웨어 공격도 있다. 파일 암호화를 악성코드가 아닌, 윈도 운영체제의 기본 기능을 이용하는 공격이다. 윈도 운영체제는 비트로커(Bitlocker)라는 암호화 기능을 갖추고 있다. 이는 정보 유출을 막기 위해 활용하는 보안 기능인데, 공격자가 이에 대한 권한을 탈취해 사용자 데이터를 암호화한다.

이 밖에도 국내 의료기관이나 기업의 주요 인프라를 노린 공격 사례가 지속적으로 발견되고 있다. 감염될 경우 시스템에 큰 손실을 입힐 수 있어, 최신 버전 보안 패치 등의 조치가 필요하다.

◆관리적·기술적 조치로 예방 필수... 공격 발생 시 지체 없이 신고해야 2차 피해 줄어

랜섬웨어 공격은 디지털 중심 시대에서 대표적인 보안 위협으로 꼽힌다. 특히 데이터를 볼모로 잡은 협박 전략은 공격자의 수익성을 높여준다. 때문에 랜섬웨어를 탐지해 방어하는 것은 물론, 공격자가 침투할 수 없도록 예방하는 것이 무엇보다 중요하다.

이글루코퍼레이션이 코스닥협회와 최근 발간한 '초심자(Beginner)를 위한 랜섬웨어 예방 및 대응 가이드'에 따르면 피해를 최소화하기 위해 감염 전 단계에서 관리적·기술적 조치가 필요하다.

관리적 측면에선 업무 연속성을 위한 각종 데이터 자산과 인프라를 식별하고, 중요도에 따라 보안 수준을 높이거나 백업 계획을 수립·추진해야 한다. 또한 사용자 보안인식을 높이기 위해 △주기적인 보안 교육 △비밀번호 변경 등 보안 강화활동 △소프트웨어 등 최신 보안 업데이트 적용 △공격 모의훈련 등이 필요하다고 강조했다.

기술적 측면에선 △윈도 스크립트 호스트(WHS) 비활성화 △MS오피스 제품군 매크로 기능과 데이터 통신 프로토콜(DDE) 비활성화 △랜섬웨어 대응 보안 솔루션 도입 등을 제시했다. 또한 사고가 발생할 경우 공격자의 침입 경로와 공격 방식을 파악할 수 있도록 로그 기능을 강화해야 한다고 덧붙였다. 피해 경로를 알아야 남아있을 악성 코드를 발견할 수 있고, 향후 추가적인 공격도 예방할 수 있기 때문이다.

©'5개국어 글로벌 경제신문' 아주경제. 무단전재·재배포 금지

0개의 댓글
0 / 300

로그인 후 댓글작성이 가능합니다.
로그인 하시겠습니까?

닫기

댓글을 삭제 하시겠습니까?

닫기

이미 참여하셨습니다.

닫기

이미 신고 접수한 게시물입니다.

닫기
신고사유
0 / 100
닫기

신고접수가 완료되었습니다. 담당자가 확인후 신속히 처리하도록 하겠습니다.

닫기

차단해제 하시겠습니까?

닫기

사용자 차단 시 현재 사용자의 게시물을 보실 수 없습니다.

닫기
공유하기
닫기
기사 이미지 확대 보기
닫기
언어선택
  • 중국어
  • 영어
  • 일본어
  • 베트남어
닫기