랜섬웨어란 무엇인가?

가장 초기의 랜섬웨어 공격은 단순히 영향을 받는 데이터에 대한 액세스 권한을 다시 얻거나, 감염된 장치를 사용하는 데 필요한 키를 대가로 랜섬을 요구했습니다. 조직은 정기적이거나 지속적인 데이터 백업을 통해 이러한 유형의 랜섬웨어 공격으로 인한 비용을 제한하고 많은 경우 랜섬 요구를 피할 수 있습니다.

최근 몇 년 동안 랜섬웨어 공격은 이중 갈취 및 삼중 갈취 전술을 포함하도록 발전하여 위험도가 상당히 높아졌습니다. 데이터 백업을 엄격하게 유지 관리하거나 초기 랜섬 요구를 지불하는 피해자조차도 위험에 처해 있습니다.

이중 갈취 공격은 피해자의 데이터를 훔쳐 온라인에 유출하는 위협을 더합니다. 삼중 갈취 공격은 훔친 데이터를 사용하여 피해자의 고객이나 비즈니스 파트너를 공격할 수 있는 위협을 추가합니다.

랜섬웨어는 가장 일반적인 형태의 악성 소프트웨어 중 하나이며, 랜섬웨어 공격으로 인해 피해를 입은 조직은 수백만 달러의 손실을 입을 수 있습니다. 

2023년IBM X-Force Threat Intelligence Index 에 기록된 모든 사이버 공격 의 20%가 랜섬웨어와 관련이 있었습니다. 그리고 이러한 공격은 빠르게 진행됩니다. 해커가 네트워크에 액세스하면 랜섬웨어를 배포하는 데 4일도 채 걸리지 않습니다. 이러한 속도로 인해 조직은 잠재적인 공격을 탐지하고 차단할 시간이 거의 없습니다.

랜섬웨어 피해자와 협상자들은 몸값을 공개하는 것을 꺼리지만, 위협 행위자들은 종종 7자리 수와 8자리 수의 금액을 요구합니다. 그리고 몸값 지불은 랜섬웨어 감염 관련 비용의 일부일 뿐입니다. IBM의 데이터 침해 비용(CODB) 보고서에 따르면 랜섬웨어 침해로 인한 평균 비용은 568만 달러이며, 이는 랜섬에 대한 몸값이 포함되지 않은 금액입니다.

즉, 사이버 보안 팀은 랜섬웨어 퇴치에 더욱 능숙해지고 있습니다. X-Force Threat Intelligence 지수에 따르면 랜섬웨어 감염은 2022년에서 2023년 사이에 11.5% 감소했는데, 이는 위험 탐지 및 예방의 개선으로 인한 것으로 보입니다.

랜섬웨어에는 두 가지 일반적인 유형이 있습니다. 암호화 랜섬웨어 또는 암호화 랜섬웨어라고 하는 가장 일반적인 유형은 피해자의 데이터를 암호화하여 인질로 잡습니다. 이후, 공격자는 데이터 암호 해독에 필요한 키를 제공하는 대가로 몸값을 요구합니다.

암호화되지 않은 랜섬웨어 또는 화면 잠금 랜섬웨어라고 하는 덜 일반적인 형태의 랜섬웨어는 일반적으로 운영 체제에 대한 액세스를 차단하여 피해자의 전체 장치를 잠급니다. 평소와 같이 시작하는 대신 장치는 몸값을 요구하는 화면을 표시합니다.

이 두 가지 일반적인 유형은 다음과 같은 하위 범주에 속합니다.

Leakware 혹은 Doxware는 민감한 데이터를 훔치거나 유출하여 게시하겠다고 위협하는 랜섬웨어입니다. 이전 형태의 Leakware 또는 doxware는 데이터를 암호화하지 않고 훔치는 경우가 많았지만 오늘날의 변형은 두 가지를 모두 수행하는 경우가 많습니다.

모바일 랜섬웨어에는 모바일 장치에 영향을 미치는 모든 랜섬웨어가 포함됩니다. 악성 앱이나 드라이브 바이 다운로드를 통해 전달되는 대부분의 모바일 랜섬웨어는 암호화되지 않는 랜섬웨어입니다. 해커들이 모바일 공격에 화면 잠금 장치를 선호하는 이유는 많은 모바일 장치에서 표준으로 사용되는 자동화된 클라우드 데이터 백업을 통해 암호화 공격을 쉽게 되돌릴 수 있기 때문입니다.

와이퍼 또는 파괴적인 랜섬웨어는 피해자가 몸값을 지불하지 않으면 데이터를 파괴하겠다고 위협합니다. 경우에 따라 피해자가 비용을 지불하더라도 랜섬웨어가 데이터를 파괴합니다. 이 후자의 유형의 와이퍼는 일반적인 사이버 범죄자가 아닌 국가 행위자 또는 핵티비스트에 의해 배포되는 경우가 많습니다. 

스케어웨어는 말 그대로 사용자를 겁주어 몸값을 지불하도록 유도하는 랜섬웨어입니다. 스케어웨어는 법 집행 기관의 메시지로 가장하여 피해자를 범죄 혐의로 고발하고 벌금을 요구할 수 있습니다. 또는 실제 바이러스 감염 경고를 가장하여 피해자가 바이러스 백신 소프트웨어로 위장한 랜섬웨어를 구매하도록 유도할 수도 있습니다.

때때로 스케어웨어는 데이터를 암호화하거나 장치를 잠그는 랜섬웨어입니다. 다른 경우에는 랜섬웨어 벡터로, 피해자에게 랜섬웨어를 다운로드하도록 강요하는 것 외에는 아무것도 암호화하지 않습니다.

랜섬웨어 공격은 여러 방법 또는 벡터를 사용하여 네트워크 또는 장치를 감염시킬 수 있습니다. 가장 대표적인 랜섬웨어 감염 벡터는 다음과 같습니다.

소셜 엔지니어링 공격은 피해자를 속여 랜섬웨어로 판명된 실행 파일을 다운로드하여 실행하도록 합니다. 예를 들어,피싱 이메일에는 위험 요소가 없어 보이는 .pdf 파일로 위장한 악성 첨부 파일이 포함되어 있을 수 있습니다. 포함되어 있을 수 있습니다.

소셜 엔지니어링 공격은 사용자가 악성 웹사이트를 방문하거나 사용자의 웹 브라우저를 통해 랜섬웨어를 전달하는 악성 QR 코드를 스캔하도록 유인할 수도 있습니다.

사이버 범죄자들은 종종 기존 취약점을 악용하여 장치나 네트워크에 악성 코드를 주입합니다.

보안 커뮤니티에 알려지지 않았거나, 알려졌지만 아직 패치되지 않은 취약점인 제로데이 취약점은 특정 위협을 제기합니다. 일부 랜섬웨어 조직은 공격을 계획하기 위해 다른 해커로부터 제로데이 결함에 대한 정보를 구매합니다. 해커는 또한 2017년 WannaCry 공격의 경우와 같이 패치된 취약점을 공격 벡터로 효과적으로 사용하기도 했습니다.

사이버 범죄자는 승인된 사용자의 자격 증명을 훔치거나, 다크 웹에서 구매하거나, 무차별 대입 공격을 통해 파훼할 수 있습니다. 그런 다음 이러한 자격 증명을 사용하여 네트워크 또는 컴퓨터에 로그인하고 랜섬웨어를 직접 배포합니다.

사용자가 원격으로 컴퓨터에 액세스할 수 있도록 하는 Microsoft 독점 프로토콜인 원격 데스크톱 프로토콜(RDP)은 랜섬웨어 공격자들이 가장 많이 사용하는 자격 증명 도용 대상입니다.

해커는 다른 공격을 위해 개발된 멀웨어 를 사용하여 디바이스에 랜섬웨어를 전달하는 경우가 많습니다. 위협 행위자들은 원래 자격 증명을 도용하기 위해 설계된 Trickbot 트로이 목마를 사용하여 2021년 한 해 동안 Conti 랜섬웨어 변종을 퍼뜨렸습니다.

해커는 웹사이트를 사용하여 사용자가 모르는 사이에 랜섬웨어를 장치에 전달할 수 있습니다. 취약성 키트는 손상된 웹 사이트를 사용하여 방문자의 브라우저에서 장치에 랜섬웨어를 주입하는 데 사용할 수 있는 웹 애플리케이션 취약성을 검사합니다.

해커가 침투한한 정상적인 디지털 광고인 맬버타이징은 사용자가 광고를 클릭하지 않더라도 랜섬웨어를 장치에 전달할 수도 있습니다.

사이버 범죄자는 이러한 벡터를 악용하기 위해 반드시 자체 랜섬웨어를 개발할 필요는 없습니다. 일부 랜섬웨어 개발자는 RaaS(�ançöm웨어 서비스) 계약을 통해 맬웨어 코드를 사이버 범죄자들과 공유합니다.

사이버 범죄자 또는 "제휴사"는 코드를 사용하여 공격을 수행하고 몸값을 개발자와 나눕니다. 서로에게 유익한 관계입니다. 제휴사는 자체 맬웨어를 개발하지 않고도 갈취를 통해 이익을 얻을 수 있으며 개발자는 더 많은 사이버 공격을 시작하지 않고도 수익을 높일 수 있습니다.

랜섬웨어 배포자는 다크 웹의 디지털 마켓플레이스를 통해 랜섬웨어를 판매할 수 있습니다. 또한 온라인 포럼 등을 통해 직접 제휴사를 모집할 수도 있습니다. 대규모 랜섬웨어 그룹은 계열사를 유치하기 위해 인재 모집에 상당한 금액을 투자했습니다.

랜섬웨어 공격은 일반적으로 다음 단계를 거쳐 진행됩니다.

현재까지 사이버 보안 연구원들은 고유한 코드 서명과 기능을 가진 고유한 변종인 수천 개의 고유한 랜섬웨어 변종 또는 "패밀리"를 식별했습니다.

몇몇 랜섬웨어 변종은 특히 그 파괴력, 랜섬웨어의 개발 또는 오늘날의 위협에 대해 주목할 만합니다.

2013년 9월에 처음 등장한 CryptoLocker는 현대 랜섬웨어 시대를 열었다는 평가를 받고 있습니다.

봇넷(하이재킹된 컴퓨터 네트워크)을 사용하여 확산된 CryptoLocker는 사용자 파일을 강력하게 암호화한 최초의 랜섬웨어 중 하나였습니다. 2014년 국제 법 집행 기관의 노력으로 중단시키기 전까지 약 300만 달러를 갈취했습니다.

CryptoLocker의 성공으로 수많은 모방 맬웨어가 탄생했으며 WannaCry, Ryuk, Petya와 같은 변형의 기반이 마련되었습니다.

네트워크의 다른 장치로 확산될 수 있는 랜섬웨어인 최초의 세간의 이목을 끈 크립토웜인 WannaCry는 150개국에서 200,000대 이상의 컴퓨터를 공격했습니다. 영향을 받은 컴퓨터는 관리자가 EternalBlue Microsoft Windows 취약점에 대한 패치를 소홀히 했기 때문에 취약한 상태였습니다.

WannaCry 랜섬웨어는 민감한 데이터를 암호화하는 것 외에도 피해자가 7일 이내에 결제 금액을 보내지 않으면 파일을 삭제하겠다고 위협했습니다. 현재까지 가장 큰 랜섬웨어 공격 중 하나로, 추정되는 비용은 미화 40억 달러에 달합니다.

다른 암호화 랜섬웨어와 달리 Petya는 개별 파일이 아닌 파일 시스템 테이블을 암호화하여 감염된 컴퓨터가 Windows를 부팅할 수 없도록 합니다.

크게 수정된 버전인 NotPetya는 2017년 주로 우크라이나에 대한 대규모 사이버 공격을 수행하는 데 사용되었습니다. NotPetya는 피해자가 돈을 지불한 후에도 시스템 잠금을 해제할 수 없는 와이퍼였습니다.

2018년에 처음 등장한 Ryuk는 평균 100만 달러 이상의 몸값을 요구하며 특정 고액 표적에 대한 '대형 랜섬웨어' 공격을 대중화했습니다. Ryuk은 백업 파일과 시스템 복원 기능을 찾아 비활성화할 수 있습니다. 크립토웜 기능을 갖춘 새로운 변종이 2021년에 등장했습니다.

러시아에서 활동하는 것으로 의심되는 그룹이 운영하는 DarkSide는 2021년 5월 7일 미국 콜로니얼 파이프라인을 공격한 랜섬웨어 변종입니다. 많은 사람들이 현재까지 미국의 주요 인프라에 대한 최악의 사이버 공격으로 간주하는 이 공격에서 DarkSide는 동부 해안 연료의 45%를 공급하는 파이프라인을 일시적으로 중단했습니다.

DarkSide 그룹은 직접 공격을 수행하는 것 외에도 RaaS 계약을 통해 계열사에 랜섬웨어 라이선스를 부여합니다.

Locky는 고유한 감염 방법을 가진 암호화 랜섬웨어로, 정상적인 송장으로 위장한 첨부 파일(Microsoft Word 파일)에 숨겨진 매크로를 사용합니다. 사용자가 Microsoft Word 문서를 다운로드하여 열면 악성 매크로가 랜섬웨어 페이로드를 사용자의 장치에 몰래 다운로드합니다.

Sodin 또는 Sodinokibi라고도 하는 REvil은 랜섬웨어 배포에 대한 RaaS 접근 방식을 대중화하는 데 도움을 주었습니다.

대규모 이중 갈취 공격에 사용되는 것으로 알려진 REvil은 2021년 JBS USA와 Kaseya Limited에 대한 공격의 배후에 있었습니다. JBS는 해커가 미국 내 전체 쇠고기 가공 운영을 중단시킨 후 1,100만 달러의 대가를 지불했습니다. 1,000개 이상의 Kaseya 소프트웨어 고객에게 심각한 다운타임이 발생했습니다.

러시아 연방 보안국(Federal Security Service)은 2022년 초에 REvil을 해체하고 여러 회원을 기소했다고 보고했습니다.

2020년에 처음 발견된 콘티 조직은 해커들에게 랜섬웨어를 사용하는 대가로 일정한 임금을 지불하는 광범위한 RaaS 체계를 운영했습니다. 콘티는 피해자가 돈을 지불하지 않으면 다른 해커에게 피해자의 네트워크 액세스 권한을 판매하겠다고 협박하는 독특한 형태의 이중 갈취 수법을 사용했습니다.

Conti는 2022년 갱단의 내부 채팅 기록이 유출된 후 해체되었지만 많은 이전 구성원은 여전히 사이버 범죄 세계에서 활동하고 있습니다. X-Force Threat Intelligence 지수에 따르면, 한때 Conti에 소속된 사람들은 BlackBasta, Royal, Zeon 등 오늘날 가장 널리 퍼진 랜섬웨어 변종과 연관되어 있다고 합니다.

X-Force Threat Intelligence 지수에 따르면 2023년에 가장 흔한 랜섬웨어 변종 중 하나인 LockBit은 개발자들의 비즈니스 행위로 유명합니다. LockBit 그룹은 합법적인 기업이 다른 회사를 인수하는 것과 거의 같은 방식으로 다른 맬웨어 변종을 인수하는 것으로 알려져 있습니다.

법 집행 기관이 2024년 2월에 LockBit의 일부 웹사이트를 압수하고 미국 정부가 조직의 고위 간부 중 한 명에게 제재를 가했지만 LockBit은 계속해서 피해자를 공격하고 있습니다. 

몸값 요구는 매우 다양하며 많은 피해자가 자신이 지불한 금액을 공개하지 않기로 선택하므로 평균 몸값 지불 금액을 결정하기가 어렵습니다. 그렇긴 하지만, 대부분의 추정치의 경우 수십만 달러에서 수백만 달러 범위에 속합니다. IBM 랜섬웨어 완벽 가이드에 따르면 공격자들은 최대 8천만 달러의 금액을 요구했습니다.

중요한 것은 몸값을 지불하는 피해자의 비율이 최근 몇 년 동안 급격히 떨어졌다는 것입니다. 사이버 갈취 사고 대응 회사인 코브웨어(Coveware)에 따르면 2020년 70%였던 피해자의 37%만이 2023년에 몸값을 지불했습니다.¹

전문가들은 데이터 백업, 사고 대응 계획, 위험 예방 및 탐지 기술에 대한 투자 증가를 비롯한 사이버 범죄 대비 능력 향상을 이러한 변화의 잠재적 원인으로 지적합니다.

미국 연방 법 집행 기관은 랜섬웨어 피해자에게 어떤 이견도 없이 몸값을 지불하지 말라고 말합니다. 국립 사이버 수사 합동 태스크포스(NCIJTF)에 따르면 사이버 위협 조사를 담당하는 20개 미국 연방 기관의 협력 연합은 다음과 같습니다.

"FBI는 범죄 행위자에게 몸값을 지불하는 것을 권장하지 않습니다. 몸값을 지불하면 공격자가 추가 조직을 표적으로 삼거나, 다른 범죄 행위자가 랜섬웨어 배포에 가담하도록 부추기거나, 불법 활동에 자금을 지원할 수 있습니다. 몸값을 지불한다고 해서 피해자의 파일이 복구된다는 보장도 없습니다."

법 집행 기관은 랜섬웨어 피해자가 몸값을 지불하기 전에 FBI의 인터넷 범죄 신고 센터(IC3)와 같은 해당 기관에 공격을 보고할 것을 권장합니다.

랜섬웨어 공격의 일부 피해자는 랜섬웨어 감염 여부를 불문하고 랜섬웨어 감염을 신고해야 하는 법적 의무가 있습니다. 예를 들어, HIPAA 규정은 일반적으로 의료 기관이 랜섬웨어 공격을 포함한 모든 데이터 유출을 보건복지부에 보고하도록 규정하고 있습니다.

특정 상황에서는 몸값을 지불하는 것이 불법일 수 있습니다.

미국 해외자산통제국(OFAC)은 북한이나 이란과 같이 미국의 경제 제재를 받는 국가의 공격자에게 몸값을 지불하는 것은 OFAC 규정을 위반하는 것이라고 밝혔습니다. 위반자는 민사 처벌, 벌금 또는 형사 고발을 받을 수 있습니다.

플로리다와 노스캐롤라이나와 같은 일부 미국 주에서는 주 정부 기관이 몸값을 지불하는 것을 불법으로 규정했습니다.

사이버 보안 전문가와 CISA(사이버 보안 인프라 보안국), 미국 비밀 경호국과 같은 연방 기관은 조직이 랜섬웨어 위협을 방어하기 위해 예방 조치를 취할 것을 권장합니다. 이러한 조치에는 다음이 포함될 수 있습니다.

• 민감한 데이터와 시스템 이미지의 백업 은 랜섬웨어 공격 발생 시 IT 팀이 네트워크에서 분리할 수 있는 하드 드라이브나 기타 장치에 보관하는 것이 좋습니다.
  
  
• 정기적으로 패치 를 적용하여 소프트웨어 및 운영 체제 취약점에 대한 랜섬웨어 공격을 방지합니다.
  
  
• 멀웨어 방지 소프트웨어, 네트워크 모니터링 툴, 엔드포인트 탐지 및 대응(EDR) 플랫폼, 보안 정보 및 이벤트 관리(SIEM) 시스템과 같은 사이버 보안 도구는 보안 팀이 실시간으로 랜섬웨어를 차단하는 데 도움이 될 수 있습니다.
  
  
• 직원 사이버 보안 교육은 사용자가 랜섬웨어 감염으로 이어질 수 있는 피싱, 사회 공학, 기타 전술을 인식하고 피할 수 있도록 지원합니다.
  
  
• 다단계 인증, 네트워크 세분화 및 유사한 조치를 포함한 액세스 제어 정책을 구현하면 랜섬웨어가 민감한 데이터에 접근하는 것을 방지할 수 있습니다. IAM(ID 및 액세스 관리) 제어는 크립토웜이 네트워크의 다른 장치로 확산되는 것을 방지할 수도 있습니다.
  
  
• 공식적인 인시던트 대응 계획을 통해 보안 팀은 더 짧은 시간에 침해를 차단하고 해결할 수 있습니다. 데이터 유출 비용(CODB) 보고서에 따르면 공식적인 계획과 전담 인시던트 대응 팀을 갖춘 조직은 그렇지 않은 조직보다 54일 더 빠르게 유출을 식별하는 것으로 나타났습니다. 이렇게 탐지 시간이 빨라지면 수정 비용이 절감되어 조직은 거의 100만 달러를 절약할 수 있습니다.

일부 랜섬웨어 변종에 대한 암호 해독 도구는 No More Ransom²와 같은 프로젝트를 통해 공개적으로 사용할 수 있지만 활성 랜섬웨어 감염에는 다각적인 접근 방식이 필요한 경우가 많습니다.

미국 국립표준기술연구소(NIST)의 사고 대응 수명 주기를 모델로 한 랜섬웨어 사고 대응 계획의 예시로 IBM Security의 랜섬웨어 완벽 가이드를 참조하세요. 

1989년: 최초로 발견된 랜섬웨어 "AIDS 트로이 목마" 또는 "P.C. 사이보그" 공격은 플로피 디스크를 통해 배포되었습니다. 피해자의 컴퓨터에 파일 디렉토리를 숨기고 숨김을 해제하는 데 미화 189달러를 요구했습니다. 이 맬웨어는 파일 자체가 아닌 파일 이름을 암호화하여 작동하기 때문에 사용자는 몸값을 지불하지 않고도 피해를 쉽게 되돌릴 수 있습니다.

1996년: 컴퓨터 과학자 Adam L. Young과 Moti Yung은 에이즈 트로이 목마를 분석하던 중 더 정교한 암호화를 사용하여 민감한 데이터를 인질로 잡을 수 있는 미래의 맬웨어에 대해 경고했습니다.

2005년: 2000년대 초반까지 랜섬웨어 공격이 비교적 적었던 후 러시아와 동유럽을 중심으로 감염이 증가하기 시작했습니다. 비대칭적 암호화를 사용하는 첫 번째 변종이 등장했습니다. 새로운 랜섬웨어가 돈을 갈취하는 보다 효과적인 방법을 제공함에 따라 더 많은 랜섬웨어가 전 세계적으로 확산되기 시작했습니다.

2009년: 암호화폐, 특히 비트코인의 도입은 추적할 수 없는 몸값을 받을 수 있는 방법이 되므로 랜섬웨어 활동이 또 다시 급증하게 되었습니다.

2013년: 현대 랜섬웨어 시대는 CryptoLocker가 암호화폐로 지불을 요구하는, 고도로 정교한 암호화 기반 랜섬웨어 공격의 물결을 시작하면서 시작됩니다.

2015년: Tox 랜섬웨어 변종이 서비스형 랜섬웨어(RaaS) 모델을 도입했습니다.

2017년: 최초로 널리 사용되는 자가 복제 크립토웜 WannaCry가 등장했습니다.

2018년: Ryuk가 대형 랜섬웨어 사냥을 대중화시켰습니다.

2019년: 이중 갈취 및 삼중 갈취 랜섬웨어 공격이 대중화되었습니다. IBM Security X-Force Incident Reponse 팀이 2019년 이후 대응한 거의 모든 랜섬웨어 인시던트에는 이중 갈취가 포함되었습니다.

2022년: 사이버 범죄자가 악성 코드를 확산시키기 위해 대상의 합법적인 온라인 대화에 자신을 삽입하는 스레드 하이재킹이 주요 랜섬웨어 벡터로 등장합니다.

2023년: 랜섬웨어에 대한 방어가 향상됨에 따라 많은 랜섬웨어 조직이 무기고를 확장하고 새로운 갈취 전술로 랜섬웨어를 보완하기 시작합니다. 특히 LockBit과 같은 조직과 Conti의 일부 잔여 조직은 피해자의 시스템을 잠글 필요 없이 민감한 데이터를 훔쳐 인질로 잡을 수 있는 인포스틸러 맬웨어를 사용하기 시작합니다.