‘사이버 코로나’ 랜섬웨어, 그 수법의 ‘디테일’(2-②)

[애플경제 전윤미 기자] 일단 PC 등에 침입한 공격자는 악의적인 목적을 달성하기 위해 획득한 권한을 기반으로 여러 기법을 이용한 악성 행위를 수행한다. 이에 대해 한국랜섬웨어침해대응센터의 이경호 과장은 랜섬웨어 공격자들이 EDR 솔루션 탐지 회피를 위해 구사하는 최근의 공격기법을 소개하고 있어 눈길을 끈다.

데이터 파일, 자체 프로세스 실행 역이용

그에 따르면 우선 ▲파일리스(Fileless) 기법을 통한 감염을 들 수 있다.

흔히 사이버공격자들은 OS(Windows)에서 지원하는 특정 파일(.bat, .jar, .js 등)에 악성 코드를 저장한다. 그러나 이 수법은 해당 파일에 담긴 데이터를 자체 프로세스로 실행하는 기능을 역이용하는게 특징이다.

예를 들어, JavaScript 파일은 WSH(Windows based Script Host) 프로세스(wscript.exe)를 통해 실행될 수 있다. 이런 스크립트 코드는 외부 라이브러리(dll) 파일과 같은 악성 코드를 수신하고 실행하기 때문에 추적이 어렵다.

특히 “EDR 솔루션은 공개된 취약점을 통해 보호 로직을 구성하지만, 코드로 이루어져 있기 때문에 변종 내역을 탐지하기 어려울 수 있다.”면서 “이를 보완하기 위해 새로운 취약점에 대한 지속적인 보완이 필요하다.”고 지적했다.

파일 형태로 복구 키 저장, 유출 수법도

다음으로 흔히 쓰는 수법이 ▲ 비트로커(BitLocker)를 통한 영역 암호화다.

비트로커는 윈도우 운영체제에서 드라이브 데이터를 보호하기 위해 전체 디스크 암호화를 지원하는 프로그램이다. 보안 설정에 따라 비활성화된 경우도 있으나 ‘그룹 정책 관리’나 레지스트리 값 변경을 통해 활성화할 수도 있다.

그래서 공격자는 복구 키를 파일 형태로 저장하고 유출하는 방식을 구사한다. 이는 운영체제에서 제공하는 기능이므로 사용자의 정상 행동인지, 공격자의 행위인지를 판단하는게 쉽지 않다.

운영체제 드라이브가 감염된 경우는 복구 키를 통해 데이터 복원이 진행돼야 부팅이 가능하다. 이에 공격자는 담당자 이메일을 통해 접촉, 복구 키를 담보로 거래(몸값 등)를 요청한다. 또한, “이같은 과정은 공격자가 원격 접속 권한을 통해 시도하는 경우도 있지만, 스크립트 형태로 일련의 구성이 가능하므로 실행 권한을 통해 동작하는 ‘살포형 랜섬웨어’의 감염행위로도 이용된다”는 경고다.

‘거래’ 불응시, 다크웹 유출 협박

세 번째로 들 수 있는게 ▲정보 유출을 통한 다크웹 공개 협박이다.

랜섬웨어 공격 방식은 파일을 사용할 수 없도록 변조하는 것에 국한되지 않는다. 공격자들은 자신들의 악의적인 목적을 달성하기 위해 다양한 전략을 사용한다. 이 과장은 특히 “‘해킹형 랜섬웨어’는 기업의 매출 내역, 보안 산업에 대한 투자 비율, 데이터의 가치 등을 비교해 목표를 정하므로 목적에 맞는 기법을 변동적으로 사용한다”면서 “최근에는 국가 기밀로 판단되는 기술을 소유한 기업을 대상으로 정보 유출을 담보로, 금전을 요구하는 방식이 흔히 사용되고 있다.”고 주의를 당부했다.

사이버 공격 조직은 이를 위해 다크웹에 사이트를 운영하기도 한다. 공격 후 거래에 응하지 않은 기업의 데이터를 공개하거나, 일부 금액을 대가로 판매하기도 한다.

그러나 이는 “거래를 승인하면 공격에 의한 데이터 유출 사건을 없던 일로 해줄 것이란 인식을 주는 점이 문제”라는 지적이다. 공격자들은 흔히 파일 감염이 없었기 때문에 기업의 업무에 직접적인 영향을 주지 않으며, 거래에 응하게 되면 데이터 파기를 약속하고 감염 경로를 통한 취약점 분석을 지원한다고 주장한다. 따라서 “피해 기업에 높은 보안 컨설팅 비용을 지불하는 행위”라고 주장하며 부당 거래를 유도한다.

그러나 이는 신중히 대처해야 할 문제라는 얘기다. “개인정보를 취약하게 관리한 기업은 (사이버공격으로 유출될 경우) 개인정보보호법에서 강화된 처벌 규정에 직면하게 된다.”면서 “벌금을 지불해야 하고 기업의 이미지가 훼손될 수 있으므로 이러한 사안은 심각하고 신중하게 대응해야 한다”는 조언이다.

이에 따르면 실제로 거래에 응하고 대가를 지불한 후에도 주요 데이터를 파기하지 않고 별도 구매자를 찾아가는 사례도 있다. 때로는 해당 기업에 2차 공격을 수행해 파일을 변조하는 사례도 있다. 따라서 기업은 거래에 동의하는 대신, 공격자를 신고해 추적하는 것이 바람직하다는 지적이다.

“수시로 취약점 패치가 중요”

이같은 일을 방지하려면 역시 취약점에 대한 패치가 급선무다. 그러나 흔히 취약점이 공개된 후 패치가 나오기까지는 시간이 소요된다. 이 기간에 취약점을 이용한 ‘제로데이’ 공격이 성행하고 있으며, 취약점 패치가 나온 후에도 해당 패치를 적용하지 않은 시점 이전의 ‘원데이’ 공격도 자주 일어난다.

특히 기업의 환경 문제로 인해 윈도우 등의 최신 업데이트 적용이 어려운 경우, 취약점을 통해 계정 정보를 탈취하는 ‘원데이’ 공격 위험이 더욱 증대될 수 있다.

이에 기업은 가능한 이른 시일 내에 취약점 패치를 적용하는 것이 중요하다는 지적이다. 만약 패치를 적용할 수 없는 상황이라면, 보안 대책을 강화해 공격 위험을 최소화해야 한다.

이 과장은 “보안 솔루션의 강화, 엄격한 접근 제어, 이상 징후 탐지 시스템 등을 활용해 기업의 보안 수준을 높이는 것이 필요하다”면서 “주기적인 보안 감사와 취약점 스캐닝을 통해 시스템에 존재하는 취약점을 식별하고, 대응법을 간구하는 과정이 안전한 보안 시스템을 유지하는데 필수적”임을 강조했다.