개요

 

2024년에도 랜섬웨어 공격은 여전히 증가 추세에 있다. 랜섬웨어에 감염된 피해자들이 데이터를 복구하기 위해 몸값(Ransom)을 지불하는 경우가 많기 때문에, 공격자들은 이를 통해 직접적으로 큰 금전적 이익을 얻을 수 있기 때문이다. 공격자들은 이 과정에서 암호화폐를 통해 몸값을 요구함으로써 익명성을 유지하며 법 집행 기관의 추적을 쉽게 피할 수도 있다.

공격의 용이성 측면에서 랜섬웨어는 비교적 쉽게 배포할 수 있으며 다양한 방법으로 시스템에 침투할 수 있는 특징이 있다. 최근에는 합법적인 도구나 드라이버를 악용하는 방식으로 탐지를 우회하는 방법도 확인되었다. 뿐만 아니라, 서비스형 랜섬웨어(Ransomware-as-a-Service, 이하 RaaS) 모델을 통해 기술적 지식이 부족한 공격자들도 쉽게 랜섬웨어를 사용할 수 있게 되면서 랜섬웨어 공격의 확산이 촉진되었다.

 

랜섬웨어 공격 Cycle

 

[그림] 랜섬웨어 공격 전체 Cycle
 

 

위의 그림은 초기 침투부터 랜섬웨어가 실행된 이후까지의 전체 공격 Cycle을 도식화하여 나타낸 것이다.

 

1) 정찰 및 초기침투

정찰 활동을 통해 공격자는 목표 시스템에 대한 정보를 수집한다. 예를 들어, 네트워크 구조, 취약점, 사용 중인 소프트웨어 등을 파악하는 단계가 이에 속한다. 공격자는 정찰 단계에서 인터넷에 연결된 기기(IoT)를 검색하기 위해 쇼단(Shodan)을 활용하기도 한다. 구글과 같은 일반 검색 엔진은 웹페이지를 인덱싱하지만, 쇼단은 웹캠/의료장비/스마트TV 등 인터넷에 연결된 다양한 기기를 인덱싱할 수 있다. 쇼단을 통해 무작위로 생성된 IPv4 주소에 대해 포트 스캐닝 후 실행중인 서비스를 탐색할 수 있는데, 이 과정을 반복하며 기본 비밀번호로 설정된 기기나 오래된 소프트웨어 버전을 사용하는 IoT 기기를 탐색할 수 있다.

2) 거점 확보 및 내부 전파

공격자는 초기 침투에 성공한 후 시스템에 대한 지속적인 접근을 유지하기 위해 백도어 악성코드를 설치하거나 관리자 권한을 획득하기 위한 시도를 한다. 만약 랜섬웨어 공격이 감염된 단말PC 한 대에 그친다면, 많게는 수십 억까지 하는 몸값을 지불할 필요는 없을 것이다. 하지만, 공격자는 최초 침해를 당한 시스템에 피해를 국한시키는 것이 아닌 조직 전체로 확산시켜 보다 더 의미 있는 데이터를 확보하고자 하는데, 이 과정에서 랜섬웨어가 네트워크 내 다른 시스템으로 확산될 수 있도록 Lateral Movement 기법이 사용된다.

3) 랜섬웨어 실행

공격자는 피해 시스템 내 중요한 데이터를 식별하고 암호화할 준비를 한다. 암호화 대상은 데이터베이스, 문서, 이미지 등 다양한 파일 형식을 포함한다. 이후 랜섬웨어를 실행하여 파일을 암호화하는데, 이 과정에서 시스템 복구를 어렵게 하기 위해 시스템 복원 지점을 삭제하며 복구 도구를 비활성화 하고, 백업 파일을 손상시키기도 한다. 이 단계에서 피해자는 랜섬웨어 공격 피해를 인지하게 되며, 암호화된 파일에 접근할 수 없게 되어 업무 중단 및 데이터 손실이 발생한다.

4) 데이터 유출 및 몸값 요구

랜섬웨어 공격자는 데이터를 암호화하는 행위 외에도 민감한 정보를 외부로 유출하는 이중협박 전략을 취한다. 공격자는 피해자에게 암호화된 데이터를 복구하기 위한 몸값을 요구하는데, 일반적으로 암호화폐를 통해 지불을 요구하며 지불하지 않을 경우 데이터를 공개하겠다고 협박한다.

본 보고서에서는 실질적으로 피해가 발생하는 단계인 ‘3) 랜섬웨어 실행’ 단계에 초점을 맞추어 랜섬웨어 공격의 변화 동향을 살펴보고자 한다.