무차별 공격은 표적형 공격으로...충격과 공포 전략으로 심리적 압박도
버려진 랜섬웨어가 공격하는 경우도 늘어나고 있어...데이터 복구 불가능
[보안뉴스 문가용 기자] 현재 샌프란시스코에서 열리고 있는 RSA에서도 랜섬웨어가 화제다. 작년 한 해의 유행이 식지 않은 정도가 아니라, 점점 더 무서워지고 대담해지고 있기 때문이다. 보안 전문가들은 예전부터 ‘랜섬웨어 범인들에게 돈을 주지 말라’고 권해왔다. 먹이를 줌으로써 그들의 범죄 활동을 후원해주는 꼴이 되기 때문이라는 게 그 이유였다. 게다가 돈을 낸다고 해서 데이터를 되돌려준다는 보장도 없어서, 이 주장은 주류로 자리 잡았다. 물론 대부분 랜섬웨어 공격자들은 돈을 받고 데이터를 돌려준 것이 사실이긴 하다.
랜섬웨어의 성장 속도는 두려울 정도다. 1년 새 167배나 자랐다고 소닉월(SonicWall)은 발표했다. “2016년 한 해 동안만 6억 3천 8백만 건의 랜섬웨어 공격이 있었는데, 2015년의 4백만 건에 비하면 엄청난 수가 아닐 수 없습니다.” 카스퍼스키 또한 지난 10월 “40초마다 한 번씩 랜섬웨어 공격이 발생한다”고 집계한 바 있다.
여기에 더해 소포스 랩스(Sophos Labs)의 글로벌 보안 책임자인 제임스 라인(James Lyne)은 “피해자에게 있어 점점 더 악질적으로 변하고 있다”며 “암호화를 넘어 데이터를 훔쳐내 추가적인 이득을 보려는 움직임을 보이고 있기 때문”이라고 설명했다. 이런 경우 데이터는 그냥 파괴해버리고, 훔친 정보로 다양한 공격을 추가하고 있다고 한다. “암호화 기술 자체도 더 고급화가 되고 있다는 것도 큰 문제입니다.”
이러한 최근 트렌드를 두고 제임스 라인은 ‘충격과 공포’ 전략이라고 설명한다. 충격과 공포(shock and awe) 전략이란, 압도적인 화력을 앞세운 공세로 반격 의지 자체를 꺾는 것을 말한다. 랜섬웨어 공격자들이 ‘부드러운 협상’을 시도하던 때가 지나고 아예 온갖 공격을 다 퍼부어 피해자가 의지를 잃은 채 순순히 돈을 내도록 만든다는 것이다.
“심리전 요인까지 도입했다는 것인데, 그 한 예로 요즘 랜섬웨어들엔 타이머가 거의 반드시 있습니다. 시간 제한을 둬서 심리적인 압박을 가하는 것이죠.” 암호화가 고급화되고 있기 때문에 보안 전문가들도 이제 ‘데이터를 복구시켜줄 수 있다’고 약속하기 힘든 마당에, 이런 공격을 당하면 누구라도 패닉에 빠질 수밖에 없게 된다고 한다.
여기에 더해 ‘재감염’도 점점 늘어나고 있는 추세다. 한 번 당한 사람이 또 당할 가능성이 높다는 걸 공격자들이 알아챈 것이다. 게다가 재감염이 한 번만 일어나는 것도 아니라고 한다. “한 번 걸린 사람이 또 당할 가능성도 높지만, 한 번 돈을 내본 사람이 또 다시 돈을 낼 가능성이 높죠.” 이런 최신 랜섬웨어 공격 추세가 이번 RSA에서도 적극 토론될 예정이다. 제임스 라인도 “사용자가 돈을 지불했을 때, 시스템을 복구했을 때, 공격자들이 어떻게 반응하는지 사례별로 살펴보는” 강연을 진행한다.
랜섬웨어에 대한 RSA의 메시지는 한 가지로 요약이 가능하다. 돈을 내거나 시스템을 초기화하거나, 랜섬웨어를 제거했다고 해서 공격자의 굴레를 벗어날 수 없다는 거다. “재감염을 하고, 추가 피해를 입히고... 이런 랜섬웨어 공격자들의 노력이 어떤 의미인 걸까요? 바로 랜섬웨어가 표적형으로 변해간다는 겁니다. 여태까지 랜섬웨어는 무차별 폭격에 가까운 형태로 진행되었거든요. 즉, 여태까지는 기본적인 보안 수칙을 지키면 어느 정도 방어가 되었는데, 이제는 반드시 그런 것도 아니라는 겁니다.”
제임스는 최근 랜섬웨어 공격자가 크리덴셜 및 민감한 정보를 훔쳐내는 것도 본 적이 있다고 설명한다. “이런 방식들은 표적형 공격에서 자주 나타나는 현상이죠.” 다행히 아직까지 이게 주류로 자리 잡지는 못했다고 제임스는 설명한다. “그러니 이런 때에 미리미리 사용자들을 교육시키고 대비해야 합니다.” 랜섬웨어가 표적형 공격의 성질을 띄어가면서 데이터베이스를 노리는 경우도 점점 증가하고 있다고 그는 덧붙였다.
최근엔 아무런 협박을 하지도 않는 랜섬웨어도 발견되기 시작했다. 파일을 암호화시켜 놓고는 그대로 놔두는 것이다. “이건 새로운 전략이라기보다, 오래된 랜섬웨어들이 아직도 유령처럼 돌아다니고 있는 겁니다. 암호화까지는 작동하지만 운영자들도 버린 버전이기 때문에 돈을 낼 계정이나 방법이 존재하지 않는 것이죠. 이 경우는 정말로 데이터를 돌려받을 방법이 없습니다. 최초 개발자들도 이런 일이 일어나고 있다는 걸 모를 겁니다.”
하지만 RSA에서라고 랜섬웨어에 대한 혁신적인 대처 방안이 언급된 것은 아니다. “랜섬웨어는 ‘걸릴 준비가 되어 있어야’ 막을 수 있습니다. 걸릴 것이라고 예상하고, 자주 백업을 해야죠. 그래야 범인들에게 돈을 내지 않을 수 있고, 그래야 랜섬웨어 산업 자체가 죽습니다. 랜섬웨어는 모두가 같이 대처해야 하는 것이지, 개인이 혼자 어떻게 할 수 있는 게 아닙니다.”
[국제부 문가용 기자(globoan@boannews.com)]
버려진 랜섬웨어가 공격하는 경우도 늘어나고 있어...데이터 복구 불가능
[보안뉴스 문가용 기자] 현재 샌프란시스코에서 열리고 있는 RSA에서도 랜섬웨어가 화제다. 작년 한 해의 유행이 식지 않은 정도가 아니라, 점점 더 무서워지고 대담해지고 있기 때문이다. 보안 전문가들은 예전부터 ‘랜섬웨어 범인들에게 돈을 주지 말라’고 권해왔다. 먹이를 줌으로써 그들의 범죄 활동을 후원해주는 꼴이 되기 때문이라는 게 그 이유였다. 게다가 돈을 낸다고 해서 데이터를 되돌려준다는 보장도 없어서, 이 주장은 주류로 자리 잡았다. 물론 대부분 랜섬웨어 공격자들은 돈을 받고 데이터를 돌려준 것이 사실이긴 하다.
랜섬웨어의 성장 속도는 두려울 정도다. 1년 새 167배나 자랐다고 소닉월(SonicWall)은 발표했다. “2016년 한 해 동안만 6억 3천 8백만 건의 랜섬웨어 공격이 있었는데, 2015년의 4백만 건에 비하면 엄청난 수가 아닐 수 없습니다.” 카스퍼스키 또한 지난 10월 “40초마다 한 번씩 랜섬웨어 공격이 발생한다”고 집계한 바 있다.
여기에 더해 소포스 랩스(Sophos Labs)의 글로벌 보안 책임자인 제임스 라인(James Lyne)은 “피해자에게 있어 점점 더 악질적으로 변하고 있다”며 “암호화를 넘어 데이터를 훔쳐내 추가적인 이득을 보려는 움직임을 보이고 있기 때문”이라고 설명했다. 이런 경우 데이터는 그냥 파괴해버리고, 훔친 정보로 다양한 공격을 추가하고 있다고 한다. “암호화 기술 자체도 더 고급화가 되고 있다는 것도 큰 문제입니다.”
이러한 최근 트렌드를 두고 제임스 라인은 ‘충격과 공포’ 전략이라고 설명한다. 충격과 공포(shock and awe) 전략이란, 압도적인 화력을 앞세운 공세로 반격 의지 자체를 꺾는 것을 말한다. 랜섬웨어 공격자들이 ‘부드러운 협상’을 시도하던 때가 지나고 아예 온갖 공격을 다 퍼부어 피해자가 의지를 잃은 채 순순히 돈을 내도록 만든다는 것이다.
“심리전 요인까지 도입했다는 것인데, 그 한 예로 요즘 랜섬웨어들엔 타이머가 거의 반드시 있습니다. 시간 제한을 둬서 심리적인 압박을 가하는 것이죠.” 암호화가 고급화되고 있기 때문에 보안 전문가들도 이제 ‘데이터를 복구시켜줄 수 있다’고 약속하기 힘든 마당에, 이런 공격을 당하면 누구라도 패닉에 빠질 수밖에 없게 된다고 한다.
여기에 더해 ‘재감염’도 점점 늘어나고 있는 추세다. 한 번 당한 사람이 또 당할 가능성이 높다는 걸 공격자들이 알아챈 것이다. 게다가 재감염이 한 번만 일어나는 것도 아니라고 한다. “한 번 걸린 사람이 또 당할 가능성도 높지만, 한 번 돈을 내본 사람이 또 다시 돈을 낼 가능성이 높죠.” 이런 최신 랜섬웨어 공격 추세가 이번 RSA에서도 적극 토론될 예정이다. 제임스 라인도 “사용자가 돈을 지불했을 때, 시스템을 복구했을 때, 공격자들이 어떻게 반응하는지 사례별로 살펴보는” 강연을 진행한다.
랜섬웨어에 대한 RSA의 메시지는 한 가지로 요약이 가능하다. 돈을 내거나 시스템을 초기화하거나, 랜섬웨어를 제거했다고 해서 공격자의 굴레를 벗어날 수 없다는 거다. “재감염을 하고, 추가 피해를 입히고... 이런 랜섬웨어 공격자들의 노력이 어떤 의미인 걸까요? 바로 랜섬웨어가 표적형으로 변해간다는 겁니다. 여태까지 랜섬웨어는 무차별 폭격에 가까운 형태로 진행되었거든요. 즉, 여태까지는 기본적인 보안 수칙을 지키면 어느 정도 방어가 되었는데, 이제는 반드시 그런 것도 아니라는 겁니다.”
제임스는 최근 랜섬웨어 공격자가 크리덴셜 및 민감한 정보를 훔쳐내는 것도 본 적이 있다고 설명한다. “이런 방식들은 표적형 공격에서 자주 나타나는 현상이죠.” 다행히 아직까지 이게 주류로 자리 잡지는 못했다고 제임스는 설명한다. “그러니 이런 때에 미리미리 사용자들을 교육시키고 대비해야 합니다.” 랜섬웨어가 표적형 공격의 성질을 띄어가면서 데이터베이스를 노리는 경우도 점점 증가하고 있다고 그는 덧붙였다.
최근엔 아무런 협박을 하지도 않는 랜섬웨어도 발견되기 시작했다. 파일을 암호화시켜 놓고는 그대로 놔두는 것이다. “이건 새로운 전략이라기보다, 오래된 랜섬웨어들이 아직도 유령처럼 돌아다니고 있는 겁니다. 암호화까지는 작동하지만 운영자들도 버린 버전이기 때문에 돈을 낼 계정이나 방법이 존재하지 않는 것이죠. 이 경우는 정말로 데이터를 돌려받을 방법이 없습니다. 최초 개발자들도 이런 일이 일어나고 있다는 걸 모를 겁니다.”
하지만 RSA에서라고 랜섬웨어에 대한 혁신적인 대처 방안이 언급된 것은 아니다. “랜섬웨어는 ‘걸릴 준비가 되어 있어야’ 막을 수 있습니다. 걸릴 것이라고 예상하고, 자주 백업을 해야죠. 그래야 범인들에게 돈을 내지 않을 수 있고, 그래야 랜섬웨어 산업 자체가 죽습니다. 랜섬웨어는 모두가 같이 대처해야 하는 것이지, 개인이 혼자 어떻게 할 수 있는 게 아닙니다.”
[국제부 문가용 기자(globoan@boannews.com)]
Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg)