랜섬웨어
랜섬웨어(ransomware)란 몸값을 뜻하는 랜섬(ransome)과 제품을 뜻하는 웨어(ware)의 합성어로, 사용자의 컴퓨터 시스템에 침투하여 무단으로 사용자의 파일을 모두 암호화 시켜 금품을 요구하는 악성 프로그램이다.
목차
개요[편집]
랜섬웨어는 사용자 컴퓨터 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 후, 암호화해서 사용할 수 없도록 만든 다음 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다. 랜섬웨어는 주로 이메일 첨부파일이나 웹페이지 접속을 통해 들어오기도 하고, 확인되지 않은 프로그램이나 파일을 내려받기 하는 과정에서 들어오기도 한다. 랜섬웨어를 만들어 불법적인 경로로 돈을 벌려는 해커들의 근거지는 주로 해외에 있기 때문에 정체가 드러나지 않으며, 피해를 당했더라도 범인을 잡는 것이 사실상 불가능하다.[1]
랜섬웨어는 10년이 넘는 역사를 가지고 있다. 과거에는 주로 사용자 PC에 있는 파일을 암호화하거나 컴퓨터를 사용하지 못하도록 암호를 걸어놓는 방식이었다. 하지만 당시에 공격자가 걸어놓은 암호화의 수준이 낮아 복호화 방법을 찾아 데이터를 복구하는 것이 비교적 순조로웠다. 그러나 비트코인이 등장한 2013년 하반기, 강력한 암호화 알고리즘으로 파일을 암호화하고 돈을 요구하는 랜섬웨어 크립토락커(CryptoLocker)가 등장하면서 사용자 PC는 랜섬웨어 앞에서 속수무책이 되었다.
크립토락커는 사용자 PC에 저장되어 있는 문서나 사진 파일을 공개키 암호화 방식인 RSA-2048로 암호화하여 피해자에게 암호 해독키를 원하면 지정한 기한 안에 돈을 송금하라고 협박한다. 공격자는 정해준 기한 안에 돈을 보내지 않는다면 파일 복구는 물론 컴퓨터를 사용할 수 없게 될 것이라고 압박한다. 돈 역시 강력한 보안이 뒷받침되는 비트코인으로 받기 때문에 범인 추적은 사실상 불가능한 일이다. 크립토락커가 등장하면서 컴퓨터 암호화 방식이 랜섬웨어의 대세로 자리잡기 시작했고, 보다 어려운 알고리즘으로 암호화하여 사용자 데이터를 인질로 삼는 다양한 랜섬웨어가 등장했다.
2005년 본격적으로 알려지기 시작한 랜섬웨어는 2013년 들어 전 세계적으로 급증하고 있다. 공격 대상 또한 확대되고 있는데, 랜섬웨어 공격을 받은 공공기관, 기업, 개인 PC는 매년 늘어나는 추세이다. 실제로 이스트소프트가 발표한 '2016년 랜섬웨어 동향 결산'에 따르면 지난 2016년 1월부터 12월까지 알약을 통해 사전 차단된 랜섬웨어 공격이 무려 397만 4,658건으로 나타났다. 랜섬웨어 공격 방법은 해마다 업그레이드되고, 요구하는 돈의 액수는 높아지고 있다.[2]
역사[편집]
비트코인 등장 이전[편집]
랜섬웨어 전에도 사용자의 파일을 암호화하거나 컴퓨터에 암호를 걸어 놓는 종류의 악성코드는 여러 종류 있었다. 대표적인 악성코드로는 도스(DOS) 시절의 카지노 바이러스이며, 랜섬웨어와 비슷하게 하드 디스크의 FAT를 램(RAM)에 백업해 놓고 "잭팟이 터져야 한다"라는 조건을 걸어 실패할 경우 파일을 파괴시키는 형식을 취했지만 랜섬웨어와 다른 점은 돈을 요구하지 않았으며 게임과 비슷하게 잭팟이 터지는 조건만 만족시키면 FAT를 다시 복구시켜주었다는 점이다. 또한 최초의 랜섬웨어라고 할 수 있는 트로이 목마는 현재와는 다르게 암호화폐를 요구하지 않았으며 플로피 디스크로 배포되었고 파일을 복구하기 위해서는 파나마에 위치한 우편함에 189 달러를 보내 라이선스가 담긴 디스크를 별도로 받아서 복구시켜야 했다. 따라서 현금의 실질적인 이동이 있었기 때문에 어느 정도 예방도 가능하고 추적도 가능했으며 인터넷상으로 퍼지는 것이 아니라 플로피 디스크를 통해서 감염되었기 때문에 크게 확산되지도 않아 랜섬웨어라는 개념 자체가 형성되지 않았다.
비트코인 등장 이후[편집]
비트코인 등장 이후 처음에는 러시아에서 랜섬웨어를 이용한 사기가 유행했으며, 2013년 하반기에는 강력한 암호화 알고리즘으로 파일을 암호화하고 토르(Tor) 기반의 결제 홈페이지를 통해 비트코인. 즉, 돈을 요구하는 랜섬웨어 크립토락커(CryptoLocker)가 등장하면서 전 세계적으로 확대되어 피해가 심각해지기 시작했다.[2][3] 익명성이라는 암호화폐의 특징 때문에 추적도 어려워졌을뿐더러 양자컴퓨터를 갖고 있지 않은 이상 복호화할 수도 없어, 현실적으로 불가능하였다. 또한 2017년에는 미국국가안보국(NSA)의 해킹 툴을 활용한 워너크라이(WannaCry)가 등장하면서 사상 최대 규모의 랜섬웨어 공격이 이루어지고 유포 하루 만에 전 세계 100여 개국 10여대 이상의 컴퓨터를 감염시키며 전 세계를 사이버테러의 공포로 몰아넣었으며, 그 이름을 대중에게 알리게 되었다.[4]
원리[편집]
- 절차
- 공격 대상 파일검색
- 파일 암호화
- 고정키 암호화
- 다이나믹키 암호화
- 암호화키 생성
- 암호화키 서버 전달
- 파일 이동
- 검염 안내 및 복구 방법 메시지 출력[4]
- 암호화
- 암호화 알고리즘을 기반으로 파일 데이터에 암호화 알고리즘을 이용해 암호화하여 사용할 수 없도록 하는 것이다. 암호화 방식에는 크게 단방향, 양방향 방식이 있는데, 단방향 암호화란 한 번 암호화하면 다시 복호화할 수 없도록 하는 것이고 양방향 암호화는 암호화 후에도 복호화가 가능한 방식이다. 최근에는 단순히 홈페이지를 방문만 해도 랜섬웨어에 감염시키는 방법으로 일명 드라이브 바이 다운로드(Drive by Download) 기법을 이용한다. 해당 방식에서 공격자가 해당 웹사이트에서 보안이 취약한 점을 노려 악성코드를 숨겨놓고, 이 악성코드를 사용자가 자신도 모르게 다운로드하여 실행하여 감염되는 방식이다.[4]
종류[편집]
랜섬웨어는 크립토(Crypt~), 케르베르(Cerber~), 매그니베르(magniber), 락커(~Locker), MBR 훼손 계열 등이 있다. 그 외에도 많은 종류의 랜섬웨어가 존재하고 있으며 해독된 랜섬웨어까지 포함하면 더 많은 종류가 있다.[3]
크립트(Crypt~) 계열[편집]
- 크립토락커(CryptoLocker)
- 2013년 발생한 인질형 랜섬웨어의 일종이다. 컴퓨터 내의 OS 파일을 포함한 모든 파일 및 네트워크 드라이브의 파일을 RSA, AES 키로 암호를 걸어 암호 해독 키를 대가로 돈을 요구한다. 금액은 해커별로 천차만별이지만, 비트코인을 통해 금액을 결제하라는 경향을 보인다. 2015년부터는 비트코인으로 1비트코인 이상(당시 한화 50만 원 가량)을 요구한다. 구매에는 일주일 정도 시간제한이 있으며 이 안에 복호화 프로그램을 구매하지 않으면 가격이 두 배로 상승한다. FBI 현상금 300만 달러의 남자, 러시아 국적의 해커 예브게니 미하일로비치 보가체프(евгений михайлович богачев)가 만들었으며, 만든 것을 해커 그룹에 팔아서 작금의 사태를 만들었다. 또한 이 악성 프로그램을 해커그룹들이 변종화시켜 유포하고 있는 상황이다. FBI 측에서는 이 사람에게 공갈, 은행사기, 컴퓨터 사기 시행 및 가담, 신원 정보 도용 및 수색 방해, 신원 정보 절도, 음모죄, 컴퓨터 사기, 금융 사기, 돈세탁, 은행사기 공모 등의 혐의를 걸었다.[5]
- 크립토월(CryptoWall)
- 크립토디펜스(CryptoDefense)라고도 불리는 크립토 월은 잘 알려진 랜섬웨어들 중에서도 큰 몸값을 요구하기로 유명한 랜섬웨어이다. 적어도 500달러를 요구하고 있으며 최근 가장 빈번하게 사용되는 랜섬웨어이다.[3]
- 크립트XXX(CryptXXX)
- 2015년에 유행했으나 2016년 4월 러시아의 안티바이러스 기업 카스퍼스키(kaspersky)에서 복호화 툴을 내놓으면서 잠잠해졌다. 하지만 2016년 5월부터 변종이 등장하여 다시 유행하기 시작했다. 카스퍼스키 복호화 툴은 원본 파일과 감염 파일 간에 용량 차이가 안 나는 부분을 이용해서 원본과 감염 파일 간의 대조를 통해 복구하는데 변종은 용량 200KB를 추가하여 복구 툴을 무력화시킨다. 또한 헤더 파일과 의미 없는 코드를 뒤에 추가시켜 복구를 더욱 힘들게 한다. 오리지널 크립트XXX에 감염되었다면 카스퍼스키에서 복호화 툴을 다운받아 복호화하면 되고, 변종에 감염되었다면 따로 복호화 툴은 존재하지 않으나 no more ransom의 복구 툴을 통해 복구할 수 있다.ref name="랜섬웨어나무위키"></ref>
- 크립믹(CrypMIC)
- 2016년 7월부터 유행하기 시작한 CryptXXX의 카피캣이며, 아직 복구화 방법에 대해 대중화가 되어있지 않다.(2018년 7월 기준)[3]
케르베르(Cerber~) 계열[편집]
- 케르베르 램섬웨어(Cerber Ransomware)
- 2016년에 유행하기 시작한 랜섬웨어로, 해당 랜섬웨어에 감염되면 인터넷이 강제종료되는 현상을 시작으로 .txt, .mp3, .mp4 등의 확장자가 .cerber 확장자로 암호화되고, 암호화된 파일이 있는 폴더에는 #DECRYPT MY FILES(내 파일을 복구하는 법)이라는 텍스트 파일과 'Attention. Your documents, photo, database and other important files have been encrypted(경고. 당신의 문서, 사진, 데이터 그리고 다른 중요한 파일들이 암호화되었습니다.)라고 반복해서 말하는 음성 파일 및 웹 링크 등이 추가된다. 해결방법으로는 해커에게 돈을 지불하거나 전문 복구 업체의 도움을 받아야하는데, 해커에게 돈을 지불해도 금전만을 챙기고 복구해주지 않고 복구 업체도 약 30% 정도의 낮은 복구 확률을 보인다. 강제로 종료할 경우 검은색 화면으로 변경되고 제어판 및 프로그램의 실행이 불가하여 PC의 기능이 마비된다. 강제 종료 이후에는 현금을 요구하는 창도 없어지지만 검은색 화면에 마우스만 떠있는 상태가 된다.[3]
- 케르베르3(Cerber3)
- 케르베르 랜섬웨어의의 변종이다. 감염 시 파일의 확장자를 .cerber3로 변경하고, 평균 1BTC를 요구하며 모든 폴더 경로마다 결제를 위한 파일을 생성해둔다.[3]
- 케르베르4, 5, 6(Cerber4, 5, 6)
- 케르베르 랜섬웨어의 변종으로 2016년 10월부터 지속적으로 업데이트 되고 있다. 파일명을 랜덤으로 임의 수정하고 파일의 확장자를 랜덤으로 4자리(알파벳 + 숫자)로 수정 후 암호화하여 README.hta나 README.hta 또는 R_E_A_D__T_H_I_S.[Random].hta 파일을 생성한다. 아직까지는 복호키가 없어 무료로 복구하는 방법은 없으며 복구확률도 낮으므로 백업해두는 것이 가장 좋은 방법이다.(2017년 2월 기준) 한편 케르베르(cerber~) 계열의 랜섬웨어는 초록색 글씨의 형태를 취하는데 케르베르6(Creber6)의 경우 붉은색 바탕에 흰색 글씨를 쓰는 방식을 취한다. 케르베르6(Cerber6)는 버전명을 쓰지 않는다.[3]
- CRBR Encryptor
- 2017년 중반부터 새롭게 등장한 변종으로 비트코인 탈취 기능이 추가되었다.[3]
매그니베르(Magniber) 계열[편집]
- 매그니베르 랜섬웨어(Magniber Ransomware)
- Cerber 랜섬웨어의 후속작으로 볼 수 있으며, 2019년 현재까지도 많은 피해를 주고있는 랜섬웨어이다. 주로 윈도우나 IE의 오래된 보안 취약점을 이용하여 감염되며, 보안 업데이트가 미비한 PC가 감염되기 쉽다. 감염되면 redme.txt라는 랜섬노트가 생성된다. 2018년 4월 안랩에서 복호화 툴이 나왔지만 변종이 다시나오면서 현재까지 복호화 툴을 배포하지 않았다. 따라서 다른 랜섬웨어와 마찬가지로 꾸준한 업데이트와 백업이 제일 좋은 방법.[3]
락커(~Locker) 계열[편집]
- 시놀락커(SynoLocker)
- 시놀로지 NAS에 감염되는 랜섬웨어다. DSM 4.3버전 이하의 취약점을 이용해 침투하기 때문에 최신 DSM을 사용하면 보안가능하다.[3]
- 나부커(NsbLocker)
- 복호화키를 요구하지 않기 때문에, V3를 포함한 웬만한 백신으로 암호해제가 가능하다. 랜섬웨어 종류 중에서 가장 약하다.[3]
- 크리트로니(CTBLocker)
- 2014년 7월에 공개된 랜섬웨어이다. 시비티락커(CTBLocker) 혹은 크리트로니(Critroni)라고 불리며 스팸메일로 유포되는 다운로더에 의해 생성 및 실행된다. 첨부 파일에 포함되어 있는 다운로더는 .zip 또는 .cab 형태로 압축되어 유포되며, 압축 해제된 파일은 .scr 확장자를 갖고 있다. 실행하면 %TEMP% 폴더에 정상 .rtf 파일을 생성 및 실행해서 마치 문서 파일처럼 위장하지만 백그라운드에서는 사용자 몰래 악성코드를 다운로드 한다.[6]
- 토르락커(TorLocker)
- 일본의 익명 커뮤니티 사이트인 5채널(5ch)의 유저에 의해 제작된 랜섬웨어이다. 다른 랜섬웨어와 비슷한 시스템을 채택하고 있으며 주로 일본에서만 많이 감염되고 있다. 일본 사이트를 자주 경유하는 국내의 컴퓨터의 경우 감염되기 쉽고, 복호화 툴은 몇 가지가 존재하지만 100% 복구해주는 툴은 없다. 과거엔 2채널(2ch) 게시판에서 이용자끼리 서로를 괴롭히려고 만들었지만 현재도 게속 업데이트가 진행되고 있고, 2019년 초를 기점으로 변종이 생겼다. 해당 변종은 한국어가 나와있는 것으로 일본 극우에 의해 악의적으로 유포되어 범인을 한국으로 몰아가려고 하는 목적으로 쓰이고 있다.[3]
- 록키(Locky)
- 록커(Locker) 계통 중에서 가장 강력한 랜섬웨어로 크립토 계열과 마찬가지로 RSA-2048과 AES-128 유형의 암호화 기법을 사용한다. 국내도 타깃으로 하고 있으며 .hwp파일까지 암호화하며 Office의 매크로를 통해 일부 기관등에 유포되어 2016년에는 해당 랜섬웨어가 악명을 떨쳤다. 주로 스팸메일로 통해 유포되며, 가끔 자신에게 쓴 메일인척 위장하는 경우도 있으므로 메일에 항상 주심해야한다. 제목이 Invoice(송장), Document(문서)로 시작한다면 의심해보는 것이 가장 좋은 방법이며 현재 zepto, thor, odin, loptr, osiris, zzzzz, aesir, shit, diablo6, lukitus, ykcol, asasin 등의 형태로 바꾸는 변종까지 등장했다. 아직까지도 그렇다할만한 복호화 키가 존재하지 않은 상태이며, 복호화 가격은 0.5~5BTC사이이다.(2017년 10월 기준)[3]
MBR 훼손 계열[편집]
- 낫페트야(NotPetya)
- 2017년 6월 26일 우크라이나를 공격한 후 한동안 확산되었던 낫페트야(NotPetya)는 감염 증상이 비슷하여 처음엔 페트야(petya)의 변종이라고 불렸다. 하지만 MBR의 복사본을 보관하지 않기 때문에 복호화 키가 있어도 실제로는 복구할 수 없다는 점 등 낫페트야와 상이한 특징을 가져 보안 전문가들 사이에서도 페트야와 다른 신종 랜섬웨어라는 의견이 분분했다. 6월 30일 이후로는 랜섬웨어인 척 하는 와이퍼 악성코드일 가능성이 높아졌다. 워너크라이(WannaCry)처럼 NSA의 이터널블루를 이용하거나, 복호화 키를 줄테니 비트코인을 보내라고 하는 것은 랜섬웨어인 척 해서 실제 목적을 감추려고 한 것 같다는 의견 또한 있었다. 이후 해외 언론에서는 낫페트야는 랜섬웨어가 아닌 것으로 수정했지만, 한국 언론은 아직까지도 랜섬웨어로 보도하는 곳이 대부분이다.(2017년 10월 기준) 또한 그 해 10월에는 낫페트야와 마찬가지로 NSA의 취약점 공격 소스 중 하나인 이터널로맨스를 이용해 낫페트야의 변종으로 추정되는 랜섬웨어 배드 래빗(Bad Rabbit)이 등장했다. 생각보다 해결방법도 간단한데 UEFI 환경에서 감염이 된 경우에는 펌웨어 파티션만 새로 만들면 되기에 윈도우를 통째로 건들일 필요가 없으므로 타격이 크지 않다고 할 수 있다.[3]
- 산타나(Santana)
- 페트야(Petya)와 비슷한 증상을 일으키나 암호화 방식이 다르다. 유사 카피캣으로 생각하면 된다.[3]
- 골든아이(goldeneye)
- 미샤와 페트야의 업그레이드 버전이며 파일, MBR까지 통째로 암호화시켜 버린다. 그러나 사용자 계정 컨트롤에서 아니오를 누를 경우 파일만 암호화시킨다. 또한 사용자 보안 옵션을 한 단계 낮출경우 그대로 둘 수 있다.[3]
그 외[편집]
- 폴리스랜섬 : 법 집행기관을 가장한 랜섬웨어이다. 폴리스랜섬은 경찰국에서 사용하는 알림 페이지를 표시하며 온라인 상에서의 불법 행위 또는 악의적 행위로 인해 체포 영장이 발부되었다는 내용을 통보하여 파일을 보면 감염시키는 방식으로 진행된다.
- 더티디크립트 : 더티디크립트는 사진, 음악, 비디오, 문서 등과 같은 파일을 감염시킨다. 또한 감염시 디크립트라는 복구시키고 싶으면 디크립트 파일을 실행하라고 요구하며 돈을 요구한다.
- 버록 : 2014년에 발견된 랜섬웨어로 국가안보국(NSB)로 위장하여 코인을 요구하며 기기의 스크린을 잠그고 기기의 파일도 감염시킨다.
- 랜섬32(ransom3) : 기존의 랜섬웨어는 웹과 관련된 취약점을 이용하여 감염되는 반면, 랜섬32는 정상 파일로 가장하여 사용자가 직접 다운로드하여 실행까지 해야 실행되는 랜섬웨어이다.
- 라다먼트(radamant) : 확장자 rrk(변종으로 rmd). 한국어로 안내해줄 뿐 아니라 알집 확장자인 alz까지 변환시켜버리는 랜섬웨어이다.
- 엑스크립티드(Xrypted) : RSA-4096으로 암호화 시켜버린다. 테슬라크립트(TeslaCrypt)와 유사한 형식을 띄고있다.
- 코리안랜섬웨어(KoreanRansomware) : 국내에서 개발된 랜섬웨어로 카카오톡 설치 파일로 위장하였으며, 감염 후 나타나는 화면도 한국어로 되어있다.
- 에레버스(erebus) : 에레버스는 윈도우를 타깃으로 한 랜섬웨어이나 리눅스를 서버를 사용하는 인터넷나야나의 서버를 감염시켰으며 에레버스의 리눅스를 대상으로한 변종이 생겼음을 알렸고 막대한 피해를 입혔다.
- 워너크라이(WannaCry) : 2017년 5월 전 세계에 피해를 준 랜섬웨어이다. 마이크로소프트 윈도우즈(Microsoft Windows)의 SMBv2 원격코드 실행 취약점을 약용하였으며, 기존과 달리 인터넷만 연결되어 있어도 감염이되어 전파력이 파급적으로 빨라 이슈가 되어 랜섬웨어라는 이름을 알리게 되었다.
- 시키호(sihkiihaw) : 2018년 6월 5일에 발생한 랜섬웨어로 매그니베르(Magniber)의 변종이다.
- 소디노키비(sodinokibi) : 갠드크랩 랜섬웨어의 변종으로 현재 국내 URL을 통해 감염시키고 있다. 소디노키비에 감염된다면 배경이 갠드크랩 랜섬웨어와 달리 파란색 배경화면으로 변경되며 랜섬노트를 열어서 돈을 지불하라는 문구가 나타난다.[3]
감염 및 예방[편집]
감염경로[편집]
- 신뢰할 수 없는 사이트
- 스팸메일
- sns 서비스
- 광고배너
- P2P 사이트[4]
감염시 증상[편집]
- 주요 시스템 파일이 열리지 않는다.
- CPU와 램 사용량이 급격히 증가한다.
- 백신프로그램이 강제로 종료되거나, 중지 또는 오류가 지속적으로 발생한다.
- 파일들의 확장명이 변경된다. (예 : 한글파일의 확장자인 hwp 가 hwp.abc 나, adfdw 등과 같이 이상한 확장자로 변경된다. 확장자가 이상한 경우 파일은 열리지 않으며 사용자가 다시 원상태로 돌릴 수 없다.)
- 윈도우 복원시점을 제거한다.[4]
예방법[편집]
- 기존의 서버-클라이언트 구조에서는 중앙 서버가 랜섬웨어 공격을 당하면 전체 서비스가 마비되는 문제가 있다. 그러나 블록체인 방식으로 전 세계 여러 서버에 데이터를 분산 저장할 경우 랜섬웨어 공격을 막을 수 있다.
- 방화벽 설정 변경
- 모든 소프트웨어 최신 업데이트 유지
- 백신소프트웨어 설치 및 최신버전 유지
- 출처가 불분명한 첨부파일이나, URL은 열지 않는다.
- 불법 공유사이트 이용 시 유의
- 주기적인 백업
- SMB 포트 차단
- SMB 1.0/CIFS 파일 공유 지원 해제[4]
각주[편집]
- ↑ 〈랜섬웨어〉, 《네이버 지식백과》
- ↑ 2.0 2.1 이지영 기자, 〈랜섬웨어 사용자 PC를 인질로 삼는 보안 공격〉, 《네이버 캐스트》, 2017-03-02
- ↑ 3.00 3.01 3.02 3.03 3.04 3.05 3.06 3.07 3.08 3.09 3.10 3.11 3.12 3.13 3.14 3.15 3.16 〈랜섬웨어〉, 《나무위키》
- ↑ 4.0 4.1 4.2 4.3 4.4 4.5 〈랜섬웨어〉, 《위키백과》
- ↑ 나무위키 CryptoLocker - https://namu.wiki/w/CryptoLocker
- ↑ 시나브로(vusghtjd2), 〈시티비락커/크리트로니 (CtbLocker/Critroni)〉, 《네이버 블로그》, 2016-07-06
참고자료[편집]
- 〈랜섬웨어〉, 《나무위키》
- 〈랜섬웨어〉, 《위키백과》
- 〈랜섬웨어(사용자 PC를 인질로 삼는 보안 공격)〉, 《네이버 지식백과》
- 시나브로(vusghtjd2), 〈시티비락커/크리트로니 (CtbLocker/Critroni)〉, 《네이버 블로그》, 2016-07-06
같이 보기[편집]