검수요청.png검수요청.png

"레베톤"의 두 판 사이의 차이

위키원
이동: 둘러보기, 검색
잔글
 
(다른 사용자 한 명의 중간 판 하나는 보이지 않습니다)
2번째 줄: 2번째 줄:
  
 
== 개요 ==
 
== 개요 ==
2012년 경찰을 사칭한 [[랜섬웨어]]가 등장했
+
2012년 경찰을 사칭한 [[랜섬웨어]] 가 등장했다. 경찰 메시지에 사용되는 알림을 표시하여 사용자가 온라인상에서 불법 행위를 저질렀다는 문구와 함께 금전을 요구한다. 레베톤 랜섬웨어는 이것의 상위 버전이며 주로 [[FBI]] 연방 수사국 마크와 함께 "위반 사항 발견: 당신의 IP 주소에서 포르노 사진과 아동 포르노, 동물 수간 및 아동 학대를 포함한 웹사이트를 방문하였다."라는 메시지를 출력한다. 이를 통해 성인물 사이트 운영자 및 불법 콘텐츠 운영자들이 가장 많이 피해를 보았다. [[레베톤]] 랜섬웨어의 특징은 [[제우스]] 및 [[시타델]] 기반으로 제작되었으며, 복호화 비용이 아닌 벌금을 지불하라는 문구를 나타낸다. 그리고 다양한 지급 방식을 통해 자금 추적이 어렵다. 변종된 레베톤은 지리 위치를 추적하여 사용자의 거주지가 미국이면 FBI, 프랑스이면 Gendarmerie Nationale의 통보 메시지를 전달하거나, 모국어를 이용한 음성 녹음, 가짜 디지털 인증서 등 다양하게 존재한다. <ref>〈[http://a.to/19N6FlG 레베톤(Reveton) 랜섬웨어 분석 - 악성코드 분석 시리즈]〉, 《교보 eBook》</ref>
 
 
. 경찰 메시지에 사용되는 알림을 표시하여 사용자가 온라인상에서 불법 행위를 저질렀다는 문구와 함께 금전을 요구한다. 레베톤 랜섬웨어는 이것의 상위 버전이며 주로 [[FBI]] 연방 수사국 마크와 함께 "위반 사항 발견: 당신의 IP 주소에서 포르노 사진과 아동 포르노, 동물 수간 및 아동 학대를 포함한 웹사이트를 방문하였다." 라는 메시지를 출력한다. 이를 통해 성인물 사이트 운영자 및 불법 콘텐츠 운영자들이 가장 많이 피해를 보았다. [[레베톤]] 랜섬웨어의 특징은 [[제우스]] 및 [[시타델]] 기반으로 제작되었으며, 복호화 비용이 아닌 벌금을 지불하라는 문구를 나타낸다. 그리고 다양한 지불 방식을 통해 자금 추적이 어렵다. 변종된 레베톤은 지리 위치를 추적하여 사용자의 거주지가 미국이면 FBI, 프랑스이면 Gendarmerie Nationale의 통보 메시지를 전달하거나, 모국어를 이용한 음성 녹음, 가짜 디지털 인증서 등 다양하게 존재한다. <ref>〈[http://a.to/19N6FlG 레베톤(Reveton) 랜섬웨어 분석 - 악성코드 분석 시리즈]〉, 《교보 eBook》</ref>
 
  
 
== 등장배경 ==
 
== 등장배경 ==
경찰을 사칭해서, 온라인상에서 불법 행위를 저질렀다는 문구를 보여주고 금전을 요구하는 레베톤(Reveton) 랜섬웨어가 2012년에 등장한다. 비교적 초기 랜섬웨어들은 ‘망신을 준다’나 ‘경찰에 신고’한다를 주 메시지로 활용해 피해자들을 겁줬다. 2012년엔 이렇게 경찰 기관을 사칭한 랜섬웨어가 급증했다. 즉, 피해자들 대부분 ‘경찰’이라는 말에 뜨끔한 부류들이었던 . 성인물 사이트 운영자나 불법 콘텐츠 유포자들이 가장 많이 당했다. 그런 트렌드의 한 가운데에 레베톤이 있었다. 레베톤은 제우스(Zeus) 및 시타델(Citadel)을 기초로 만들어졌으며 가짜 FBI 로고를 들고 다녔다. 사용자들에게 요구한 건 ‘복호화 값’이 아니라 ‘벌금’이었다. <ref>〈[https://www.boannews.com/media/view.asp?idx=50385 랜섬웨어 발전에 대한 아주 간단한 역사]〉 </ref>
+
경찰을 사칭해서, 온라인상에서 불법 행위를 저질렀다는 문구를 보여주고 금전을 요구하는 레베톤(Reveton) 랜섬웨어가 2012년에 등장했다. 비교적 초기 랜섬웨어들은 ‘망신을 준다’나 ‘경찰에 신고’한다를 주 메시지로 활용해 피해자들을 겁을 줬다. 2012년엔 이렇게 경찰 기관을 사칭한 랜섬웨어가 급증했다. 즉, 피해자들 대부분 ‘경찰’이라는 말에 뜨끔한 부류들이었던 것이다. 성인물 사이트 운영자나 불법 콘텐츠 유포자들이 가장 많이 당했다. 그런 트렌드의 한 가운데에 레베톤이 있었다. 레베톤은 제우스(Zeus) 및 시타델(Citadel)을 기초로 만들어졌으며 가짜 FBI 로고를 들고 다녔다. 사용자들에게 요구한 건 ‘복호화 값’이 아니라 ‘벌금’이었다. <ref>〈[https://www.boannews.com/media/view.asp?idx=50385 랜섬웨어 발전에 대한 아주 간단한 역사]〉 </ref>
  
 
=== 랜섬웨어의 역사 ===
 
=== 랜섬웨어의 역사 ===
  
 
* 초창기
 
* 초창기
: 랜섬웨어의 감염 사례는 2005년에서 2006년 사이에 러시아에서 처음 확인되었다. 2006년 우리가 이 사건을 처음 보고하였는데 당시 이 랜섬웨어 변종은 특정 유형의 파일들을 압축 후 덮어쓰기 하였고 이에 사용자의 시스템에는 암호가 설정된 zip 파일들만 남게 되었습니다. 그리고 300달러를 지불하면 파일을 복원시켜 주겠다는 내용의 메시지가 담긴 노트패드를 남겼다. 초창기의 랜섬웨어는 특정 파일 유형(.DOC, .XL, .DLL, .EXE 등)을 암호화한 평범한 파일이었다. 2011년에도 우리가 처음으로 SMS 랜섬웨어 위협에 대해 보고하였다. 이 랜섬웨어의 경우 감염된 시스템을 사용하는 사용자에게 프리미엄 SMS 번호로 전화를 걸도록 요구하였다. TROJ_RANSOM.QOWA로 명명된 이 변종은 사용자가 프리미엄 번호로 전화를 걸어 비용을 지불할 때까지 반복적으로 랜섬웨어 페이지를 표시한다. 우리는 이 랜섬웨어가 취약한 시스템의 [[MBR(마스터 부트 레코드)]]을 감염시킨다는 사실을 확인하였다. MBR을 표적으로 하는 이 변종은 운영 체제가 실행되지 못하도록 하며 이를 위해 본래의 MBR을 복사한 후 악성 코드로 덮어쓰기 한다. 그런 다음에는 시스템을 감염시키기 위해 자동으로 재부팅한다. 시스템이 재부팅되면 랜섬웨어가 러시아어로 된 알림 메시지를 표시한다.
+
: 랜섬웨어의 감염 사례는 2005년에서 2006년 사이에 러시아에서 처음 확인되었는데 2006년 우리가 이 사건을 처음 보고하였다. 당시 이 랜섬웨어 변종은 특정 유형의 파일들을 압축 후 덮어쓰기 하였고 이에 사용자의 시스템에는 암호가 설정된 zip 파일들만 남게 되었다. 그리고 300달러를 지불하면 파일을 복원시켜 주겠다는 내용의 메시지가 담긴 노트패드를 남겼다. 초창기의 랜섬웨어는 특정 파일 유형(.DOC, .XL, .DLL, .EXE 등)을 암호화한 평범한 파일이었다. 2011년에도 우리가 처음으로 SMS 랜섬웨어 위협에 대해 보고했다. 이 랜섬웨어의 경우 감염된 시스템을 사용하는 사용자에게 프리미엄 SMS 번호로 전화를 걸도록 요구하였는데 TROJ_RANSOM.QOWA로 명명된 이 변종은 사용자가 프리미엄 번호로 전화를 걸어 비용을 지불할 때까지 반복적으로 랜섬웨어 페이지를 표시한다. 우리는 이 랜섬웨어가 취약한 시스템의 [[MBR(마스터 부트 레코드)]]을 감염시킨다는 사실을 확인하였고 MBR을 표적으로 하는 이 변종은 운영 체제가 실행되지 못하도록 하며 이를 위해 본래의 MBR을 복사한 후 악성 코드로 덮어쓰기 한다. 그런 다음에는 시스템을 감염시키기 위해 자동으로 재부팅한다. 시스템이 재부팅되면 랜섬웨어가 러시아어로 된 알림 메시지를 표시한다.
  
 
* 도약하는 랜섬웨어
 
* 도약하는 랜섬웨어
: 초기에는 러시아에서만 랜섬웨어 감염 사례가 나타났었다. 하지만 인기가 높아지고 수익성이 좋은 비즈니스 모델이었기에 머지않아 유럽의 여러 국가에서도 발견되기 시작했다. 2013년 3월, 우리는 유럽 전역과 미국 및 캐나다에서도 랜섬웨어가 계속 전파되고 있음을 확인하였다. TROJ_RANSOM.BOV와 마찬가지로, 이 랜섬웨어는 일반 랜섬 메시지가 아닌 피해자의 지역 경찰국이 사용하는 알림 페이지를 표시한다. 이 외에도 우리는 랜섬웨어 변종들을 전파하기 위한 다른 유형의 전술들도 확인하였다. 어떤 위협 행위자들은 프랑스의 유명한 사탕과자 매장의 웹사이트를 감염시켜 TROJ_RANSOM.BOV를 전파하였다. [[워터링홀]]과 유사한 이 전술로 인해 프랑스와 일본에 많은 피해자가 발생하였습니다. TROJ_RANSOM.BOV는 일반적인 랜섬 메시지 대신에 프랑스 경찰국인 Gendarmerie Nationale이 사용하는 것과 같은 가짜 공문을 표시한다.
+
: 초기에는 러시아에서만 랜섬웨어 감염 사례가 나타났다. 하지만 인기가 높아지고 수익성이 좋은 비즈니스 모델이었기에 머지않아 유럽의 여러 국가에서도 발견되기 시작했다. 2013년 3월, 우리는 유럽 전역과 미국 및 캐나다에서도 랜섬웨어가 계속 전파되고 있음을 확인했고, TROJ_RANSOM.BOV와 마찬가지로, 이 랜섬웨어는 일반 랜섬 메시지가 아닌 피해자의 지역 경찰국이 사용하는 알림 페이지를 표시한다. 이 외에도 우리는 랜섬웨어 변종들을 전파하기 위한 다른 유형의 전술들도 확인했다. 어떤 위협 행위자들은 프랑스의 유명한 사탕과자 매장의 웹사이트를 감염 시켜 TROJ_RANSOM.BOV를 전파하였다. [[워터링홀]]과 유사한 이 전술로 인해 프랑스와 일본에 많은 피해자가 발생하였다. TROJ_RANSOM.BOV는 일반적인 랜섬 메시지 대신에 프랑스 경찰국인 Gendarmerie Nationale이 사용하는 것과 같은 가짜 공문을 표시했다.
  
 
* 레베톤(Reveton) 또는 [[폴리스(Police)]] 랜섬웨어의 출현
 
* 레베톤(Reveton) 또는 [[폴리스(Police)]] 랜섬웨어의 출현
: 2012년 우리는 새로운 기법을 구사하는 다른 유형의 레베톤 변종을 발견하였고 하반기에는 피해자의 모국어를 이용한 음성 녹음을 재생시키는 변종들과 가짜 디지털 인증서를 이용하는 변종들에 대해서도 보고한 바 있다.
+
: 2012년 우리는 새로운 기법을 구사하는 다른 유형의 레베톤 변종을 발견하였고 하반기에는 피해자의 모국어를 이용한 음성 녹음을 재생시키는 변종들과 가짜 디지털 인증서를 이용하는 변종들에 대해서도 보고한 바 있었다.
  
 
* [[크립토락커(CryptoLocker)]]로의 진화
 
* [[크립토락커(CryptoLocker)]]로의 진화
: 2013년 말에는 새로운 유형의 랜섬웨어가 출현하였는데 이 랜섬웨어 변종들은 시스템을 잠그는 것 외에도 파일들을 암호화한다. 따라서 [[멀웨어]]가 삭제되더라도 사용자는 비용을 지불해야만 한다. 이러한 유형의 랜섬웨어를 행동 방식에 따라 “크립토락커”라고 부른다. 기존의 랜섬웨어들과 마찬가지로 이 멀웨어 역시 감염된 사용자들이 비용을 지불해야 암호화된 파일들을 해제시켜 준다. 크립토락커의 금품요구 메시지에는 암호화 기법으로써 “RSA-2048”가 사용된 것으로 명시되어 있지만 우리의 분석 자료에 의하면 이 멀웨어가 AES + RSA 암호화를 사용하는 것으로 나타났다. RSA는 비대칭 키 암호화 방식으로 두 개의 키를 사용한다는 뜻이다. 하나의 키는 데이터를 암호화하는데 사용되고 다른 키는 데이터의 암호를 해제하는데 사용된다. AES는 대칭 키를 사용하는데(즉, 정보의 암호화와 암호 해제에 동일한 키가 사용됨) 멀웨어는 AES 키를 이용하여 파일을 암호화한다. 암호 해제를 위한 AES 키는 멀웨어가 암호화한 파일에 기록된다. 이 키는 멀웨어에 포함되어 있는 RSA 공개 키로 암호화되며 따라서 이 키를 암호해제 하려면 개인 키가 필요하지만 안타깝게도 이 개인 키는 제공되지 않는다. 추가 조사에서 크립토락커 공격 배후에서 스팸 활동이 이루어지고 있다는 사실이 밝혀졌다. 스팸 메시지에는 파일 크기가 작고 다운로딩 기능이 있는 멀웨어 패밀리인 TROJ_UPATRE와 관련된 악성 첨부파일이 포함되어 있다. 이는 ZBOT 변종을 다운로드한 다음 크립토락커 멀웨어를 다운로드 한다. 2013년 말에는 전파 루틴을 가진 새로운 크립토락커 변종이 출현하였다. WORM_CRILOCK.A라 명명된 이 변종은 휴대용 드라이브를 통해 전파될 수 있는데 이는 다른 CRILOCK 변종에서는 볼 수 없는 루틴이다. 따라서 다른 변종에 비해 이 멀웨어는 매우 쉽게 전파될 수 있다. 이 새로운 변종은 시스템 감염을 위해 CRILOCK와 같은 다운로더 멀웨어를 이용하지 않고 P2P 파일 공유 사이트에서 사용되는 소프트웨어 실행용 프로그램으로 가장한다. 곧이어 또 다른 파일 암호화 랜섬웨어가 나타났는데 이 멀웨어는 CryptoDefense 또는 Cryptorbit라고 알려져 있으며 다른 암호화 랜섬웨어와 마찬가지로 암호해제를 조건으로 금품을 요구한다. 트렌드마이크로가 TROJ_CRYPTRBIT.H로 명명한 이 변종은 데이터베이스, 웹, Office, 동영상, 이미지, 스크립트, 텍스트 및 그 밖의 non-binary 파일들을 암호화하며 암호화된 파일을 복구하지 못하도록 백업 파일을 삭제한다.
+
: 2013년 말에는 새로운 유형의 랜섬웨어가 출현하였다. 이 랜섬웨어 변종들은 시스템을 잠그는 것 외에도 파일들을 암호화하여 [[멀웨어]]가 삭제되더라도 사용자는 비용을 지불해야만 한다. 이러한 유형의 랜섬웨어를 행동 방식에 따라 “크립토락커”라고 부른다. 기존의 랜섬웨어들과 마찬가지로 이 멀웨어 역시 감염된 사용자들이 비용을 지불해야 암호화된 파일들을 해제 시켜 준다. 크립토락커의 금품요구 메시지에는 암호화 기법으로써 “RSA-2048”가 사용된 것으로 명시되어 있지만 우리의 분석 자료에 의하면 이 멀웨어가 AES + RSA 암호화를 사용하는 것으로 밝혀졌다. RSA는 비대칭 키 암호화 방식으로 두 개의 키를 사용한다는 뜻이다. 하나의 키는 데이터를 암호화하는데 사용되고 다른 키는 데이터의 암호를 해제하는데 사용된다. AES는 대칭 키를 사용하는데(즉, 정보의 암호화와 암호 해제에 동일한 키가 사용됨) 멀웨어는 AES 키를 이용하여 파일을 암호화한다. 암호 해제를 위한 AES 키는 멀웨어가 암호화한 파일에 기록되는데 이 키는 멀웨어에 포함되어 있는 RSA 공개 키로 암호화되며 따라서 이 키를 암호해제 하려면 개인 키가 필요하지만 안타깝게도 이 개인 키는 제공되지 않는다. 추가 조사에서는 크립토락커 공격 배후에서 스팸 활동이 이루어지고 있다는 사실이 밝혀졌다. 스팸 메시지에는 파일 크기가 작고 다운로딩 기능이 있는 멀웨어 패밀리인 TROJ_UPATRE와 관련된 악성 첨부파일이 포함되어 있는데 이는 ZBOT 변종을 다운로드한 다음 크립토락커 멀웨어를 다운로드 한다. 2013년 말에는 전파 루틴을 가진 새로운 크립토락커 변종이 출현하였고 WORM_CRILOCK.A라 명명된 이 변종은 휴대용 드라이브를 통해 전파될 수 있는데 이는 다른 CRILOCK 변종에서는 볼 수 없는 루틴이다. 따라서 다른 변종에 비해 이 멀웨어는 매우 쉽게 전파될 수 있다. 이 새로운 변종은 시스템 감염을 위해 CRILOCK와 같은 다운로더 멀웨어를 이용하지 않고 P2P 파일 공유 사이트에서 사용되는 소프트웨어 실행용 프로그램으로 가장한다. 곧이어 또 다른 파일 암호화 랜섬웨어가 나타났는데 이 멀웨어는 CryptoDefense 또는 Cryptorbit라고 알려져 있고 다른 암호화 랜섬웨어와 마찬가지로 암호해제를 조건으로 금품을 요구한다. 트렌드마이크로가 TROJ_CRYPTRBIT.H로 명명한 이 변종은 데이터베이스, 웹, Office, 동영상, 이미지, 스크립트, 텍스트 및 그 밖의 non-binary 파일들을 암호화하며 암호화된 파일을 복구하지 못하도록 백업 파일을 삭제한다.
  
 
* 암호화폐(Cryptocurrency)에 대한 절도 시도
 
* 암호화폐(Cryptocurrency)에 대한 절도 시도
: 랜섬웨어는 암호화폐(예, [[비트코인]]) 절도와 같은 다른 전술과 결합되기 시작했고 우리는 BitCrypt라 불리는 이 신종 멀웨어의 두 가지 변종을 발견하였다. 첫 번째 변종인 TROJ_CRIBIT.A는 암호화된 파일에 “.bitcrypt”이라는 확장자를 첨부하고 영어로만 된 금품요구 메시지를 사용한다. 두 번째 변종인 TROJ_CRIBIT.B는 “.bitcrypt 2″를 첨부하고 10가지 언어로 된 다국어 금품요구 메시지를 사용한다. CRIBIT 변종은 암호화 [[알고리즘]] RSA(426)-AES와 RSA(1024)-AES를 이용하여 파일을 암호화하며 파일의 암호 해제를 위해선 비트코인으로 비용을 지불할 것을 요구한다. 페어릿(FAREIT) 정보 절도 멀웨어의 변종인 TSPY_FAREIT.BB가 TROJ_CRIBIT.B를 다운로드한다는 사실도 밝혀졌다. 이 [[페어릿(FAREIT)]] 변종은 wallet.dat(Bitcoin), electrum.dat (Electrum) 및 .wallet (MultiBit)과 같은 다양한 암호화폐 지갑의 정보를 빼낼 수 있다. 이 파일에는 거래 기록, 사용자 선호도 및 계정과 같은 중요한 정보가 들어있다.<ref name="trendmicro">〈[https://www.trendmicro.co.kr/kr/security-intelligence/ransomware/definition/index.html 랜섬웨어 정의 및 종류]〉, 《trendmicro》</ref>
+
: 랜섬웨어는 암호화폐(예, [[비트코인]]) 절도와 같은 다른 전술과 결합되기 시작했고 우리는 BitCrypt라 불리는 이 신종 멀웨어의 두 가지 변종을 발견했다. 첫 번째 변종인 TROJ_CRIBIT.A는 암호화된 파일에 “.bitcrypt”이라는 확장자를 첨부하고 영어로만 된 금품요구 메시지를 사용한다. 두 번째 변종인 TROJ_CRIBIT.B는 “.bitcrypt 2″를 첨부하고 10가지 언어로 된 다국어 금품요구 메시지를 사용한다. CRIBIT 변종은 암호화 [[알고리즘]] RSA(426)-AES와 RSA(1024)-AES를 이용하여 파일을 암호화하며 파일의 암호 해제를 위해선 비트코인으로 비용을 지불할 것을 요구한다. 페어릿(FAREIT) 정보 절도 멀웨어의 변종인 TSPY_FAREIT.BB가 TROJ_CRIBIT.B를 다운로드한다는 사실도 밝혀졌다. 이 [[페어릿(FAREIT)]] 변종은 wallet.dat(Bitcoin), electrum.dat (Electrum) 및 .wallet (MultiBit)과 같은 다양한 암호화폐 지갑의 정보를 빼낼 수 있는데 이 파일에는 거래 기록, 사용자 선호도 및 계정과 같은 중요한 정보가 들어있다.<ref name="trendmicro">〈[https://www.trendmicro.co.kr/kr/security-intelligence/ransomware/definition/index.html 랜섬웨어 정의 및 종류]〉, 《trendmicro》</ref>
  
 
== 특징 ==
 
== 특징 ==
2012년 알려진 레베톤(폴리스 랜섬웨어 또는 폴리스 트로얀이라고도 함)은 법 집행기관을 가장한 랜섬웨어입니다. 레베톤은 대표적인 차단형 랜섬웨어이다. 레베톤은 수사기관을 사칭하는 감염 화면 때문에 Police Trojan(경찰 트로이안)으로 널리 알려져 있습니다. 이 멀웨어는 피해자 지역의 경찰국에서 사용하는 알림 페이지를 표시하며 온라인 상에서의 불법 행위 또는 악의적 행위로 인해 체포 영장이 발부되었다는 내용을 통보합니다. 사용자의 관할 경찰국을 알아내기 위해 레베톤 변종들은 피해자의 지리적 위치를 추적합니다. 즉, 미국에 사는 피해자는 FBI의 통보 메시지를 수신하게 되고 프랑스에 사는 피해자는 Gendarmerie Nationale의 통보 메시지를 수신하게 됩니다. 레베톤 변종은 초창기 랜섬웨어 공격과는 달리 다양한 지불 방식을 이용합니다. 시스템이 레베톤 변종에 감염되면, 사용자는 UKash, PaySafeCard 또는 MoneyPak으로 비용을 지불해야 합니다. 이와 같은 방식에서는 몸값을 입금받기 위한 정보가 포함되어 있기 때문에 수사기관에 의한 추적이 용이할 뿐만 아니라, 데이터에 대하여 전문적으로 깊이 있게 접근할 경우 바이러스를 손쉽게 우회할 수 있어 몸값 수금 확률이 매우 낮았습니다. 이러한 지불 방식들은 랜섬웨어 범죄자들의 익명성을 보장해주며 Ukash와 PaySafeCard의 경우 자금 추적이 어렵습니다.<ref name="trendmicro"></ref> <ref>〈[http://a.to/19SuWh8 랜섬웨어의-진화와-피해사례]〉 </ref>  
+
2012년 알려진 레베톤(폴리스 랜섬웨어 또는 폴리스 트로얀이라고도 함)은 법 집행기관을 가장한 랜섬웨어입니다. 레베톤은 대표적인 차단형 랜섬웨어이다. 레베톤은 수사기관을 사칭하는 감염 화면 때문에 Police Trojan(경찰 트로이안)으로 널리 알려져 있다. 이 멀웨어는 피해자 지역의 경찰국에서 사용하는 알림 페이지를 표시하며 온라인 상에서의 불법 행위 또는 악의적 행위로 인해 체포 영장이 발부되었다는 내용을 통보한다. 사용자의 관할 경찰국을 알아내기 위해 레베톤 변종들은 피해자의 지리적 위치를 추적한다. 즉, 미국에 사는 피해자는 FBI의 통보 메시지를 수신하게 되고 프랑스에 사는 피해자는 Gendarmerie Nationale의 통보 메시지를 수신하게 되는데 레베톤 변종은 초창기 랜섬웨어 공격과는 달리 다양한 지불 방식을 이용한다. 시스템이 레베톤 변종에 감염되면, 사용자는 UKash, PaySafeCard 또는 MoneyPak으로 비용을 지불해야 한다. 이와 같은 방식에서는 몸값을 입금받기 위한 정보가 포함되어 있기 때문에 수사기관에 의한 추적이 용이할 뿐만 아니라, 데이터에 대하여 전문적으로 깊이 있게 접근할 경우 바이러스를 손쉽게 우회할 수 있어 몸값 수금 확률이 매우 낮았다. 이러한 지불 방식들은 랜섬웨어 범죄자들의 익명성을 보장해주며 Ukash와 PaySafeCard의 경우 자금 추적이 어렵다.<ref name="trendmicro"></ref> <ref>〈[http://a.to/19SuWh8 랜섬웨어의-진화와-피해사례]〉 </ref>  
  
 
== 랜섬웨어의 종류 ==  
 
== 랜섬웨어의 종류 ==  
 
* AIDS 트로이목마
 
* AIDS 트로이목마
: 최근까지 기승을 부리고 있는 크립토 시리즈 랜섬웨어들은 2005년에 처음 발견되었는데, 이 AIDS는 그보다 훨씬 빨리 등장한 거의 최초의 랜섬웨어라고 볼 수 있다. 플로피 디스크로 시스템들을 감염시키던 이 트로이목마는 한 매체의 표현에 의하면 “인터랙티브한 조사를 통해 사용자가 AIDS를 제거할 만한 위험성을 가지고 있는지를 가늠해본 후” 활동을 시작했다고 한다. 감염된 시스템을 사용자가 다시 켰을 경우 피해자의 파일은 전부 암호화처리 되고 “인증료”로 189달러를 요구했다고 한다. 돈은 파나마의 한 주소로 송금하도록 되어 있었다.
+
: 최근까지 기승을 부리고 있는 크립토 시리즈 랜섬웨어들은 2005년에 처음 발견되었는데, 이 AIDS는 그보다 훨씬 빨리 등장한 거의 최초의 랜섬웨어라고 볼 수 있다. 플로피 디스크로 시스템들을 감염시키던 이 트로이목마는 한 매체의 표현에 의하면 “인터랙티브한 조사를 통해 사용자가 AIDS를 제거할 만한 위험성을 가졌는지를 가늠해본 후” 활동을 시작했다고 한다. 감염된 시스템을 사용자가 다시 켰을 경우 피해자의 파일은 전부 암호화처리 되고 “인증료”로 189달러를 요구했다고 한다. 돈은 파나마의 한 주소로 송금하게 되어 있었다.
  
 
* 지피코더(GPCoder)
 
* 지피코더(GPCoder)
: 2005년에 등장한 랜섬웨어로 당시 크로튼(Krotten), 아키비우스(Archiveus)라는 랜섬웨어와 함께 멀웨어 트로이카를 구축했다. 물론 다른 랜섬웨어들도 이때 많이 등장했는데, 이 셋이 가장 두각을 나타냈다. 다른 것보다 암호화 방식이 가장 강력했기 때문이다. 당시 1024비트 RSA 암호화 방식을 사용하고 있었으며 브루트포스로 암호화를 무력화시키는 것도 불가능했다.  
+
: 2005년에 등장한 랜섬웨어로 당시 크로튼(Krotten), 아키비우스(Archiveus)라는 랜섬웨어와 함께 멀웨어 트로이카를 구축하였다. 물론 다른 랜섬웨어들도 이때 많이 등장했는데, 다른 것보다 암호화 방식이 가장 강력했기 때문에 이 셋이 가장 두각을 나타냈다. 당시 1024비트 RSA 암호화 방식을 사용하고 있었으며 브루트포스로 암호화를 무력화시키는 것도 불가능했다.  
  
 
* 분도(Vundo)
 
* 분도(Vundo)
: 분도는 2009년에 등장해 왕성하게 변종을 생성해냈다. 처음엔 랜섬웨어라기 보다 평범한 멀웨어였다. 사용자들에게 겁을 줘 가짜 보안 소프트웨어를 설치하도록 했는데, 이 가짜 소프트웨어가 멀웨어였던 것. 그것이 랜섬웨어로 방향을 튼 것이다. 수익이 더 낫기 때문이었다. 스케어웨어(scareware)가 랜섬웨어로 변신한 첫 번째 경우다. PDF, DOC, JPG 파일을 주로 노렸다.
+
: 분도는 2009년에 등장해 왕성하게 변종을 생성해냈다. 처음엔 랜섬웨어라기 보다 평범한 멀웨어였다. 사용자들에게 겁을 줘 가짜 보안 소프트웨어를 설치하도록 했는데, 이 가짜 소프트웨어가 멀웨어였던 것. 그것이 수익이 더 낫기 때문에 랜섬웨어로 방향을 튼 것이다. 스케어웨어(scareware)가 랜섬웨어로 변신한 첫 번째 경우다. PDF, DOC, JPG 파일을 주로 노렸다.
  
 
*'''레베톤(Reveton)'''
 
*'''레베톤(Reveton)'''
: 비교적 초기 랜섬웨어들은 ‘망신을 준다’나 ‘경찰에 신고’한다를 주 메시지로 활용해 피해자들을 겁줬다. 2012년엔 이렇게 경찰 기관을 사칭한 랜섬웨어가 급증했다. 즉, 피해자들 대부분 ‘경찰’이라는 말에 뜨끔한 부류들이었던 것. 성인물 사이트 운영자나 불법 콘텐츠 유포자들이 가장 많이 당했다. 그런 트렌드의 한 가운데에 레베톤이 있었다. 레베톤은 제우드(Zeus) 및 시타델(Citadel)을 기초로 만들어졌으며 가짜 FBI 로고를 들고 다녔다. 사용자들에게 요구한 건 ‘복호화 값’이 아니라 ‘벌금’이었다.
+
: 비교적 초기 랜섬웨어들은 ‘망신을 준다’나 ‘경찰에 신고’한다를 주 메시지로 활용해 피해자들에게 겁을 줬다. 2012년에는 이렇게 경찰 기관을 사칭한 랜섬웨어가 급증했다. 즉, 피해자들 대부분 ‘경찰’이라는 말에 뜨끔한 부류들이었던 것. 성인물 사이트 운영자나 불법 콘텐츠 유포자들이 가장 많이 당했다. 그런 트렌드의 한 가운데에 레베톤이 있었다. 레베톤은 제우스(Zeus) 및 시타델(Citadel)을 기초로 만들어졌으며 가짜 FBI 로고를 들고 다녔다. 사용자들에게 요구한 건 ‘복호화 값’이 아니라 ‘벌금’이었다.
  
 
* 크립토락커(CryptoLocker)
 
* 크립토락커(CryptoLocker)
46번째 줄: 44번째 줄:
  
 
* 크립토월(CryptoWall)
 
* 크립토월(CryptoWall)
: 2013년 11월에 처음 발견되었으며, 당시에는 크립토락커의 ‘짝퉁’ 쯤으로 받아들여졌다. 하지만 2014년 3월 즈음엔 크립토월 그 자체로 충분히 공포의 대명사가 되었다. 크립토월 1.0은 RSA 공공/개인 키를 활용했고 그 해 10월에는 C&C 서버를 토르로 바꿔 보안을 강화했다. 아직까지도 활발하게 활동하고 있으며 계속해서 진화하고 있다. 가장 강력한 랜섬웨어 중 하나다.
+
: 2013년 11월에 처음 발견되었으며, 당시에는 크립토락커의 '가짜' 쯤으로 받아들여졌다. 하지만 2014년 3월 즈음엔 크립토월 그 자체로 충분히 공포의 대명사가 되었다. 크립토월 1.0은 RSA 공공/개인 키를 활용했고 그 해 10월에는 C&C 서버를 토르로 바꿔 보안을 강화했다. 아직까지도 활발하게 활동하고 있으며 계속해서 진화하고 있다. 가장 강력한 랜섬웨어 중 하나다.
  
 
* 록키(Locky)
 
* 록키(Locky)
: 올해 초 등장한 록키뿐만 아니라 새내기 랜섬웨어들은 보다 공격적이고 집요해졌다. 번식력도 훨씬 좋아졌다. 록키는 올해 2월 처음 발견되었으며 이미 하루에 10만 대의 속도로 사용자 기기들을 감염시키고 있었다. 암호화 대상이 되는 파일 종류도 방대했으며, 특히 랜섬웨어로 단순히 협박을 하는 형태의 행각을 벌인 것만이 아니라 ‘다단계 사업’으로 진화한 것이 특징이다. 즉, 록키 랜섬웨어 파트너들을 모아 기술을 전수해주고 일정 수수료를 챙기는 식의 수익모델을 개발한 것이다.  
+
: 올해 초 등장한 록키뿐만 아니라 새내기 랜섬웨어들은 보다 공격적이고 집요해졌다. 번식력도 훨씬 좋아졌다. 록키는 올해 2월 처음 발견되었으며 이미 하루에 10만 대의 속도로 사용자 기기들을 감염시키고 있었다. 암호화 대상이 되는 파일 종류도 방대했고, 특히 랜섬웨어로 단순히 협박을 하는 형태의 행각을 벌인 것만이 아니라 ‘다단계 사업’으로 진화한 것이 특징이다. 즉, 록키 랜섬웨어 파트너들을 모아 기술을 전수해주고 일정 수수료를 챙기는 식의 수익모델을 개발한 것이다.  
  
 
* 키레인저(KeRanger)
 
* 키레인저(KeRanger)
: 바로 지난 달에 등장한 따끈따끈한 녀석으로 맥 환경을 노리는 것이 특징이다. 일반 랜섬웨어처럼 파일을 암호화하는 것은 물론 복구를 어렵게 하기 위해 맥에서 제공하는 복구 시스템인 타임머신(Time Machine) 마저도 무력화시킨다. 백업이 랜섬웨어의 근본적인 해결책이라고 하는데, 범죄자들은 그에 대한 답도 이미 가지고 있다는 의미로서 시사하는 바가 크다. <ref>〈[https://www.boannews.com/media/view.asp?idx=50385 랜섬웨어 발전에 대한 아주 간단한 역사]〉, 《보안뉴스》</ref>
+
: 가장 최근에 등장한 따끈따끈한 녀석으로 맥 환경을 노리는 것이 특징이다. 일반 랜섬웨어처럼 파일을 암호화하는 것은 물론 복구를 어렵게 하기 위해 맥에서 제공하는 복구 시스템인 타임머신(Time Machine) 마저도 무력화시킨다. 백업이 랜섬웨어의 근본적인 해결책이라고 하는데, 범죄자들은 그에 대한 답도 이미 가지고 있다는 의미로서 시사하는 바가 크다. <ref>〈[https://www.boannews.com/media/view.asp?idx=50385 랜섬웨어 발전에 대한 아주 간단한 역사]〉, 《보안뉴스》</ref>
  
 
== 대안 ==
 
== 대안 ==
 
=== 데이터 백업하기 ===
 
=== 데이터 백업하기 ===
현재 창궐하고 있는 랜섬웨어는 50종이 넘는다. 랜섬웨어 유포 방식도 이메일, 메신저, SNS 등 다양하다. 모든 랜섬웨어로부터 완벽하게 컴퓨터를 지킬 수 있는 방법은 없다. 철저한 예방만이 내 PC와 데이터를 지킬 수 있다. 경찰청 사이버안전국에 따르면, 중요한 자료와 업무용 파일은 PC와 분리된 저장소에 정기적으로 백업 또는 클라우드 서버에 업로드해야 한다. 이메일에 첨부된 파일은 지인이 보냈거나 단순 문서 파일이어도 섣불리 실행하지 않는 것이 좋다. 특히 요청한 자료가 아니면 유선 등으로 발신자와 확인 후 실행해야 한다. 메신저나 문자메시지에 첨부된 링크를 무심코 누르거나, [[토렌트]] 등을 통해 내려받은 파일을 실행할 때도 주의해야 한다. [[백신]] [[소프트웨어]]를 설치하고, 항상 최신 버전을 유지하는 게 중요하다. 교과서 같은 얘기지만, 가장 높은 예방법이다.그럼에도 불구하고 랜섬웨어에 PC가 감염됐다면, 경찰청은 당황하지 말고 다음과 같은 조치를 취하라고 권고한다.
+
현재 창궐하고 있는 랜섬웨어는 50종이 넘는데 랜섬웨어 유포 방식도 이메일, 메신저, SNS 등 다양하다. 모든 랜섬웨어로부터 완벽하게 컴퓨터를 지킬 방법은 없다. 철저한 예방만이 내 PC와 데이터를 지킬 수 있다. 경찰청 사이버안전국에 따르면, 중요한 자료와 업무용 파일은 PC와 분리된 저장소에 정기적으로 백업 또는 클라우드 서버에 올려야 한다. 이메일에 첨부된 파일은 지인이 보냈거나 단순문서 파일이어도 섣불리 실행하지 않는 것이 좋다. 특히 요청한 자료가 아니면 유선 등으로 발신자와 확인 후 실행해야 한다. 메신저나 문자메시지에 첨부된 링크를 무심코 누르거나, [[토렌트]] 등을 통해 내려받은 파일을 실행할 때도 주의해야 한다. [[백신]] [[소프트웨어]]를 설치하고, 항상 최신 버전을 유지하는 게 중요하다. 가장 높은 예방법이라고 할 수 있다. 그럼에도 불구하고 랜섬웨어에 PC가 감염됐다면, 경찰청은 당황하지 말고 다음과 같은 조처를 하라고 권고한다.
 
* 랜섬웨어 감염 시 외장하드나 공유폴더도 함께 암호화되므로 신속히 연결 차단
 
* 랜섬웨어 감염 시 외장하드나 공유폴더도 함께 암호화되므로 신속히 연결 차단
 
* 인터넷선과 PC 전원 차단
 
* 인터넷선과 PC 전원 차단
65번째 줄: 63번째 줄:
  
 
=== 안전모드나 부팅 ===
 
=== 안전모드나 부팅 ===
레베톤(Reveton)같은 랜섬웨어는 소비자들을 공포로 몰아넣었지만, 이를 막아낼 방법도 있다. 악성코드바이트(Malwarebytes)의 악성코드 분석가 아담 쿠자와는 "아주 많은 손쉬운 조치들을 취할 수 있다. 안전모드나 CD로 컴퓨터를 부팅하면 이런 랜섬웨어를 바로 없앨 수 있다"고 말한다.그러나 크립토락커같은 악성코드는 삭제한다고 문제가 해결되지 않는다. 쿠자와는 "감염을 없앤다고 하더라도 파일들은 여전히 잠겨있기 때문이다. 더 이상 문제는 실제 감염 제거에만 그치는 것이 아니라 그 파일들을 다시 찾아오는 것이 관건"이라고 말한다. 랜섬웨어 제조자들은 크립토락커 이전에도 암호화를 실험했다. 2007년 GP코드(GPCode) 혹은 시노월(Sinowal)이라는 일련의 악성 앱들이 감염된 컴퓨터상의 파일들을 암호화시켰지만, 이 암호화는 아주 약했고 전문가들이 쉽게 해결할 수 있는 수준이다. <ref>〈[http://www.itworld.co.kr/news/86443 "사상 최악의 악성코드" 렌섬웨어의 진화와 양산화]〉 </ref>
+
레베톤(Reveton)같은 랜섬웨어는 소비자들을 공포로 몰아넣었지만, 이를 막아낼 방법도 있었다. 악성코드 바이트(Malware bytes)의 악성코드 분석가 아담 쿠자와는 "아주 많은 손쉬운 조치를 취할 수 있다. 안전모드나 CD로 컴퓨터를 부팅하면 이런 랜섬웨어를 바로 없앨 수 있다"고 말한다. 그러나 크립토락커같은 악성코드는 삭제한다고 문제가 해결되지 않는다. 쿠자와는 "감염을 없앤다고 하더라도 파일들은 여전히 잠겨있기 때문이다. 더 이상 문제는 실제 감염 제거에만 그치는 것이 아니라 그 파일들을 다시 찾아오는 것이 관건"이라고 말했다. 랜섬웨어 제조자들은 크립토락커 이전에도 암호화를 실험했다. 2007년 GP코드(GPCode) 혹은 시노월(Sinowal)이라는 일련의 악성 앱들이 감염된 컴퓨터상의 파일들을 암호화시켰지만, 이 암호화는 아주 약했고 전문가들이 쉽게 해결할 수 있는 수준이다. <ref>〈[http://www.itworld.co.kr/news/86443 "사상 최악의 악성코드" 렌섬웨어의 진화와 양산화]〉 </ref>
  
 
=== 보안 솔루션을 사용해 랜섬웨어 탐지 ===
 
=== 보안 솔루션을 사용해 랜섬웨어 탐지 ===
81번째 줄: 79번째 줄:
 
== 레베톤에 관한 기사 ==
 
== 레베톤에 관한 기사 ==
 
* 2013년 하반기 최악의 랜섬웨어는 레베톤
 
* 2013년 하반기 최악의 랜섬웨어는 레베톤
: 2013년 말 크립토로커(CryptoLocker)가 수많은 컴퓨터 사용자를 괴롭혔다. 그러나 마이크로소프트의 최신 보안 보고서(Security Intelligence Report)에 따르면 크립토로커는 2013년 하반기 랜섬웨어 중에서 7위에 그쳤다. 자발적 윈도우 사용자 데이터를 조사해 발간하는 마이크로소프트의 이번 보안 보고서에 따르면 좀 더 전통적인 종류의 랜섬웨어 공격이 보다 위협적이었다. 단 크립토로커가 지난 해 10월에야 출현한 것도 한 이유다. 이번 보고서를 통해 랜섬웨어의 배포에 있어서 일부 흥미로운 패턴도 드러났는데, 남미나 아프리카, 중동, 아시아 일부 등 세계 일부 지역에서는 여전히 이런 공격이 거의 일어나지 않는다는 것이다. 즉 랜섬웨어의 공격 대상은 이런 요구에 지불할 돈이 있는 경제 지역에 한정되고 있었다. 가장 흔하게 발생하는 공격 방식은 레베톤과 같은 ‘경찰 경고’였다. 레베톤은 러시아 갱단이 주도하는 것으로 알려졌으며, 지난 2월에 경찰에 의해 범인들 일부가 검거되기도 했었다. 마이크로소프트의 자체 보안 소프트웨어에 의해 탐지되는 비율은 국가에 따라 달랐지만, 평균적으로 윈도우 사용자의 0.2%가 이런 위협을 받은 것으로 나타났다. 이는 지난 해 3분기의 0.4%에서 절반이 줄어든 수치이다. 평균치와 동일한 수준의 탐지율을 보인 것은 또 다른 경찰 경고 랜섬웨어인 'Urausy'로, 정확하게 0.2%를 기록했다. 규모가 작거나 심각도가 큰 크립토로커와 같은 랜섬웨어는 0.05% 정도의 아주 낮은 발생율을 기록했다. 한편 랜섬웨어의 발생율이 매우 낮은 것처럼 보일 수 있겠지만, 이 데이터는 마이크로소프트의 실시간 안티바이러스 소프트웨어를 구동하는 사용자 중 데이터를 공유하겠다고 허락한 사용자만을 측정한 것이기 때문이다. 랜섬웨어 공격이 가장 많이 탐지된 국가는 러시아로 1.62%를 기록했으며, 0.73%의 카자흐스탄, 0.62%의 그리스가 그 뒤를 이었다. 한편 랜섬웨어는 지속적으로 진화하고 있는데, 최근에는 PC 사용자를 대상으로 수년 간 사용한 수법을  적용해 안드로이드 스마트폰을 공격하는 것들도 등장했다. 일부 보고서는 안드로이드 랜섬웨어인 'Koler.a'를 크립토로커와 비교하기도 했다. 그러나 이는 다분히 과장된 측면이 있는데, 콜러의 경우 설치를 해제할 수 있는 반면, 크립토로커는 시스템 상에 발견된 모든 데이터 파일을 암호화해 암호키 없이는 복구할 수 없도록 만들어 버리기 때문이다.<ref>〈[http://www.ciokorea.com/news/20869 "2013년 하반기 최악의 랜섬웨어는 레베톤" MS 보안 보고서]〉, 《ciokorea》</ref>
+
: 2013년 말 크립토로커(CryptoLocker)가 수많은 컴퓨터 사용자를 괴롭히는데 그러나 마이크로소프트의 최신 보안 보고서(Security Intelligence Report)에 따르면 크립토로커는 2013년 하반기 랜섬웨어 중에서 7위에 그쳤다. 자발적 윈도우 사용자 데이터를 조사해 발간하는 마이크로소프트의 이번 보안 보고서에 따르면 좀 더 전통적인 종류의 랜섬웨어 공격이 위협적이었다. 단 크립토로커가 지난해 10월에야 출현한 것도 한 이유이다. 이번 보고서를 통해 랜섬웨어의 배포에 있어서 일부 흥미로운 패턴도 드러났는데, 남미나 아프리카, 중동, 아시아 일부 등 세계 일부 지역에서는 이런 공격이 거의 일어나지 않는다는 것이다. 즉 랜섬웨어의 공격 대상은 이런 요구에 지불할 돈이 있는 경제 지역에 한정되고 있었다. 가장 흔하게 발생하는 공격 방식은 레베톤과 같은 ‘경찰 경고’였는데 레베톤은 러시아 갱단이 주도하는 것으로 알려졌으며, 지난 2월에 경찰에 의해 범인들 일부가 검거되기도 했다. 마이크로소프트의 자체 보안 소프트웨어에 의해 탐지되는 비율은 국가에 따라 달랐지만, 평균적으로 윈도우 사용자의 0.2%가 이런 위협을 받은 것으로 나타났다. 이는 지난해 3분기의 0.4%에서 절반이 줄어든 수치이다. 평균치와 동일한 수준의 탐지율을 보인 것은 또 다른 경찰 경고 랜섬웨어인 'Urausy'로, 정확하게 0.2%를 기록했다. 규모가 작거나 심각도가 큰 크립토로커와 같은 랜섬웨어는 0.05% 정도의 아주 낮은 발생률을 기록했다. 한편 랜섬웨어의 발생율이 매우 낮은 것처럼 보일 수 있겠지만, 이 데이터는 마이크로소프트의 실시간 안티바이러스 소프트웨어를 구동하는 사용자 중 데이터를 공유하겠다고 허락한 사용자만을 측정한 것이기 때문이다. 랜섬웨어 공격이 가장 많이 탐지된 국가는 러시아였고 1.62%를 기록했으며, 0.73%의 카자흐스탄, 0.62%의 그리스가 그 뒤를 이었다. 한편 랜섬웨어는 지속해서 진화하고 있는데, 최근에는 PC 사용자를 대상으로 수년간 사용한 수법을  적용해 안드로이드 스마트폰을 공격하는 것들도 등장했다. 일부 보고서는 안드로이드 랜섬웨어인 'Koler.a'를 크립토로커와 비교하기도 하였다. 그러나 이는 다분히 과장된 측면이 있는데, 콜러의 경우 설치를 해제할 수 있지만, 크립토로커는 시스템상에 발견된 모든 데이터 파일을 암호화해 암호키 없이는 복구할 수 없도록 만들어 버리기 때문이다.<ref>〈[http://www.ciokorea.com/news/20869 "2013년 하반기 최악의 랜섬웨어는 레베톤" MS 보안 보고서]〉, 《ciokorea》</ref>
  
 
{{각주}}
 
{{각주}}
87번째 줄: 85번째 줄:
 
== 참고자료 ==
 
== 참고자료 ==
 
* 〈[https://terms.naver.com/entry.nhn?docId=3581192&cid=59088&categoryId=59096 랜섬웨어]〉, 《네이버 지식백과》
 
* 〈[https://terms.naver.com/entry.nhn?docId=3581192&cid=59088&categoryId=59096 랜섬웨어]〉, 《네이버 지식백과》
* trendmicro, 〈[https://www.trendmicro.co.kr/kr/security-intelligence/ransomware/definition/index.html 랜섬웨어 정의 및 종류]〉, 《trendmicro》
+
* trendmicro, 〈[https://www.trendmicro.co.kr/kr/security-intelligence/ransomware/definition/index.html 랜섬웨어 정의 및 종류]〉, 《트렌드마이크로》
 
* John P. Mello, Jr., 〈[http://www.itworld.co.kr/news/86443 "사상 최악의 악성코드" 렌섬웨어의 진화와 양산화]〉, 《IT월드》, 2014-03-11
 
* John P. Mello, Jr., 〈[http://www.itworld.co.kr/news/86443 "사상 최악의 악성코드" 렌섬웨어의 진화와 양산화]〉, 《IT월드》, 2014-03-11
 
* 대검찰청 사이버수사과, 〈[http://a.to/19SuWh8 랜섬웨어의-진화와-피해사례]〉, 《티스토리》, 2017-10-18
 
* 대검찰청 사이버수사과, 〈[http://a.to/19SuWh8 랜섬웨어의-진화와-피해사례]〉, 《티스토리》, 2017-10-18

2019년 8월 1일 (목) 14:02 기준 최신판

레베톤(Reveton)은 랜섬웨어 해킹 공격의 일종이다. 레베톤은 미 연방수사국(FBI) 등의 수사기관을 사칭한 해커가 이용자의 컴퓨터가 음란물 전파 등의 범죄행위에 사용되었음을 이유로 벌금을 내지 않으면 파일이나 폴더에 걸린 암호를 풀어주지 않겠다고 통보하여 돈을 뜯어내는 방법이다.

개요[편집]

2012년 경찰을 사칭한 랜섬웨어 가 등장했다. 경찰 메시지에 사용되는 알림을 표시하여 사용자가 온라인상에서 불법 행위를 저질렀다는 문구와 함께 금전을 요구한다. 레베톤 랜섬웨어는 이것의 상위 버전이며 주로 FBI 연방 수사국 마크와 함께 "위반 사항 발견: 당신의 IP 주소에서 포르노 사진과 아동 포르노, 동물 수간 및 아동 학대를 포함한 웹사이트를 방문하였다."라는 메시지를 출력한다. 이를 통해 성인물 사이트 운영자 및 불법 콘텐츠 운영자들이 가장 많이 피해를 보았다. 레베톤 랜섬웨어의 특징은 제우스시타델 기반으로 제작되었으며, 복호화 비용이 아닌 벌금을 지불하라는 문구를 나타낸다. 그리고 다양한 지급 방식을 통해 자금 추적이 어렵다. 변종된 레베톤은 지리 위치를 추적하여 사용자의 거주지가 미국이면 FBI, 프랑스이면 Gendarmerie Nationale의 통보 메시지를 전달하거나, 모국어를 이용한 음성 녹음, 가짜 디지털 인증서 등 다양하게 존재한다. [1]

등장배경[편집]

경찰을 사칭해서, 온라인상에서 불법 행위를 저질렀다는 문구를 보여주고 금전을 요구하는 레베톤(Reveton) 랜섬웨어가 2012년에 등장했다. 비교적 초기 랜섬웨어들은 ‘망신을 준다’나 ‘경찰에 신고’한다를 주 메시지로 활용해 피해자들을 겁을 줬다. 2012년엔 이렇게 경찰 기관을 사칭한 랜섬웨어가 급증했다. 즉, 피해자들 대부분 ‘경찰’이라는 말에 뜨끔한 부류들이었던 것이다. 성인물 사이트 운영자나 불법 콘텐츠 유포자들이 가장 많이 당했다. 그런 트렌드의 한 가운데에 레베톤이 있었다. 레베톤은 제우스(Zeus) 및 시타델(Citadel)을 기초로 만들어졌으며 가짜 FBI 로고를 들고 다녔다. 사용자들에게 요구한 건 ‘복호화 값’이 아니라 ‘벌금’이었다. [2]

랜섬웨어의 역사[편집]

  • 초창기
랜섬웨어의 감염 사례는 2005년에서 2006년 사이에 러시아에서 처음 확인되었는데 2006년 우리가 이 사건을 처음 보고하였다. 당시 이 랜섬웨어 변종은 특정 유형의 파일들을 압축 후 덮어쓰기 하였고 이에 사용자의 시스템에는 암호가 설정된 zip 파일들만 남게 되었다. 그리고 300달러를 지불하면 파일을 복원시켜 주겠다는 내용의 메시지가 담긴 노트패드를 남겼다. 초창기의 랜섬웨어는 특정 파일 유형(.DOC, .XL, .DLL, .EXE 등)을 암호화한 평범한 파일이었다. 2011년에도 우리가 처음으로 SMS 랜섬웨어 위협에 대해 보고했다. 이 랜섬웨어의 경우 감염된 시스템을 사용하는 사용자에게 프리미엄 SMS 번호로 전화를 걸도록 요구하였는데 TROJ_RANSOM.QOWA로 명명된 이 변종은 사용자가 프리미엄 번호로 전화를 걸어 비용을 지불할 때까지 반복적으로 랜섬웨어 페이지를 표시한다. 우리는 이 랜섬웨어가 취약한 시스템의 MBR(마스터 부트 레코드)을 감염시킨다는 사실을 확인하였고 MBR을 표적으로 하는 이 변종은 운영 체제가 실행되지 못하도록 하며 이를 위해 본래의 MBR을 복사한 후 악성 코드로 덮어쓰기 한다. 그런 다음에는 시스템을 감염시키기 위해 자동으로 재부팅한다. 시스템이 재부팅되면 랜섬웨어가 러시아어로 된 알림 메시지를 표시한다.
  • 도약하는 랜섬웨어
초기에는 러시아에서만 랜섬웨어 감염 사례가 나타났다. 하지만 인기가 높아지고 수익성이 좋은 비즈니스 모델이었기에 머지않아 유럽의 여러 국가에서도 발견되기 시작했다. 2013년 3월, 우리는 유럽 전역과 미국 및 캐나다에서도 랜섬웨어가 계속 전파되고 있음을 확인했고, TROJ_RANSOM.BOV와 마찬가지로, 이 랜섬웨어는 일반 랜섬 메시지가 아닌 피해자의 지역 경찰국이 사용하는 알림 페이지를 표시한다. 이 외에도 우리는 랜섬웨어 변종들을 전파하기 위한 다른 유형의 전술들도 확인했다. 어떤 위협 행위자들은 프랑스의 유명한 사탕과자 매장의 웹사이트를 감염 시켜 TROJ_RANSOM.BOV를 전파하였다. 워터링홀과 유사한 이 전술로 인해 프랑스와 일본에 많은 피해자가 발생하였다. TROJ_RANSOM.BOV는 일반적인 랜섬 메시지 대신에 프랑스 경찰국인 Gendarmerie Nationale이 사용하는 것과 같은 가짜 공문을 표시했다.
2012년 우리는 새로운 기법을 구사하는 다른 유형의 레베톤 변종을 발견하였고 하반기에는 피해자의 모국어를 이용한 음성 녹음을 재생시키는 변종들과 가짜 디지털 인증서를 이용하는 변종들에 대해서도 보고한 바 있었다.
2013년 말에는 새로운 유형의 랜섬웨어가 출현하였다. 이 랜섬웨어 변종들은 시스템을 잠그는 것 외에도 파일들을 암호화하여 멀웨어가 삭제되더라도 사용자는 비용을 지불해야만 한다. 이러한 유형의 랜섬웨어를 행동 방식에 따라 “크립토락커”라고 부른다. 기존의 랜섬웨어들과 마찬가지로 이 멀웨어 역시 감염된 사용자들이 비용을 지불해야 암호화된 파일들을 해제 시켜 준다. 크립토락커의 금품요구 메시지에는 암호화 기법으로써 “RSA-2048”가 사용된 것으로 명시되어 있지만 우리의 분석 자료에 의하면 이 멀웨어가 AES + RSA 암호화를 사용하는 것으로 밝혀졌다. RSA는 비대칭 키 암호화 방식으로 두 개의 키를 사용한다는 뜻이다. 하나의 키는 데이터를 암호화하는데 사용되고 다른 키는 데이터의 암호를 해제하는데 사용된다. AES는 대칭 키를 사용하는데(즉, 정보의 암호화와 암호 해제에 동일한 키가 사용됨) 멀웨어는 AES 키를 이용하여 파일을 암호화한다. 암호 해제를 위한 AES 키는 멀웨어가 암호화한 파일에 기록되는데 이 키는 멀웨어에 포함되어 있는 RSA 공개 키로 암호화되며 따라서 이 키를 암호해제 하려면 개인 키가 필요하지만 안타깝게도 이 개인 키는 제공되지 않는다. 추가 조사에서는 크립토락커 공격 배후에서 스팸 활동이 이루어지고 있다는 사실이 밝혀졌다. 스팸 메시지에는 파일 크기가 작고 다운로딩 기능이 있는 멀웨어 패밀리인 TROJ_UPATRE와 관련된 악성 첨부파일이 포함되어 있는데 이는 ZBOT 변종을 다운로드한 다음 크립토락커 멀웨어를 다운로드 한다. 2013년 말에는 전파 루틴을 가진 새로운 크립토락커 변종이 출현하였고 WORM_CRILOCK.A라 명명된 이 변종은 휴대용 드라이브를 통해 전파될 수 있는데 이는 다른 CRILOCK 변종에서는 볼 수 없는 루틴이다. 따라서 다른 변종에 비해 이 멀웨어는 매우 쉽게 전파될 수 있다. 이 새로운 변종은 시스템 감염을 위해 CRILOCK와 같은 다운로더 멀웨어를 이용하지 않고 P2P 파일 공유 사이트에서 사용되는 소프트웨어 실행용 프로그램으로 가장한다. 곧이어 또 다른 파일 암호화 랜섬웨어가 나타났는데 이 멀웨어는 CryptoDefense 또는 Cryptorbit라고 알려져 있고 다른 암호화 랜섬웨어와 마찬가지로 암호해제를 조건으로 금품을 요구한다. 트렌드마이크로가 TROJ_CRYPTRBIT.H로 명명한 이 변종은 데이터베이스, 웹, Office, 동영상, 이미지, 스크립트, 텍스트 및 그 밖의 non-binary 파일들을 암호화하며 암호화된 파일을 복구하지 못하도록 백업 파일을 삭제한다.
  • 암호화폐(Cryptocurrency)에 대한 절도 시도
랜섬웨어는 암호화폐(예, 비트코인) 절도와 같은 다른 전술과 결합되기 시작했고 우리는 BitCrypt라 불리는 이 신종 멀웨어의 두 가지 변종을 발견했다. 첫 번째 변종인 TROJ_CRIBIT.A는 암호화된 파일에 “.bitcrypt”이라는 확장자를 첨부하고 영어로만 된 금품요구 메시지를 사용한다. 두 번째 변종인 TROJ_CRIBIT.B는 “.bitcrypt 2″를 첨부하고 10가지 언어로 된 다국어 금품요구 메시지를 사용한다. CRIBIT 변종은 암호화 알고리즘 RSA(426)-AES와 RSA(1024)-AES를 이용하여 파일을 암호화하며 파일의 암호 해제를 위해선 비트코인으로 비용을 지불할 것을 요구한다. 페어릿(FAREIT) 정보 절도 멀웨어의 변종인 TSPY_FAREIT.BB가 TROJ_CRIBIT.B를 다운로드한다는 사실도 밝혀졌다. 이 페어릿(FAREIT) 변종은 wallet.dat(Bitcoin), electrum.dat (Electrum) 및 .wallet (MultiBit)과 같은 다양한 암호화폐 지갑의 정보를 빼낼 수 있는데 이 파일에는 거래 기록, 사용자 선호도 및 계정과 같은 중요한 정보가 들어있다.[3]

특징[편집]

2012년 알려진 레베톤(폴리스 랜섬웨어 또는 폴리스 트로얀이라고도 함)은 법 집행기관을 가장한 랜섬웨어입니다. 레베톤은 대표적인 차단형 랜섬웨어이다. 레베톤은 수사기관을 사칭하는 감염 화면 때문에 Police Trojan(경찰 트로이안)으로 널리 알려져 있다. 이 멀웨어는 피해자 지역의 경찰국에서 사용하는 알림 페이지를 표시하며 온라인 상에서의 불법 행위 또는 악의적 행위로 인해 체포 영장이 발부되었다는 내용을 통보한다. 사용자의 관할 경찰국을 알아내기 위해 레베톤 변종들은 피해자의 지리적 위치를 추적한다. 즉, 미국에 사는 피해자는 FBI의 통보 메시지를 수신하게 되고 프랑스에 사는 피해자는 Gendarmerie Nationale의 통보 메시지를 수신하게 되는데 레베톤 변종은 초창기 랜섬웨어 공격과는 달리 다양한 지불 방식을 이용한다. 시스템이 레베톤 변종에 감염되면, 사용자는 UKash, PaySafeCard 또는 MoneyPak으로 비용을 지불해야 한다. 이와 같은 방식에서는 몸값을 입금받기 위한 정보가 포함되어 있기 때문에 수사기관에 의한 추적이 용이할 뿐만 아니라, 데이터에 대하여 전문적으로 깊이 있게 접근할 경우 바이러스를 손쉽게 우회할 수 있어 몸값 수금 확률이 매우 낮았다. 이러한 지불 방식들은 랜섬웨어 범죄자들의 익명성을 보장해주며 Ukash와 PaySafeCard의 경우 자금 추적이 어렵다.[3] [4]

랜섬웨어의 종류[편집]

  • AIDS 트로이목마
최근까지 기승을 부리고 있는 크립토 시리즈 랜섬웨어들은 2005년에 처음 발견되었는데, 이 AIDS는 그보다 훨씬 빨리 등장한 거의 최초의 랜섬웨어라고 볼 수 있다. 플로피 디스크로 시스템들을 감염시키던 이 트로이목마는 한 매체의 표현에 의하면 “인터랙티브한 조사를 통해 사용자가 AIDS를 제거할 만한 위험성을 가졌는지를 가늠해본 후” 활동을 시작했다고 한다. 감염된 시스템을 사용자가 다시 켰을 경우 피해자의 파일은 전부 암호화처리 되고 “인증료”로 189달러를 요구했다고 한다. 돈은 파나마의 한 주소로 송금하게 되어 있었다.
  • 지피코더(GPCoder)
2005년에 등장한 랜섬웨어로 당시 크로튼(Krotten), 아키비우스(Archiveus)라는 랜섬웨어와 함께 멀웨어 트로이카를 구축하였다. 물론 다른 랜섬웨어들도 이때 많이 등장했는데, 다른 것보다 암호화 방식이 가장 강력했기 때문에 이 셋이 가장 두각을 나타냈다. 당시 1024비트 RSA 암호화 방식을 사용하고 있었으며 브루트포스로 암호화를 무력화시키는 것도 불가능했다.
  • 분도(Vundo)
분도는 2009년에 등장해 왕성하게 변종을 생성해냈다. 처음엔 랜섬웨어라기 보다 평범한 멀웨어였다. 사용자들에게 겁을 줘 가짜 보안 소프트웨어를 설치하도록 했는데, 이 가짜 소프트웨어가 멀웨어였던 것. 그것이 수익이 더 낫기 때문에 랜섬웨어로 방향을 튼 것이다. 스케어웨어(scareware)가 랜섬웨어로 변신한 첫 번째 경우다. PDF, DOC, JPG 파일을 주로 노렸다.
  • 레베톤(Reveton)
비교적 초기 랜섬웨어들은 ‘망신을 준다’나 ‘경찰에 신고’한다를 주 메시지로 활용해 피해자들에게 겁을 줬다. 2012년에는 이렇게 경찰 기관을 사칭한 랜섬웨어가 급증했다. 즉, 피해자들 대부분 ‘경찰’이라는 말에 뜨끔한 부류들이었던 것. 성인물 사이트 운영자나 불법 콘텐츠 유포자들이 가장 많이 당했다. 그런 트렌드의 한 가운데에 레베톤이 있었다. 레베톤은 제우스(Zeus) 및 시타델(Citadel)을 기초로 만들어졌으며 가짜 FBI 로고를 들고 다녔다. 사용자들에게 요구한 건 ‘복호화 값’이 아니라 ‘벌금’이었다.
  • 크립토락커(CryptoLocker)
현대 크립토 시리즈 중에서도 가장 성공한 랜섬웨어로 꼽힌다. 2013년 말에 등장해 세상을 뒤흔들었다. 게임오버 제우스(Gameover Zeus)라는 봇넷을 통해 퍼졌고, 공격자들은 단기간에 3백만 달러라는 높은 수익을 올린 것으로 알려져 있다. 2014년 5월 국제적인 공조로 게임오버 봇넷이 폐쇄되었으나 곧바로 크립토월(CryptoWall)이 크립토락커의 후계자로 등극했다.
  • 크립토월(CryptoWall)
2013년 11월에 처음 발견되었으며, 당시에는 크립토락커의 '가짜' 쯤으로 받아들여졌다. 하지만 2014년 3월 즈음엔 크립토월 그 자체로 충분히 공포의 대명사가 되었다. 크립토월 1.0은 RSA 공공/개인 키를 활용했고 그 해 10월에는 C&C 서버를 토르로 바꿔 보안을 강화했다. 아직까지도 활발하게 활동하고 있으며 계속해서 진화하고 있다. 가장 강력한 랜섬웨어 중 하나다.
  • 록키(Locky)
올해 초 등장한 록키뿐만 아니라 새내기 랜섬웨어들은 보다 공격적이고 집요해졌다. 번식력도 훨씬 좋아졌다. 록키는 올해 2월 처음 발견되었으며 이미 하루에 10만 대의 속도로 사용자 기기들을 감염시키고 있었다. 암호화 대상이 되는 파일 종류도 방대했고, 특히 랜섬웨어로 단순히 협박을 하는 형태의 행각을 벌인 것만이 아니라 ‘다단계 사업’으로 진화한 것이 특징이다. 즉, 록키 랜섬웨어 파트너들을 모아 기술을 전수해주고 일정 수수료를 챙기는 식의 수익모델을 개발한 것이다.
  • 키레인저(KeRanger)
가장 최근에 등장한 따끈따끈한 녀석으로 맥 환경을 노리는 것이 특징이다. 일반 랜섬웨어처럼 파일을 암호화하는 것은 물론 복구를 어렵게 하기 위해 맥에서 제공하는 복구 시스템인 타임머신(Time Machine) 마저도 무력화시킨다. 백업이 랜섬웨어의 근본적인 해결책이라고 하는데, 범죄자들은 그에 대한 답도 이미 가지고 있다는 의미로서 시사하는 바가 크다. [5]

대안[편집]

데이터 백업하기[편집]

현재 창궐하고 있는 랜섬웨어는 50종이 넘는데 랜섬웨어 유포 방식도 이메일, 메신저, SNS 등 다양하다. 모든 랜섬웨어로부터 완벽하게 컴퓨터를 지킬 방법은 없다. 철저한 예방만이 내 PC와 데이터를 지킬 수 있다. 경찰청 사이버안전국에 따르면, 중요한 자료와 업무용 파일은 PC와 분리된 저장소에 정기적으로 백업 또는 클라우드 서버에 올려야 한다. 이메일에 첨부된 파일은 지인이 보냈거나 단순문서 파일이어도 섣불리 실행하지 않는 것이 좋다. 특히 요청한 자료가 아니면 유선 등으로 발신자와 확인 후 실행해야 한다. 메신저나 문자메시지에 첨부된 링크를 무심코 누르거나, 토렌트 등을 통해 내려받은 파일을 실행할 때도 주의해야 한다. 백신 소프트웨어를 설치하고, 항상 최신 버전을 유지하는 게 중요하다. 가장 높은 예방법이라고 할 수 있다. 그럼에도 불구하고 랜섬웨어에 PC가 감염됐다면, 경찰청은 당황하지 말고 다음과 같은 조처를 하라고 권고한다.

  • 랜섬웨어 감염 시 외장하드나 공유폴더도 함께 암호화되므로 신속히 연결 차단
  • 인터넷선과 PC 전원 차단
  • 증거 보존 상태에서 신속하게 경찰에 신고
  • 증거조사 후 하드 디스크는 분리해 믿을 수 있는 전문 보안업체를 통해 치료 요청
  • 감염된 PC는 포맷 후 백신 등 주요 프로그램 최신버전 설치 후 사용
  • 평소 해킹 상담, 피해 신고, 원격 점검 등은 한국인터넷진흥원 인터넷침해대응센터 [6]

안전모드나 부팅[편집]

레베톤(Reveton)같은 랜섬웨어는 소비자들을 공포로 몰아넣었지만, 이를 막아낼 방법도 있었다. 악성코드 바이트(Malware bytes)의 악성코드 분석가 아담 쿠자와는 "아주 많은 손쉬운 조치를 취할 수 있다. 안전모드나 CD로 컴퓨터를 부팅하면 이런 랜섬웨어를 바로 없앨 수 있다"고 말한다. 그러나 크립토락커같은 악성코드는 삭제한다고 문제가 해결되지 않는다. 쿠자와는 "감염을 없앤다고 하더라도 파일들은 여전히 잠겨있기 때문이다. 더 이상 문제는 실제 감염 제거에만 그치는 것이 아니라 그 파일들을 다시 찾아오는 것이 관건"이라고 말했다. 랜섬웨어 제조자들은 크립토락커 이전에도 암호화를 실험했다. 2007년 GP코드(GPCode) 혹은 시노월(Sinowal)이라는 일련의 악성 앱들이 감염된 컴퓨터상의 파일들을 암호화시켰지만, 이 암호화는 아주 약했고 전문가들이 쉽게 해결할 수 있는 수준이다. [7]

보안 솔루션을 사용해 랜섬웨어 탐지[편집]

사용자가 악성 이메일을 열거나 피싱 링크에 속아 클릭하는 경우를 완전히 방지할 수는 없다. 이 경우 파일이 열리고 이 파일이 웜처럼 작동하면서 IT 인프라나 조직 인프라 전반으로 감염을 확산시켜 피해를 입히게 된다. 따라서 이런 버그가 문제가 되기 전에 탐지해 박멸할 수 있도록 우수한 보안 솔루션을 두는 것이 중요하다.

브라우저의 사용자 에이전트 변경[편집]

일부 익스플로잇 키트는 사용자 에이전트를 사용해 운영체제에 맞게 익스플로잇을 조정한다. 따라서 사용자 에이전트를 의도적으로 잘못 설정하는 방법으로 이러한 익스플로잇을 속이는 방법도 효과적이다. 예를 들어 윈도우에서 파이어폭스를 사용하는 경우 사용자 에이전트에 "Firefox on Linux"를 설정해 악성코드 리디렉터익스플로잇에 혼선을 주는 방법이다.

수상한 것은 클릭 금지[편집]

출처 불명의 이메일이나 첨부 파일은 클릭하지 말고, 의심스러운 웹사이트는 아예 피한다. 대부분의 감염은 첨부 파일 열기, 웹사이트 방문과 같은 사용자의 행위를 통해 이루어지므로 피해를 최소화하기 위한 가장 효과적인 방법은 철저한 경계심을 유지하는 것이다.

앱의 최신 패치 설치[편집]

랜섬웨어의 일반적인 침투 경로는 앵글러와 같은 익스플로잇 키트이다. 익스플로잇 키트는 다수의 애플리케이션의 취약점을 하나의 키트에 묶고, 각 취약점에 대해 순차적으로 드라이브-바이 익스플로잇을 시도한다. 앱이 패치되지 않고 오랜시간 방치될경우 이런 익스플로잇이 성공하여 랜섬웨어에 감염될 확률도 높아진다. [8]

레베톤에 관한 기사[편집]

  • 2013년 하반기 최악의 랜섬웨어는 레베톤
2013년 말 크립토로커(CryptoLocker)가 수많은 컴퓨터 사용자를 괴롭히는데 그러나 마이크로소프트의 최신 보안 보고서(Security Intelligence Report)에 따르면 크립토로커는 2013년 하반기 랜섬웨어 중에서 7위에 그쳤다. 자발적 윈도우 사용자 데이터를 조사해 발간하는 마이크로소프트의 이번 보안 보고서에 따르면 좀 더 전통적인 종류의 랜섬웨어 공격이 더 위협적이었다. 단 크립토로커가 지난해 10월에야 출현한 것도 한 이유이다. 이번 보고서를 통해 랜섬웨어의 배포에 있어서 일부 흥미로운 패턴도 드러났는데, 남미나 아프리카, 중동, 아시아 일부 등 세계 일부 지역에서는 이런 공격이 거의 일어나지 않는다는 것이다. 즉 랜섬웨어의 공격 대상은 이런 요구에 지불할 돈이 있는 경제 지역에 한정되고 있었다. 가장 흔하게 발생하는 공격 방식은 레베톤과 같은 ‘경찰 경고’였는데 레베톤은 러시아 갱단이 주도하는 것으로 알려졌으며, 지난 2월에 경찰에 의해 범인들 일부가 검거되기도 했다. 마이크로소프트의 자체 보안 소프트웨어에 의해 탐지되는 비율은 국가에 따라 달랐지만, 평균적으로 윈도우 사용자의 0.2%가 이런 위협을 받은 것으로 나타났다. 이는 지난해 3분기의 0.4%에서 절반이 줄어든 수치이다. 평균치와 동일한 수준의 탐지율을 보인 것은 또 다른 경찰 경고 랜섬웨어인 'Urausy'로, 정확하게 0.2%를 기록했다. 규모가 작거나 심각도가 큰 크립토로커와 같은 랜섬웨어는 0.05% 정도의 아주 낮은 발생률을 기록했다. 한편 랜섬웨어의 발생율이 매우 낮은 것처럼 보일 수 있겠지만, 이 데이터는 마이크로소프트의 실시간 안티바이러스 소프트웨어를 구동하는 사용자 중 데이터를 공유하겠다고 허락한 사용자만을 측정한 것이기 때문이다. 랜섬웨어 공격이 가장 많이 탐지된 국가는 러시아였고 1.62%를 기록했으며, 0.73%의 카자흐스탄, 0.62%의 그리스가 그 뒤를 이었다. 한편 랜섬웨어는 지속해서 진화하고 있는데, 최근에는 PC 사용자를 대상으로 수년간 사용한 수법을 적용해 안드로이드 스마트폰을 공격하는 것들도 등장했다. 일부 보고서는 안드로이드 랜섬웨어인 'Koler.a'를 크립토로커와 비교하기도 하였다. 그러나 이는 다분히 과장된 측면이 있는데, 콜러의 경우 설치를 해제할 수 있지만, 크립토로커는 시스템상에 발견된 모든 데이터 파일을 암호화해 암호키 없이는 복구할 수 없도록 만들어 버리기 때문이다.[9]

각주[편집]

참고자료[편집]

같이 보기[편집]


  검수요청.png검수요청.png 이 레베톤 문서는 보안에 관한 글로서 검토가 필요합니다. 위키 문서는 누구든지 자유롭게 편집할 수 있습니다. [편집]을 눌러 문서 내용을 검토·수정해 주세요.