Home > 전체기사

용병의 진화 : 랜섬웨어, 디도스를 덧입다

  |  입력 : 2016-05-25 11:03
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
암시장의 ROI, 공격자들의 가장 중요한 동기
랜섬웨어 지워내고 복구시켜도 봇넷 감염 가능성 남아있어


[보안뉴스 문가용] 랜섬웨어로는 충분치 않았던 모양이다. 공격자들은 랜섬웨어에 디도스 공격을 탑재하고 있다. 정확히 말하면 랜섬웨어에 당한 시스템을 디도스 공격을 위한 봇넷으로 삼는 방법을 활용하기 시작한 것이다.

어떻게 해서든 이득을 만들고 싶어 하는 공격자 입장에서 이런 식의 원투펀치의 개발은 당연한 진화의 결과라고 볼 수 있다. 그렇기에 이는 단순히 한 번 유행을 타고 마는 게 아니라 공격의 표준이 될 가능성이 높다고 보안 전문가들은 입을 모은다.

“랜섬웨어에 디도스를 첨가하다니, 정말 나쁜 쪽으로는 천재적인 생각이지요.” 서버(Cerber)라는 유명 랜섬웨어의 새로운 변종에서 디도스 공격 기능을 발견했다는 보고서를 발표한 보안 전문업체인 노비포(KnowBe4)의 CEO 스튜 슈베르만(Stu Sjouwerman)의 설명이다. “봇넷 대여 서비스는 다크넷에서 꽤 수익률이 높은 사업입니다. 최근에 가격이 조금 떨어지긴 했지만, 그래도 여전히 괜찮은 아이템이죠. 이런 경제적 인프라가 든든히 받쳐주고 있기 때문에 한 동안 봇넷과 조합한 원투펀치 형식의 공격이 트렌드로 자리 잡을 것으로 봅니다.”

사실 랜섬웨어와 디도스가 조합된 공격에 대한 보고서는 다른 보안 업체인 인빈시아(Invincea)에서 이미 발표한 바 있다. 해당 보고서에서는 MS 오피스 문서가 악용되는 사례가 소개되었다. 특히 비주얼 베이직을 통한 익스플로잇이 상세히 소개되었으며, 이를 통해 파일이 동반되지 않는 공격이 가능하다고 나왔다. 당시 인빈시아 보고서의 가장 핵심적인 발견은 “한 번 공격 비용으로 두 번 공격을 실행할 수 있다”는 것이었다.

“언뜻 보기에는 사용자의 파일 시스템 및 파일 자체를 암호화하고 협박 및 지불 안내 문구가 화면에 출력되도록 하는, 평범한 랜섬웨어입니다. 하지만 더 깊은 곳을 들여다보면 디도스 공격도 가능하도록 바이너리가 구성되어 있죠. 인빈시아에서 관찰한 바에 의하면 6892 포트를 통해 UDP 패킷을 다량 흘려보내 트래픽을 마비시키는 유형의 공격을 하도록 되어 있었습니다.”

랜섬웨어가 이런 식으로 진화하는 것은 사이버 범죄가 가지고 있는 ‘용병의 특성’을 잘 반영하는 것이다. 용병의 특성은 소속이 없다는 것과 돈을 받고 움직인다는 것인데, 사이버 범죄자들의 특성이 대부분 이와 정확히 일치한다. 즉 어떤 소속감이나 충성심에서 공격을 하는 예는 극히 드물고, 소득의 원리에 따라 움직인다는 것인데, “랜섬웨어 공격자들이 따르는 규칙 역시 암시장에서의 ROI”라고 전문가들은 설명한다. 하나의 가격으로 두 개의 공격을 할 수 있다는 점, 봇넷 사업이 어느 정도 수익을 보장하는 아이템이라는 점에서 이미 랜섬웨어의 변화는 예측이 가능한 수준이었다.

“애초에 랜섬웨어가 각광받기 시작한 이유부터도 철저히 ‘수익’에 있죠. 리스크와 비용이 적고 수익은 높은 범죄였거든요. 수요인 랜섬웨어가 늘어나니 랜섬웨어 공격을 할 수 있는 툴과 서비스도 사업으로서 자리잡아 공급의 균형도 맞춰졌습니다. 수요와 공급이 안정화에 접어들면 새로운 것이 등장하는 법이죠. 지금 랜섬웨어의 진화가 바로 그런 맥락에서 나온 겁니다.” 파이어아이(FireEye)도 지난 주 랜섬웨어에 대한 보고서를 발표하면서 이렇게 설명한 바 있다.

파이어아이는 “돈을 냈든, 보안 툴을 사용했든, 이제는 랜섬웨어에서부터 파일들을 복구하는 데에 성공했다고 해도 공격에서부터 완전히 벗어났다고 말 할 수 없다”는 점을 강조했다. 봇넷의 일부로서 악용될 가능성도 높아졌기 때문이다. “결국 공격이 아예 성립하지 않도록 미리 막아내는 것이 더 중요한 보안의 가치가 되고 있습니다. 공격이 발전하면서 복구마저도 믿을 수 없는 단계가 왔거든요.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

- 국내 최대 규모의 개인정보보호 컨퍼런스 PIS FAIR 2016 - 6월 9일(목)~10일(금) 개최
- 공공·금융·민간 CPO, 개인정보처리자, 보안담당자 등 4,000여명 참석
- 공무원상시학습, CPPG, CISSP, CISA, ISMS등 관련 교육이수(최대 16시간) 인정
- CPO, 개인정보처리자, 보안담당자 등 사전 무료 참관등록(www.pisfair.org/2016/)
  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야