암시장의 ROI, 공격자들의 가장 중요한 동기
랜섬웨어 지워내고 복구시켜도 봇넷 감염 가능성 남아있어
[보안뉴스 문가용] 랜섬웨어로는 충분치 않았던 모양이다. 공격자들은 랜섬웨어에 디도스 공격을 탑재하고 있다. 정확히 말하면 랜섬웨어에 당한 시스템을 디도스 공격을 위한 봇넷으로 삼는 방법을 활용하기 시작한 것이다.
어떻게 해서든 이득을 만들고 싶어 하는 공격자 입장에서 이런 식의 원투펀치의 개발은 당연한 진화의 결과라고 볼 수 있다. 그렇기에 이는 단순히 한 번 유행을 타고 마는 게 아니라 공격의 표준이 될 가능성이 높다고 보안 전문가들은 입을 모은다.
“랜섬웨어에 디도스를 첨가하다니, 정말 나쁜 쪽으로는 천재적인 생각이지요.” 서버(Cerber)라는 유명 랜섬웨어의 새로운 변종에서 디도스 공격 기능을 발견했다는 보고서를 발표한 보안 전문업체인 노비포(KnowBe4)의 CEO 스튜 슈베르만(Stu Sjouwerman)의 설명이다. “봇넷 대여 서비스는 다크넷에서 꽤 수익률이 높은 사업입니다. 최근에 가격이 조금 떨어지긴 했지만, 그래도 여전히 괜찮은 아이템이죠. 이런 경제적 인프라가 든든히 받쳐주고 있기 때문에 한 동안 봇넷과 조합한 원투펀치 형식의 공격이 트렌드로 자리 잡을 것으로 봅니다.”
사실 랜섬웨어와 디도스가 조합된 공격에 대한 보고서는 다른 보안 업체인 인빈시아(Invincea)에서 이미 발표한 바 있다. 해당 보고서에서는 MS 오피스 문서가 악용되는 사례가 소개되었다. 특히 비주얼 베이직을 통한 익스플로잇이 상세히 소개되었으며, 이를 통해 파일이 동반되지 않는 공격이 가능하다고 나왔다. 당시 인빈시아 보고서의 가장 핵심적인 발견은 “한 번 공격 비용으로 두 번 공격을 실행할 수 있다”는 것이었다.
“언뜻 보기에는 사용자의 파일 시스템 및 파일 자체를 암호화하고 협박 및 지불 안내 문구가 화면에 출력되도록 하는, 평범한 랜섬웨어입니다. 하지만 더 깊은 곳을 들여다보면 디도스 공격도 가능하도록 바이너리가 구성되어 있죠. 인빈시아에서 관찰한 바에 의하면 6892 포트를 통해 UDP 패킷을 다량 흘려보내 트래픽을 마비시키는 유형의 공격을 하도록 되어 있었습니다.”
랜섬웨어가 이런 식으로 진화하는 것은 사이버 범죄가 가지고 있는 ‘용병의 특성’을 잘 반영하는 것이다. 용병의 특성은 소속이 없다는 것과 돈을 받고 움직인다는 것인데, 사이버 범죄자들의 특성이 대부분 이와 정확히 일치한다. 즉 어떤 소속감이나 충성심에서 공격을 하는 예는 극히 드물고, 소득의 원리에 따라 움직인다는 것인데, “랜섬웨어 공격자들이 따르는 규칙 역시 암시장에서의 ROI”라고 전문가들은 설명한다. 하나의 가격으로 두 개의 공격을 할 수 있다는 점, 봇넷 사업이 어느 정도 수익을 보장하는 아이템이라는 점에서 이미 랜섬웨어의 변화는 예측이 가능한 수준이었다.
“애초에 랜섬웨어가 각광받기 시작한 이유부터도 철저히 ‘수익’에 있죠. 리스크와 비용이 적고 수익은 높은 범죄였거든요. 수요인 랜섬웨어가 늘어나니 랜섬웨어 공격을 할 수 있는 툴과 서비스도 사업으로서 자리잡아 공급의 균형도 맞춰졌습니다. 수요와 공급이 안정화에 접어들면 새로운 것이 등장하는 법이죠. 지금 랜섬웨어의 진화가 바로 그런 맥락에서 나온 겁니다.” 파이어아이(FireEye)도 지난 주 랜섬웨어에 대한 보고서를 발표하면서 이렇게 설명한 바 있다.
파이어아이는 “돈을 냈든, 보안 툴을 사용했든, 이제는 랜섬웨어에서부터 파일들을 복구하는 데에 성공했다고 해도 공격에서부터 완전히 벗어났다고 말 할 수 없다”는 점을 강조했다. 봇넷의 일부로서 악용될 가능성도 높아졌기 때문이다. “결국 공격이 아예 성립하지 않도록 미리 막아내는 것이 더 중요한 보안의 가치가 되고 있습니다. 공격이 발전하면서 복구마저도 믿을 수 없는 단계가 왔거든요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
랜섬웨어 지워내고 복구시켜도 봇넷 감염 가능성 남아있어
[보안뉴스 문가용] 랜섬웨어로는 충분치 않았던 모양이다. 공격자들은 랜섬웨어에 디도스 공격을 탑재하고 있다. 정확히 말하면 랜섬웨어에 당한 시스템을 디도스 공격을 위한 봇넷으로 삼는 방법을 활용하기 시작한 것이다.
어떻게 해서든 이득을 만들고 싶어 하는 공격자 입장에서 이런 식의 원투펀치의 개발은 당연한 진화의 결과라고 볼 수 있다. 그렇기에 이는 단순히 한 번 유행을 타고 마는 게 아니라 공격의 표준이 될 가능성이 높다고 보안 전문가들은 입을 모은다.
“랜섬웨어에 디도스를 첨가하다니, 정말 나쁜 쪽으로는 천재적인 생각이지요.” 서버(Cerber)라는 유명 랜섬웨어의 새로운 변종에서 디도스 공격 기능을 발견했다는 보고서를 발표한 보안 전문업체인 노비포(KnowBe4)의 CEO 스튜 슈베르만(Stu Sjouwerman)의 설명이다. “봇넷 대여 서비스는 다크넷에서 꽤 수익률이 높은 사업입니다. 최근에 가격이 조금 떨어지긴 했지만, 그래도 여전히 괜찮은 아이템이죠. 이런 경제적 인프라가 든든히 받쳐주고 있기 때문에 한 동안 봇넷과 조합한 원투펀치 형식의 공격이 트렌드로 자리 잡을 것으로 봅니다.”
사실 랜섬웨어와 디도스가 조합된 공격에 대한 보고서는 다른 보안 업체인 인빈시아(Invincea)에서 이미 발표한 바 있다. 해당 보고서에서는 MS 오피스 문서가 악용되는 사례가 소개되었다. 특히 비주얼 베이직을 통한 익스플로잇이 상세히 소개되었으며, 이를 통해 파일이 동반되지 않는 공격이 가능하다고 나왔다. 당시 인빈시아 보고서의 가장 핵심적인 발견은 “한 번 공격 비용으로 두 번 공격을 실행할 수 있다”는 것이었다.
“언뜻 보기에는 사용자의 파일 시스템 및 파일 자체를 암호화하고 협박 및 지불 안내 문구가 화면에 출력되도록 하는, 평범한 랜섬웨어입니다. 하지만 더 깊은 곳을 들여다보면 디도스 공격도 가능하도록 바이너리가 구성되어 있죠. 인빈시아에서 관찰한 바에 의하면 6892 포트를 통해 UDP 패킷을 다량 흘려보내 트래픽을 마비시키는 유형의 공격을 하도록 되어 있었습니다.”
랜섬웨어가 이런 식으로 진화하는 것은 사이버 범죄가 가지고 있는 ‘용병의 특성’을 잘 반영하는 것이다. 용병의 특성은 소속이 없다는 것과 돈을 받고 움직인다는 것인데, 사이버 범죄자들의 특성이 대부분 이와 정확히 일치한다. 즉 어떤 소속감이나 충성심에서 공격을 하는 예는 극히 드물고, 소득의 원리에 따라 움직인다는 것인데, “랜섬웨어 공격자들이 따르는 규칙 역시 암시장에서의 ROI”라고 전문가들은 설명한다. 하나의 가격으로 두 개의 공격을 할 수 있다는 점, 봇넷 사업이 어느 정도 수익을 보장하는 아이템이라는 점에서 이미 랜섬웨어의 변화는 예측이 가능한 수준이었다.
“애초에 랜섬웨어가 각광받기 시작한 이유부터도 철저히 ‘수익’에 있죠. 리스크와 비용이 적고 수익은 높은 범죄였거든요. 수요인 랜섬웨어가 늘어나니 랜섬웨어 공격을 할 수 있는 툴과 서비스도 사업으로서 자리잡아 공급의 균형도 맞춰졌습니다. 수요와 공급이 안정화에 접어들면 새로운 것이 등장하는 법이죠. 지금 랜섬웨어의 진화가 바로 그런 맥락에서 나온 겁니다.” 파이어아이(FireEye)도 지난 주 랜섬웨어에 대한 보고서를 발표하면서 이렇게 설명한 바 있다.
파이어아이는 “돈을 냈든, 보안 툴을 사용했든, 이제는 랜섬웨어에서부터 파일들을 복구하는 데에 성공했다고 해도 공격에서부터 완전히 벗어났다고 말 할 수 없다”는 점을 강조했다. 봇넷의 일부로서 악용될 가능성도 높아졌기 때문이다. “결국 공격이 아예 성립하지 않도록 미리 막아내는 것이 더 중요한 보안의 가치가 되고 있습니다. 공격이 발전하면서 복구마저도 믿을 수 없는 단계가 왔거든요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
