전체메뉴

[애플경제 이보영 기자] 랜섬웨어가 어떻게 퍼지는지를 이해하는 것이 공격의 희생자가 되지 않기 위한 열쇠다. 최근 테크크런치, IT포로포털, 사이버리즌, 사이버사이트 등 해외의 기술전문매체들은 이들 해컹들의 전형적인 수법을 각기 발췌, 소개하기도 한다. 그 중 가장 공통적으로 언급되는 랜섬웨어의 공격 패턴 몇 가지가 눈에 띈다. 이는 랜섬웨어가 피해자를 감염시키는 가장 흔한 방법들로 간주되고 있다. 그래서 “적을 알고 나를 알면 백전백승”이란 교훈을 떠올리게 한다.

우선 첫 번째는 피싱 메일이다. 이는 해커들이 랜섬웨어를 유포하는 가장 일반적인 방법이다. 해커들은 신중하게 조작된 피싱 전자 메일을 사용하여 공격 대상자가 첨부 파일을 열거나 악의적인 파일이 포함된 링크를 클릭하도록 속인다. 이 파일은 PDF, ZIP 파일, Word 문서 또는 JavaScript 등 다양한 형식으로 제공된다. Word 문서의 경우 공격자는 문서를 열 때 사용자를 "매크로 사용"으로 속이기도 한다. 이를 통해 공격자는 외부 웹 서버에서 악의적인 실행 파일(EXE)을 다운로드하여 실행하는 스크립트를 실행할 수 있다. EXE에는 공격 대상자의 컴퓨터에 있는 데이터를 암호화하는 데 필요한 기능이 포함된다.

피싱 이메일은 온라인 소매업자, 은행 또는 회사 CEO 등 대상을 가리지 않는다. 일단 데이터가 암호화되고 랜섬웨어가 하나의 머신에 기반을 잡으면 보다 고도의 랜섬웨어 변종이 네트워크상의 다른 머신(PC 및 서버)으로 확산된다. 피싱 전자 메일의 첨부 파일을 한 사람이 열기만 하면 조직 전체가 감염될 수 있다. 대체로 록키, 서버, 네무코드와 같은 랜섬웨어가 이 수법을 많이 쓴다.

다음으론 ‘리모트 데스크톱 프로토콜’(Remote Desktop Protocol)도 공격자가 피해자를 감염시키는 대표적인 메커니즘중 하나다. RDP는 IT 관리자가 사용자의 머신에 원격으로 액세스하여 구성하거나 단순히 머신을 사용할 수 있도록 하기 위해 작성되었다. RDP는 보통 포트 3389를 통해 실행된다. 그래서 “합법적 사용을 위해 장치를 개방하는 것은 많은 이점이 있지만, 악덕 행위자가 불법 사용을 위해 장치를 악용할 수 있는 기회도 제공한다”는게 전문가들의 경고다.

2017년에는 1,000만 대 이상의 컴퓨터가 포트 3389를 개방하고 있다고 공공 인터넷에 광고하고 있는 것으로 확인되었다. 즉, 3389 이상의 RDP를 실행하고 있는 것이다. 특히 원격 근무에서 해커들은 감염에 취약한 기기를 찾기 위해 Shodan.io과 같은 검색 엔진에서 기기를 검색할 수 있다. 타깃 머신이 특정되면 해커는 일반적으로 패스워드를 브루트 포스(broot force)로 설정하여 접근권을 얻는다. 이를 통해 해커는 관리자로서 로그인할 수 있다.

이들은 오픈 소스 패스워드 크래킹툴을 사용하여 목표를 달성할 수 있다. ‘Cain and Able’이나, ‘John the Ripper’, ‘Medusa’ 등 도구를 사용하여 사이버 범죄자들이 여러 개의 비밀번호를 빠르고 자동으로 시도하여 액세스할 수 있다. 일단 해커들이 관리자로 참여하게 되면, 해커들은 머신을 완전히 제어할 수 있게 되고 랜섬웨어 암호화 작업을 시작할 수 있게된다. 일부 해커는 추가 피해를 입히기 위해 머신에서 실행되고 있는 엔드포인트보안 소프트웨어를 비활성화하거나 랜섬웨어를 실행하기 전에 Windows 파일 백업을 삭제한다. 이로 인해 Windows 백업 옵션이 더 이상 존재하지 않을 수 있으므로 피해자가 몸값을 지불할 수 밖에 없게 된다.

다음으로 ‘손상된 웹 사이트에서 드라이브 바이 다운로드’ 하는 수법도 많이 쓴다. 공격자가 랜섬웨어를 배포하기 위해 사용하는 또 다른 진입 경로는 드라이브 바이 다운로드로 알려진 것이다. 이는 사용자가 손상된 웹 사이트를 방문할 때 사용자 모르게 발생하는 악의적인 다운로드 방식이다. 공격자는 종종 합법적인 웹 사이트의 소프트웨어에 있는 알려진 취약성을 이용하여 드라이브 바이 다운로드를 시작한다. 그런 다음 이러한 취약성을 사용하여 웹 사이트에 악성 코드를 포함하거나, 공격 대상자를 자신이 제어하는 다른 사이트로 리디렉션하곤 한다.

이 사이트는 공격 키트라고 하는 소프트웨어를 호스팅한다. 공격 키트를 사용하면 해커들은 방문 단말기에 특정 취약점이 없는지 조용히 스캔할 수 있으며, 발견된 경우 사용자가 아무 것도 클릭하지 않고 백그라운드에서 코드를 실행할 수 있다. 그러면 사용자는 갑자기 감염 사실을 알리고 반환된 파일에 대한 지불을 요구하는 몸값 고지서를 받게 된다.

이것은 작은 사이트에서만 볼 수 있는 것처럼 들릴 수 있지만, 레이더 사이트에서는 드라이브 바이 다운로드가 실제로 알려지지 않은 웹사이트에만 국한되는 것은 아니라는 지적이다 . 뉴욕타임스, BBC, NFL 등 세계에서 가장 인기 있는 사이트 중 일부에서 이 모든 것이 납치 광고를 통한 랜섬웨어 캠페인의 표적이 된것도 그 때문이다. 드라이브 바이 다운로드를 통해 피해자를 악용하는 일반적인 랜섬웨어는 크립토월, Princess Locker, Crypt XXX 등이 있다.

‘USB 및 이동식 미디어’도 해커들이 많이 활용하는 방식이다. 실제로 우편함에 악성 소프트웨어가 포함된 USB 드라이브를 쓰기도 한다. 이때 USB 드라이브는 네플릭스 판촉용 애플리케이션으로 가장한 후 사용자의 컴퓨터에 배포된 랜섬웨어를 열도록 한다. 즉, 사용자가 다른 것으로 가장한 앱을 열면 USB 드라이브를 통해 랜섬웨어가 컴퓨터를 감염시킬 수 있는 것이다. 특히 강력한 ‘Spora’ 랜섬웨어의 경우는 USB 및 이동식 미디어 드라이브(숨겨진 파일 형식)에 자신을 복제할 수 있는 기능까지 추가함으로써 USB 장치가 꽂혀 있는 이후의 시스템을 위험에 빠뜨리기도 한다.

랜섬웨어 전문가인 ‘사이버사이트’의 수석 프로덕트 매니저인 안토니어 챌리타는 “랜섬웨어는 사이버 범죄자들이 수익을 창출하기 위해 가장 선호하는 공격 수단이 되었다.”면서 “ RaaS(Randomware-as-a-Service)를 통해 다크웹에서 쉽게 구매할 수 있으며, 위의 방법 중 하나로 공격을 비교적 쉽게 시작할 수 있다”고 경고했다. 이에 “조직이 시스템을 어떻게 타깃으로 할 수 있는지를 인식하고, 스스로를 보호하고 비즈니스 서비스의 연속성을 보호하기 위해 계층화된 보안 접근 방식을 통해 사전 예방적으로 조치를 취하는 것이 중요하다”고 권장했다.