[그림 1] 2016년 월별 신종 랜섬웨어 추이

전세계를 휩쓴 랜섬웨어, 어떤 것이 있나

2016년 한해 동안 확인된 160여 종의 랜섬웨어 중 가장 피해가 컸던 랜섬웨어는 앞서 언급한 HDD크립터에 앞서 록키(Locky)와 케르베르(Cerber)를 꼽을 수 있다.

1. 2016년 No.1 랜섬웨어, 록키
전세계적으로 광범위한 피해를 입혔던 록키 랜섬웨어는 유포 방법 및 감염 방식의 변화를 통해 세를 확장해왔다. 주로 스팸 메일을 통해 유포되었는데, 특히 지난 1년 간 상상을 초월하는 양의 스팸 메일을 유포하며 악명을 떨쳤다. 록키 랜섬웨어가 처음 등장한 것은 지난 2016년 2월로, 스팸 메일 유포로 유명한 드라이덱스(Dridex) 봇넷을 통해 이메일에 문서 파일(doc)을 첨부한 형태로 유포됐다.
　

  
[그림 2] 록키 랜섬웨어 감염 화면 
　

2016년 3월 이후부터는 첨부파일을 스크립트 파일이 내장된 압축파일(zip)로 변경했는데, 이후 록키 랜섬웨어 유포 메일의 특징적인 방식으로 자리잡았다. 압축파일에 내장된 스크립트 파일의 종류는 지속적으로 변화했는데 3월에는 JS(Java Script), 5월에는 HTA(HTML Application), 7월에는 WSF(Windows Script File) 등을 사용하였다. 이는 스팸 필터 솔루션이나 안티바이러스 프로그램의 탐지를 우회하기 위한 전략으로 추정된다.
　

  
[그림 3] 록키 랜섬웨어 유포에 사용된 다양한 첨부 파일

록키 랜섬웨어는 파일을 암호화한 후 추가하는 확장자명에서도 다양한 변화를 거듭했다. 초기에는 ‘.locky’라는 확장자명을 추가하는 형태였으나 2016년 6월에는 ‘.zepto’, 9월에는 ‘.odin’을 추가했다. 이후 10월 말에는 ‘.shit’과 ‘.thor’가 동시에 사용되었으며 11월 말에는 ‘.aesir’와 ‘.zzzzz’가 등장한데 이어 12월 초에 ‘.osiris’가 추가되는 형태도 나타났다.

여기서 주목해야 할 점은 2016년 하반기에 들어서면서 확장자명 변경 주기가 짧아졌다는 것이다. 또 오딘(Odin), 토르(Thor), 에시르(Aesir)는 북유럽 신화에 등장하는 신들의 이름을 차용한 것이고 오시리스(Osiris)는 이집트 신화에서 차용한 이름인 반면, ‘.shit’, ‘.zzzzz’ 등의 확장자명은 궤를 달리하고 있다. 록키 랜섬웨어 제작 그룹이 최소 2개 이상으로 분리되어 활동하고 있는 것으로 추정되는 이유다.

2. 음성 지원하는 케르베르(Cerber)
케르베르 랜섬웨어는 파일을 암호화한 후 이 사실을 음성으로 알려주는 독특한 특징으로 유명해졌다. 2016년 3월 초에 발견되었으며, 2016년 하반기에 더욱 활발하게 활동했다. 록키 랜섬웨어와 달리 변종이 나타날 때마다 새롭게 버전을 부여하는 점이 특징인데, 2016년 말까지 확인된 버전은 5.0.1이다. 그러나 2016년 12월 중순에 발견된, 이른바 크리스마스(Christmas) 버전은 버전명이 표시되지 않아 버전 확인이 어려워졌다. 앞으로 나타날 케르베르 랜섬웨어들이 버전 표시 없이 제작 및 유포될 가능성이 점쳐진다.

　

  
[그림 4] 케르배르 v5.0의 랜섬노트

케르베르는 록키와 마찬가지로 스팸 메일이나 익스플로잇킷(Exploit Toolkit, EK)을 이용하여 유포되었다. 초기에는 DOCX, DOC 등의 첨부파일을 이용했지만 DOCM(Word Open XML Macro-Enabled Document file), HTA(HTML Application), VBS(Visual Basic Script) 등으로 확대했다.

익스플로잇킷은 취약한 웹사이트나 광고 모듈을 악용하는 멀버타이징(Malvertising)에 주로 사용되는 방식으로, 과거 파밍이나 온라인게임핵 악성코드 유포에 악용된 전례가 있다. 케르베르 버전 1~2는 주로 뉴클리어(Nuclear) EK, 앵글러(Angler) KE, 뉴트리노(Neutrino) EK를 통해 유포되었다. 그러나 2016년 상반기에 뉴클리어 EK와 앵글러 EK가 활동을 종료함에 따라 케르베르 버전 3는 주로 RIG, 매그니튜드(Magnitude) EK를 통해 유포되었다. 케르베르 버전 4부터는 대부분 RIG(RIG-E, RIG-V 포함), 뉴트리노 EK, 매그니튜드 EK를 통해 유포되고 있다.

이처럼 유포 시 이용하는 EK의 변경이 잦은 이유는 EK의 종류가 다양하고 활동의 부침이 심한 편이기 때문에 특정 EK에 고정되지 않고 다양한 EK를 활용하는 것으로 보인다. 또한 랜섬웨어 제작 조직이 랜섬웨어 유포 시에는 별도의 조직이 운영하는 악성코드 유포 네트워크를 활용하는 것으로 추정된다. 또한 케르베르는 초기 버전부터 러시아의 블랙마켓에서 판매되는 것이 확인된 바 있다.

  
[그림 5] 버전 표시가 없는 케르베르 랜섬웨어 크리스마스 버전

3. 갑작스럽게 활동을 종료한 크립트XXX(CryptXXX)
크립트XXX(CryptXXX)는 특히 국내에서 악명을 떨쳤는데, 2016년 6월 초 국내 스마트폰 관련 유명 커뮤니티를 통해 대량 감염 사태를 불러왔던 주범이다.

  
[그림 6] 크립트XXX 랜섬웨어

2016년 초부터 활발하게 활동하던 테슬라크립트(TeslaCrypt)가 2016년 5월 중순 갑작스럽게 활동을 종료한 이후 새롭게 등장한 것이 크립트XXX이다. 그러나 크립트XXX 또한 2016년 7월 말을 기점으로 활동이 중단됐다. 테슬라크립트는 활동 종료를 선언하면서 암호화된 파일을 복호화하는 마스터 키를 공개했다. 이에 반해 크립트XXX는 활동 종료와 관련한 별도의 언급이 없었기 때문에 활동 종료 여부를 단언할 수는 없다. 그러나 국내에서는 록키 랜섬웨어나 케르베르 랜섬웨어보다 활동이 활발했던 크립트XXX가 약 5개월 동안 나타나지 않았다는 점에서 일시적인 소강 상태로 보이지는 않는다.

4. MBR까지 암호화하는 랜섬웨어 등장
지난 2016년 3월 말에 발견된 페트야(PETYA)는 파일을 암호화던 기존 랜섬웨어와 달리 MBR(Master Boot Record) 영역을 암호화해 충격을 주었다. 기존의 랜섬웨어는 감염되더라도 PC 사용 자체는 가능했던 반면, 페트야는 파일이 아닌 시스템의 파티션 정보가 담겨 있는 MBR 영역과 윈도우의 NTFS(New Technology File System)에서 사용하는 파일에 관한 모든 정보가 담긴 MFT(Master File Table) 영역을 암호화해 PC 사용 자체를 불가능하게 한다. 설사 수동으로 MBR을 복구하더라도 MFT가 암호화되어 있어 PC를 사용할 수 없다.
　

  
[그림 7] MBR을 암호화하는 페트야 랜섬웨어

페트야에 이어 2016년 5월 중순에 발견된 미샤(Mischa) 랜섬웨어는 MBR과 파일을 선택적으로 암호화할 수 있다는 점이 특징이다. 또 MBR 암호화가 진행되면 페트야 랜섬웨어와 동일한 이미지가 나타나는데, 다만 붉은 색을 사용한 페트야와 달리 검은색 배경에 녹색 글씨를 사용한다는 점이 다르다.

 
[그림 8] 미샤 랜섬웨어

미샤 랜섬웨어 등장 이후 약 7개월 만인 2016년 12월 초, 골든아이(GoldenEye) 랜섬웨어가 나타났다. 골든아이는 페트야 랜섬웨어의 최신 버전으로, MBR만 암호화했던 페트야나 MBR 또는 파일을 선택적으로 암호화하는 미샤 랜섬웨어와 달리 파일과 MBR을 모두 암호화하는 것이 특징이다. 감염 시 파일 암호화를 먼저 진행하고, 이어 사용자 파일을 암호화한 후 무작위 8글자의 확장자명을 추가한다. 이후 MBR 영역의 부트 로더를 수정한 다음 [그림 9]와 같은 랜섬노트를 출력한다. 이때 나타나는 화면은 페트야 랜섬웨어, 미샤 랜섬웨어와 거의 동일하며, 색상만 검은색 배경에 노란 글씨로 변화되었다.

  
[그림 9] 골든아이 랜섬웨어

페트야와 미샤, 골든아이는 모두 야누스 신디케이트(Janus Syndicate)에 의해 제작된 랜섬웨어들로 알려져 있는데, 야누스 신디케이트는 영화 007 시리즈 중 골든아이(Golden Eye)편에 등장하는 범죄 조직의 이름이기도 하다.


랜섬웨어, 어떻게 변화했나
최신 랜섬웨어의 동향을 요약하면 크게 ▲랜섬웨어 피해 양상 ▲랜섬웨어 유포 방식의 다변화 ▲수익금 재투자 및 서비스화 등 랜섬웨어 제작 양상의 변화로 볼 수 있다.

현재 랜섬웨어는 국가와 지역을 가리지 않고 전세계에서 동시다발적으로 발견되는 것이 특징이다. 지역별 감염 빈도를 살펴보면, 북미 지역과 러시아를 포함한 유럽 전역이 압도적이지만 한국, 일본, 인도, 대만 등 아시아권으로 피해가 확산되는 추세다. 특히 테슬라크립트, 록키, 케르베르, 크립트XXX의 감염 빈도가 높은 것으로 나타났다. 이들 랜섬웨어의 경우 스팸 메일이나 익스플로잇킷에 의한 유포 빈도와 PC 사용자 수 등에 따른 약간의 지역적 차이는 있지만, 주로 북미 지역을 중심으로 유럽과 아시아 지역에서 고른 분포를 보였다.

산업군별 피해 양상을 살펴보면, 지난 2016년에는 개인은 물론 의료기관과 공공기관 등을 중심으로 랜섬웨어 피해 사례가 보고 되었다. 그러나 앞으로는 이들뿐만 아니라 금융, 제조업을 비롯해 다양한 서비스 산업까지 피해가 확산될 가능성을 배제할 수 없다. 특히 기존 랜섬웨어의 활동이 점차 확대됨에 따라 피해 범위 또한 확대될 가능성이 높다.


랜섬웨어 유포 방식의 다변화로 더 큰 피해

랜섬웨어 유포 방식이 다변화되면서 피해가 더욱 심각해지고 있다. 대표적인 랜섬웨어 유포 방식으로는 ▲스팸 메일 ▲익스플로잇킷(EK) ▲멀버타이징(Malvertising) 등이 있다. 또 최근에는 원격 데스크톱 프로토콜을 이용한 랜섬웨어 유포도 지속적으로 확인되고 있다.
　

  
[표 1] 랜섬웨어 주요 유포 방식


　

전통적인 악성코드 유포 기법인 스팸 메일은 랜섬웨어 유포에도 활발하게 사용된다. 록키 랜섬웨어와 케르베르 랜섬웨어도 주로 스팸 메일을 통해 유포되고 있다. 스팸 메일은 사용자를 속이기 위한 사회공학적 기법을 많이 사용한다. 국내 스팸 메일은 이벤트, 경품, 배송 관련 메일로 위장하는 편이며 해외에서는 주로 송장(invoice), 금융 안내, 이력서 등으로 위장한 사례가 많다. 첨부 파일을 사용자가 직접 실행해야 한다는 단점이 있다. 최근 이메일에 첨부된 EXE 파일에 대한 차단이 강화되면서 암호가 설정된 압축 파일이나 난독화된 스크립트 파일을 이용하여 보안 솔루션의 진단과 탐지를 우회하는 형태를 보인다.

  
[그림 10] 스팸 메일을 이용한 랜섬웨어 유포
　

취약한 웹사이트를 통해 악성코드를 유포하는 기법인 드라이브 바이 다운로드(Drive-by-download)에 필수적으로 사용되는 것이 익스플로잇킷(Exploit Kit, EK)이다. 익스플로잇킷은 보안이 취약한 웹사이트를 통해 악성코드를 유포하는데 주로 사용되며, 다수의 인터넷 관련 프로그램의 취약점을 패키지로 구성한 것이라 할 수 있다. 웹사이트 방문 시 악성코드가 다운로드되고 실행되기 때문에 사용자로서는 악성코드 감염 및 실행을 인지하기 어렵다. 웹사이트 취약점을 이용한다는 점에서 불특정 다수의 감염을 이끌어 낼 수 있으며, 이전에도 온라인게임핵이나 파밍 악성코드 유포에 악용되었다.

불특정 다수를 대상으로 최대 다수의 감염을 성공시키기 위한 필수 조건으로는 크게 ▲사용자의 이용이 많으면서 보안이 취약한 웹사이트 ▲대부분의 사용자들이 이용하는 소프트웨어의 취약점 ▲대부분의 안티바이러스에서 아직 진단하지 않는 악성코드 등이 있다. 따라서 공격자들의 주요 타깃은 인터넷 기반의 프로그램이면서 구조적으로 취약한 프로그램이거나 많은 웹사이트에서 범용적으로 사용하고 해당 프로그램을 설치한 사용자 수가 많은 프로그램이다. 대표적으로 인터넷 익스플로러, 플래시 플레이어, 자바, 실버라이트 등이다.

다양한 종류의 익스플로잇킷이 존재하는데 현재는 RIG, RIG-E, 뉴트리노(Neutrino), 매그니튜드(Magnitude) 등이 활발하게 활동 중이다. 뉴클리어(Nuclear EK)나 앵글러(Angler EK)는 지난 2016년 상반기에 활동을 종료했고, 이후 뉴트리노와 RIG EK로 무게 중심이 이동했다.

앞서 언급한 것처럼 드라이브 바이 다운로드(Drive-by-download) 기법을 이용해 불특정 다수의 최대 감염을 달성하기 위한 조건은 사용자의 이용이 많으면서 보안이 취약한 웹사이트다. 그러나 이들 두 가지 조건을 모두 만족하는 웹사이트는 그리 많지 않다. 이러한 한계를 극복하기 위해 공격자들은 보안이 취약한 웹사이트 대신 온라인 광고 모듈 또는 광고 서버로 공격 대상을 바꾼다. 일반적으로 유명 사이트에 나타나는 광고는 대부분 광고 업체의 자체 서버를 통해 제공되는 경우가 많다. 문제는 이러한 광고 업체들이 영세하거나 광고 서버의 보안이 취약한 경우가 많다는 점이다.

공격자는 바로 이 취약한 광고 서버를 통해 악성코드가 삽입된 광고를 배포하는 것으로, 해당 광고를 제공받는 다수의 웹사이트들은 보안이 취약하지 않음에도 불구하고 이들 웹사이트를 방문한 사용자들이 악성코드에 감염되는 것이다. 이러한 기법을 멀버타이징(Malvertising)이라 하는데, ‘악의적인’이라는 뜻의 영어 단어 ‘Malicious’와 광고를 의미하는 ‘Advertising’의 합성어다. 특히 정상 사이트를 이용했음에도 불구하고 멀버타이징 기법에 의해 악성코드에 감염된 경우, 악성코드 감염 경로를 추적하기가 매우 어렵다.

최근에는 원격 데스크톱 프로토콜(Remote Desktop Protocol, RDP)을 이용한 랜섬웨어 유포도 지속적으로 확인되고 있다. 원격 데스크톱 프로토콜은 마이크로소프트(Microsoft)에서 개발한 것으로, 다른 컴퓨터에 원격으로 연결하여 GUI(Graphic User Interface)를 제공하는 것이다. 주로 서버 관리나 원격 접속을 위해 사용하며, 서버의 관리자나 사용자 계정 정보를 필요로 한다. 문제는 사용자나 관리자들이 암호를 제대로 설정하지 않는다는 것이다. 귀찮거나 다른 사람과 공유하기 편하도록 ‘1’, ‘1234’, ‘abcd’, ‘password’와 같은 단순한 암호로 설정하는 경우가 많다.

이 때문에 공격자들은 주로 무작위 암호 대입 공격을 통해 로그인을 시도하는데, 무작위 암호 대입공격을 통해 접속에 성공하면 랜섬웨어 실행 파일을 시스템에 복사해서 직접 실행한다. 이러한 방식을 통해 랜섬웨어에 감염된 사례가 늘고 있는 만큼, 비밀번호 관리에 주의를 더욱 기울일 필요가 있다.


랜섬웨어 제작 양상의 변화

랜섬웨어의 제작부터 감염까지의 과정을 간략하게 정리하면, 악성코드 제작자가 랜섬웨어를 만들어 악성코드 유포 그룹에게 넘기고, 유포 그룹이 대량으로 랜섬웨어를 유포하여 사용자들을 감염시키는 형태다. 이후 피해자가 복구 비용을 지불하면, 랜섬웨어 제작자와 유포 그룹이 일정한 비율로 수익을 배분한다.

일부 악명 높은 랜섬웨어의 경우, 막대한 수익을 거둬들이고 수익의 일부를 랜섬웨어의 기능 강화에 재투자하는 것으로 보인다. 감염 기법을 바꾸거나 안티바이러스 등 보안 솔루션의 탐지를 우회하고, 암호화 범위를 확대하거나 암호화 방법을 개선하여 효율을 높였다. 또 오류 여부를 점검하는 품질 보증(QA) 과정까지 도입하기도 했다. 이렇게 더욱 개선된 랜섬웨어를 다시 유포 그룹에게 전달하여 또 수익을 얻고 지속적으로 기능 개선에 재투자하는 등 규모의 경제를 이루는 형세다. 이처럼 공격자 측면에서 경제적 효과를 거둔 랜섬웨어로는 케르베르, 록키, 크립토락커, 테슬라크립트, 크립트XXX, CTB-락커, 크립토월 등이 있다.

무엇보다 최신 랜섬웨어 동향의 가장 큰 특징은 RaaS(Ransomware as a Service)이다. 랜섬웨어 제작자에 의한 단방향적인 판매가 아니라 구매자가 원하는 요구 사항을 반영해 제작과 유포가 가능하도록 서비스 형태로 거래된다. 구매자는 랜섬웨어 파일 유형, 암호화 대상, 랜섬웨어 유포 방법 등 다양한 요소를 선택 및 요구할 수 있으며, 심지어 이런 요구 사항을 쉽고 빠르게 반영할 수 있도록 자동화 환경이 구축되어 있는 경우도 있다. 제작자는 구매자가 이용한 랜섬웨어를 통해 발생한 수익의 일부를 비용으로 요구한다.

  
[그림 11] Ransom32와 미샤 랜섬웨어의 서비스(RaaS) 안내 화면

RaaS의 장점은 구매자들이 프로그래밍 등 IT 전문 지식이 부족하더라도 비용만 지불하면 손쉽게 랜섬웨어를 제작 및 유포할 수 있다는 점이다. 또 초기 자금이 부족한 랜섬웨어 제작자 관점에서는 자금 확보에 유용한 방법이라 할 수 있다. 록키 랜섬웨어와 케르베르 랜섬웨어도 초기에는 이 같은 방법을 통해 확산되었으며, 이 밖에도 Ransom32, 페트야, 미샤, 스탬파도(Stampado), 필라델피아(Philadelphia), 샤크(Shark), 아톰(Atom) 등이 있다.

최신 랜섬웨어 제작의 또 다른 특징은 ‘오픈소스 랜섬웨어’를 이용한다는 것이다. 오픈소스 랜섬웨어란 순수한 연구 또는 교육, 사용자 경각심 고취 등의 목적으로 제작한 랜섬웨어로, 관련 소스를 공개한 것을 말한다. 대표적인 오픈소스 랜섬웨어로는 히든 티어(Hidden Tear), EDA2, 헤임달(Heimdall) 등이 있으며, 그 밖의 오픈소스 랜섬웨어는 대부분 히든 티어와 EDA2 랜섬웨어를 기반으로 제작되었다. 문제는 선의의 목적으로 제작하여 사용 범위를 제한한다고 밝혀놓은들 범죄자들은 거리낌없이 악용한다는 점이다. 지난 2016년 발견된 랜섬웨어 중 적지 않은 수가 오픈소스 기반의 랜섬웨어였다.


기본에 충실하면서도 다각화된 다계층 대응 전략 필요해

지금까지 살펴본 것처럼 랜섬웨어는 지난 2016년을 기점으로 더욱 빠르고 다양하게 진화했다. 2016년 상반기만해도 PC 내 파일을 암호화하는 기본적인 형태가 주를 이뤘으나, 하반기에 들어서며 파일 암호화는 물론 MBR을 암호화하는 랜섬웨어가 등장하고 RaaS가 활성화되는 양상을 보였다. 이 밖에도 연구 및 공부 목적으로 제작된 오픈소스 형태의 랜섬웨어는 본래의 의도와 달리 랜섬웨어 유포를 활성화하는 원인이 되기도 했다. 선의의 목적으로 제작하여 사용 범위를 제한하였지만 범죄자들은 거리낌없이 악용할 뿐이다.

최근 2년 새 빠르게 증가한 랜섬웨어가 향후 더욱 다양하게 진화할 것은 명약관화다. 더 많은 새로운 변종이 출현하고, MBR 뿐만 아니라 시스템의 다른 영역으로 암호화 대상을 확대하거나 감염 기법을 고도화하고 안티바이러스 무력화를 비롯해 보안 솔루션의 탐지를 우회하기 위한 적극적인 시도가 예상된다.

그러나 랜섬웨어는 사실 갑작스럽게 등장한 새로운 형태의 악성코드는 아니다. 랜섬웨어 유포 방식 또한 전혀 새로운 기법이 아니다. 특히 스팸 메일과 익스플로잇킷을 이용한 드라이브 바이 다운로드 공격은 이미 수년 전부터 존재해온 방식으로, 단지 유포 대상이 랜섬웨어로 바뀌었을 뿐이다. 이는 결국 전통적인 보안 수칙을 준수하고 기존의 보안 솔루션을 효율적으로 운용하면 상당한 랜섬웨어 예방 효과를 볼 수 있다는 의미이기도 하다.

익스플로잇킷을 이용한 드라이브 바이 다운로드 공격이나 멀버타이징에 의한 랜섬웨어 감염을 예방하는데 효과적인 것은 운영체제(OS) 및 주요 프로그램의 최신 보안 업데이트를 적용하는 것이다. 또 평소 데이터를 백업하는 습관도 랜섬웨어 피해 최소화에 상당한 도움이 된다.

기업의 경우, 기업 내 사용자들의 보안 수칙 준수 노력과 더불어 각 업무용 시스템의 보안 상태를 중앙에서 관리하고 강제할 수 있는 방안을 마련해야 한다. 또 네트워크단과 엔드포인트단에서 각각 악성코드 유입을 탐지하고 차단하는 입체적인 대응이 필요하다. 특히 엔드포인트단에서의 악성코드 확산을 방지하는 한편, 최초 감염 시스템의 랜섬웨어 피해도 방지할 수 있는 방안을 마련해야 한다.
　

[출처 : 안랩(www.ahnlab.com)]