랜섬웨어 활용한 사업 모델의 변화 - 개인에서 기업으로
멀웨어 탐지하는 솔루션들, 랜섬웨어의 변화 쫓아가지 못해
[보안뉴스 문가용] 2016년 전반기를 한 마디로 묘사하면 ‘랜섬웨어’라고 해도 될 정도다. 특히 건강 및 의료, 사회 기반구조 및 시설물들 쪽에서 랜섬웨어가 극성을 부렸다. 그러나 기억해야 할 것은 랜섬웨어가 올해 갑자기 등장한 공격 기법이 아니라는 것이다. 왜 유독 올해 극성스러웠을까, 라는 질문이 중요해진다.
.jpg)
일단, 랜섬웨어 공격을 위한 기반 기술력이 증가한 것은 아니다. 발전한 것은 오히려 랜섬웨어를 가지고 범죄를 일으키는 ‘사업 방식’이다. 데이터를 암호화하고, 그 사실을 가지고 피해자를 협박하는 방식은 똑같은데 무슨 소리냐고 물을 수 있다. 맞는 말이다.
하지만 그 ‘피해자’가 개인에서 조직으로 바뀌고 있다는 것에 주목해야 한다. 개인보다 회사를 공격하는 것이 더 효과도 좋고 수익도 높기 때문에 이런 변화가 일어나고 있고, 조직화된 표적을 공격하기 위해 공격자 스스로도 한층 더 조직화된 모습을 보이고 있다. 이런 점에서 올해의 랜섬웨어 공격은 이전 해의 그것보다 특이할 만하다.
랜섬웨어의 진화
기업을 표적으로 삼기 시작했다는 건, 표적에 따라 공격 방식을 세심하게 바꾸기 시작했다는 뜻이 된다. 불특정 다수에게 임의로 쏟는 공격보다 누군가를 특정해 마음먹고 노릴 때 발생하는 당연한 변화다. 왜? 기업이 개인보다 훨씬 더 부자이기 때문이다.
이 때문에 상반기에는 의료업계부터 시작해 교육업계, 사회 기반시설 등에 공격이 눈에 띄게 늘어난 것이다. 당하기 전에는 몰랐지만 당하고 나니 너무나 명백했다. 병원과 학교, 사회기반 시설에 저장되어 있는 정보들이 얼마나 민감하고 중요한지, 또 이들 업계가 하나 같이 얼마나 허술한지 말이다. 다음 표적은 누가 될까? 우리가 뭔가를 놓치고 있을지도 모른다.
변화에의 적응 - 안전한 곳에 머물다
하지만 아무리 그렇다 해도 랜섬웨어 자체는 오래된 사이버 범죄 유형 중 하나다. 때문에 랜섬웨어 공격이 자꾸만 성공한다는 소식에 많은 이들이 정보보안 업계에 실망을 표하기도 한다. 그렇다면 왜 자꾸 뚫리는 것일까? 시그니처에 기반을 두고 있는 전통의 보안 솔루션들이 대부분 사용되고 있기 때문이다. 해커들은 이미 탐지를 우회하기 위해 별별 수단을 다 써가면서 멀웨어를 발전시키고 있는데, 백신 및 멀웨어 탐지 솔루션들은 그렇지 않다.
정적인 시그니처 탐지 솔루션을 단독으로 사용해서는 어지간한 공격에 다 뚫릴 수밖에 없다. 여기에 역동적인 제어장치를 사용하되, 이 제어장치는 특정 공격에 대한 맞춤형 탐지 방식이어서는 안 된다. 또한 사용자들 쪽에서의 주기적인 백업 습관도 반드시 있어야 한다. 사실 백업만 잘 해도 랜섬웨어는 그다지 큰 위협거리가 되지 못한다.
그래도 희망이 있다면 랜섬웨어가 이렇게 세상을 휩쓸고 있기 때문에 정보보안 내에서 각종 움직임이 덩달아 빠르게 일고 있다는 것이다. 하지만 어느날 랜섬웨어가 완전 종말을 고할 거라고 기대하기에는 무리다. 범죄자들은 방어막을 정면을 뚫으려고 하지 않는다. 그 방어막에서 슬쩍 나와 있는 누군가를 기다린다. 아무리 견고한 방어진이 개발되어도, 사용자가 그 안으로 들어가려 하지 않는다면 랜섬웨어는 항상 우리 곁을 지키고 있을 것이다.
지하경제를 키우고 있는 건 우리다
가장 중요한 문제는 ‘그래서 랜섬웨어를 언제부터 막을 수 있을 것인가?’이다. 정보보안은 사업체들에게 있어 항상 투자의 문제였다. 랜섬웨어를 막을 만한 솔루션들을 미리 사서 설치하는 투자자들도 있고, 랜섬웨어에 걸렸을 때 범인들이 원하는 돈을 지급하는 투자자도 있다. 그러나 랜섬웨어 범죄자들이 요구하는 금액이 갈수록 높아지고 있다는 걸 생각하면 후자는 그리 오래가지 않을 것으로 보인다. 랜섬웨어 범죄자들 사이의 경쟁을 생각하면 그 가격이 어느 순간 너무 높아져 사실상 지불이 불가능한 시점에까지 다다를 것으로도 여겨진다.
그 때를 대비하여 기술적이든 정책적이든, 랜섬웨어에 대비할 수 있을만한 조치를 마련해야 한다. 랜섬웨어는 전염병이다. 의학 업계에서만 애를 써봐야 일반 시민들이 위생관리를 하거나 여러 예방 수칙을 지키지 않으면 소용이 없다. 또한 당국도 캠페인을 벌이고 의학계를 지원해주는 등의 움직임을 함께 보이는 것이 일반이다. 보안 업계를 넘어, 랜섬웨어에 대한 대대적인 인식 고려가 필요한 때다. 각자의 할 일이 무엇인가, 세부적이고 자세한 내용의 지침사항 역시 필요하다.
글 : 마이클 서튼(Michael Sutton)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
멀웨어 탐지하는 솔루션들, 랜섬웨어의 변화 쫓아가지 못해
[보안뉴스 문가용] 2016년 전반기를 한 마디로 묘사하면 ‘랜섬웨어’라고 해도 될 정도다. 특히 건강 및 의료, 사회 기반구조 및 시설물들 쪽에서 랜섬웨어가 극성을 부렸다. 그러나 기억해야 할 것은 랜섬웨어가 올해 갑자기 등장한 공격 기법이 아니라는 것이다. 왜 유독 올해 극성스러웠을까, 라는 질문이 중요해진다.
일단, 랜섬웨어 공격을 위한 기반 기술력이 증가한 것은 아니다. 발전한 것은 오히려 랜섬웨어를 가지고 범죄를 일으키는 ‘사업 방식’이다. 데이터를 암호화하고, 그 사실을 가지고 피해자를 협박하는 방식은 똑같은데 무슨 소리냐고 물을 수 있다. 맞는 말이다.
하지만 그 ‘피해자’가 개인에서 조직으로 바뀌고 있다는 것에 주목해야 한다. 개인보다 회사를 공격하는 것이 더 효과도 좋고 수익도 높기 때문에 이런 변화가 일어나고 있고, 조직화된 표적을 공격하기 위해 공격자 스스로도 한층 더 조직화된 모습을 보이고 있다. 이런 점에서 올해의 랜섬웨어 공격은 이전 해의 그것보다 특이할 만하다.
랜섬웨어의 진화
기업을 표적으로 삼기 시작했다는 건, 표적에 따라 공격 방식을 세심하게 바꾸기 시작했다는 뜻이 된다. 불특정 다수에게 임의로 쏟는 공격보다 누군가를 특정해 마음먹고 노릴 때 발생하는 당연한 변화다. 왜? 기업이 개인보다 훨씬 더 부자이기 때문이다.
이 때문에 상반기에는 의료업계부터 시작해 교육업계, 사회 기반시설 등에 공격이 눈에 띄게 늘어난 것이다. 당하기 전에는 몰랐지만 당하고 나니 너무나 명백했다. 병원과 학교, 사회기반 시설에 저장되어 있는 정보들이 얼마나 민감하고 중요한지, 또 이들 업계가 하나 같이 얼마나 허술한지 말이다. 다음 표적은 누가 될까? 우리가 뭔가를 놓치고 있을지도 모른다.
변화에의 적응 - 안전한 곳에 머물다
하지만 아무리 그렇다 해도 랜섬웨어 자체는 오래된 사이버 범죄 유형 중 하나다. 때문에 랜섬웨어 공격이 자꾸만 성공한다는 소식에 많은 이들이 정보보안 업계에 실망을 표하기도 한다. 그렇다면 왜 자꾸 뚫리는 것일까? 시그니처에 기반을 두고 있는 전통의 보안 솔루션들이 대부분 사용되고 있기 때문이다. 해커들은 이미 탐지를 우회하기 위해 별별 수단을 다 써가면서 멀웨어를 발전시키고 있는데, 백신 및 멀웨어 탐지 솔루션들은 그렇지 않다.
정적인 시그니처 탐지 솔루션을 단독으로 사용해서는 어지간한 공격에 다 뚫릴 수밖에 없다. 여기에 역동적인 제어장치를 사용하되, 이 제어장치는 특정 공격에 대한 맞춤형 탐지 방식이어서는 안 된다. 또한 사용자들 쪽에서의 주기적인 백업 습관도 반드시 있어야 한다. 사실 백업만 잘 해도 랜섬웨어는 그다지 큰 위협거리가 되지 못한다.
그래도 희망이 있다면 랜섬웨어가 이렇게 세상을 휩쓸고 있기 때문에 정보보안 내에서 각종 움직임이 덩달아 빠르게 일고 있다는 것이다. 하지만 어느날 랜섬웨어가 완전 종말을 고할 거라고 기대하기에는 무리다. 범죄자들은 방어막을 정면을 뚫으려고 하지 않는다. 그 방어막에서 슬쩍 나와 있는 누군가를 기다린다. 아무리 견고한 방어진이 개발되어도, 사용자가 그 안으로 들어가려 하지 않는다면 랜섬웨어는 항상 우리 곁을 지키고 있을 것이다.
지하경제를 키우고 있는 건 우리다
가장 중요한 문제는 ‘그래서 랜섬웨어를 언제부터 막을 수 있을 것인가?’이다. 정보보안은 사업체들에게 있어 항상 투자의 문제였다. 랜섬웨어를 막을 만한 솔루션들을 미리 사서 설치하는 투자자들도 있고, 랜섬웨어에 걸렸을 때 범인들이 원하는 돈을 지급하는 투자자도 있다. 그러나 랜섬웨어 범죄자들이 요구하는 금액이 갈수록 높아지고 있다는 걸 생각하면 후자는 그리 오래가지 않을 것으로 보인다. 랜섬웨어 범죄자들 사이의 경쟁을 생각하면 그 가격이 어느 순간 너무 높아져 사실상 지불이 불가능한 시점에까지 다다를 것으로도 여겨진다.
그 때를 대비하여 기술적이든 정책적이든, 랜섬웨어에 대비할 수 있을만한 조치를 마련해야 한다. 랜섬웨어는 전염병이다. 의학 업계에서만 애를 써봐야 일반 시민들이 위생관리를 하거나 여러 예방 수칙을 지키지 않으면 소용이 없다. 또한 당국도 캠페인을 벌이고 의학계를 지원해주는 등의 움직임을 함께 보이는 것이 일반이다. 보안 업계를 넘어, 랜섬웨어에 대한 대대적인 인식 고려가 필요한 때다. 각자의 할 일이 무엇인가, 세부적이고 자세한 내용의 지침사항 역시 필요하다.
글 : 마이클 서튼(Michael Sutton)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
