근래 사이버보안에서 화제가 되고 있는 랜섬웨어는 전염병 수준으로 창궐하고 있으며 금방 사라지기 어려운 위협이다. 랜섬웨어의 역사는 크게 데이터 암호화 전후로 나눌 수 있다. 오늘날에는 데이터를 암호화하는 유형인 cryptor가 주류를 이루고 있지만 이에 앞서 먼저 등장한 건 blocker 랜섬웨어였다. blocker 랜섬웨어는 운영체제나 브라우저 접근을 차단하고 이를 복구하는 대가로 돈을 요구한다. 당시 금전지급은 주로 기부 등에 사용되는 문자메시지 코드나 전자지갑을 통한 송금 등으로 이루어졌다. 보안전문가와 수사기관 측에서는 이러한 지급과정에 착안하여 공격자를 적발해 냈다. 전자결제 관련 규제가 진화함에 따라 위험부담 가중으로 랜섬웨어의 수익성도 떨어졌으며 용의자 적발 또한 늘어났다.


그러나 최근 몇 년 동안 비트코인이 급부상하고 사이버범죄의 주목을 받기 시작하면서 상황은 달라졌다. 비트코인은 전자자산이자 추적이나 규제가 불가능한 결제시스템으로 범죄자에게는 아주 매력적인 수단이다. 또한 랜섬웨어의 방식 자체도 브라우저나 운영체제 접근을 차단하는 대신 데이터를 암호화하는 방향으로 바뀌었다. 운영체제는 사용할 수 없게 돼도 다시 설치하면 그만이지만 개인 파일은 고유한 내용을 가지고 있기 때문에 대체 불가능하다. 공격자는 이를 악용하여 거액의 합의금을 요구할 수 있으며 개인에 대해서는 수백 달러 그리고 기업에 대해서는 수천 달러에 달하는 돈을 뜯어낼 수 있게 됐다. 이러한 랜섬웨서 세대교체는 오래 걸리지 않았으며 2015년 말 랜섬웨어 공격 건수는 눈덩이처럼 불어났다.


카스퍼스키 측 분석에 따르면 랜섬웨어 공격은 2014-2015년 13만 건에서 2015-2016년 72만 건으로 1년 새 무려 5배나 증가했다. 랜섬웨어 공격이 가장 많이 발생하는 국가는 러시아, 카자흐스탄, 이탈리아, 독일, 베트남, 알제리, 브라질, 우크라이나, 미국이다. 하지만 동구권이나 동남아 그리고 남미 등지의 랜섬웨어는 비교적 구형이고 위험성도 떨어지는 blocker 랜섬웨어 비중이 크다. 반면 미국은 cryptor 랜섬웨어 공격이 전체의 40%에 달하며 이탈리아와 독일의 경우 사실상 cryptor가 랜섬웨어와 동의어로 취급될 정도다.



2015-2016년 대세인 랜섬웨어 트로이목마는Teslacrypt, CTB-Locker, Scatter, Cryakl이다. 특히 Teslacrypt의 경우 전체 공격의 절반 가까이를 차지하며 이들 4개 랜섬웨어는 전체 랜섬웨어의 80%에 달한다. TeslaCrypt와 Cryakl의 경우 카스퍼스키 솔루션으로 복호화 가능하다.



랜섬웨어는 초기에는 주로 개인 사용자를 노렸으나 암호화 랜섬웨어가 대세가 된 이후로는 기업에 대한 공격이 늘어났다는 사실도 주목할 만하다. 기업사용자에 대한 공격은 2014-2015년 6.8%에서 2015-2016년 13.13%로 증가했다.





랜섬웨어 피해방지요령


1. 주기적으로 백업


2. 카스퍼스키 솔루션 등 강력한 보안솔루션 사용


<참고: 카스퍼스키 안티바이러스 상세정보>


3. 주기적으로 소프트웨어 업데이트


4. 최신 보안소식 확인


5. 랜섬웨어 감염이 발생해도 섣불리 돈을 먼저 지불하지 않고 아래와 같은 방법을 시도한다.

(1) blocker 랜섬웨어의 경우 카스퍼스키 WindowsUnlocker 툴 사용

(2) cryptor 랜섬웨어의 경우 NoRansom.kaspersky.com 통해 해당 랜섬웨어에 대한 복호화가 가능한지 확인




Alex Drozhzhin, Ransomware’s history and evolution in facts and figures, 6. 22. 2016.

https://usblog.kaspersky.com/ransomware-blocker-to-cryptor/7327/


번역⋅요약: madfox




참고링크 


<유료안티바이러스 제품소개>

COMMENT : 0 TRACKBACK : 0

카테고리

분류없음

날짜

2016.08.03 14:26

위로가기