[CSRC@KAIST 차세대보안R&D리포트] 랜섬웨어의 어제와 오늘

크립토락커부터 케르베르까지...끝없는 랜섬웨어의 진화

[보안뉴스= KAIST CSRC 악성코드 분석팀] 랜섬웨어(Ransomware)란 몸값을 의미하는 Ransom과 악성코드를 뜻하는 Malware의 합성어로, PC 내에 존재하는 중요 파일들을 암호화하고 암호화된 파일을 인질 삼아 복구를 빌미로 처음부터 돈을 노리고 제작된 악성 프로그램을 말합니다.

[이미지=utoimage]

최초의 랜섬웨어를 특정하기에 의견이 분분하지만 대체로 1989년에 주로 사용되던 플로피 디스크를 이용하여 전파된 ‘AIDS.trojan’, 일명 ‘AIDS 플로피 사건’을 랜섬웨어의 시초로 보고 있습니다. 이 사건은 전 세계 약 2만 명을 대상으로 악성코드가 심어진 플로피 디스크를 배송하고 당시 사회적 관심사인 ‘AIDS/HIV 감염의 위험도를 확인할 수 있는 프로그램’의 설치를 유도하는 방식으로 해당 프로그램이 설치되면 PC가 잠겨버린 후 화면에 돈을 송금하라는 메시지가 출력되는 매우 단순한 방식으로 동작했습니다. 또한, 현재 랜섬웨어의 몸값 지불 수단과 비교하면 어이가 없을 정도로 송금처를 명확하게 기재해 놓았기 때문에 랜섬웨어 제작자인 ‘조셉 팝(Joseph Popp)’은 쉽게 체포됐습니다.

이렇듯 초기 랜섬웨어는 비교적 간단한 악성코드 형태로 제작되어 복호화가 가능한 대칭형 암호방식을 사용했고, 바이러스 백신으로 쉽게 탐지 및 치료할 수 있었으며, 짧은 활동 기간으로 인해 수익성이 그리 크지 않았습니다. 또한, 몸값의 요구 방식에 있어서도 우편이나 대포통장, 온라인 결제 플랫폼 등을 주로 사용했기 때문에 범죄자 추적 및 검거가 어렵지 않아 사이버 범죄자들이 랜섬웨어를 범죄 수단 즉 수익 도구로 주목하기까지 꽤 오랜 시간이 소요되었습니다.

이후 랜섬웨어는 수년에 걸쳐 다양하고 강력한 기능으로 중무장하면서 진화했는데, 이는 2013년 하반기에 출현한 크립토락커(CrytoLocker)에 의해 증명되었습니다. 크립토락커의 강력한 기능을 꼽아보자면 첫 번째, 2,048 비트의 RSA 암호화 방식을 이용해 파일을 암호화하기 때문에 해독이 불가능하다는 것입니다. 두 번째, 게임오버 제우스(Gameover Zeus)라는 악명 높은 봇넷을 이용해 빠르게 전파하는 배포 방식을 최초로 적용했습니다. 세 번째, 가장 주목해야 할 기능으로 비트코인을 몸값의 지불수단으로 사용했다는 것입니다. 이는 가상화폐의 익명성이라는 특징을 이용해 수사기관의 눈을 피할 수 있어 피해 규모가 계속해서 커지는 문제가 있습니다. 이러한 크립토락커의 강력한 공격 특징은 이후 랜섬웨어의 표준 공격 방식으로 자리를 잡아 다양한 변종으로 현재까지 지속적으로 출현하고 있습니다.

▲Ransomware timeline[자료=KAIST CSRC]

이렇게 진화를 거듭한 랜섬웨어는 2017년 5월 워너크라이(WannaCry)로 방점을 찍으며 전 세계인의 이목을 집중시켰습니다. 워너크라이는 마이크로소프트(MS) 윈도우 운영체제의 SMB(Server Message Block) 취약점을 이용해 컴퓨터를 감염시키는데, 해당 네트워크 내 다른 컴퓨터를 찾아 감염시키는 방식으로 단 수일 내에 전 세계 약 25억대의 컴퓨터를 감염시켜 역사상 가장 강력하고 치명적인 랜섬웨어로 기록되었습니다.

최근에는 랜섬웨어의 제조 및 배포에 있어 체계적이고 조직적인 형태를 보이고 있는데, 이러한 변화를 서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS)라고 말할 수 있습니다. 서비스형 랜섬웨어(제작자)는 몸값을 통해 이익을 취하려는 사람(의뢰인)에게 랜섬웨어를 제작해 주고 일정액을 수수료로 받거나 몸값의 일정 부분을 지분으로 받는 형태의 체계화된 랜섬웨어 제작 대행 서비스로 정의할 수 있습니다. 이러한 서비스형 랜섬웨어의 등장은 2016년 ‘Cerber’를 시작으로 유행하기 시작했으며, Cerber 랜섬웨어는 온라인으로 판매해 가장 활동적이면서 큰 피해를 준 랜섬웨어로 알려져 있습니다. 이 Cerber 랜섬웨어는 현재까지도 다양한 변종 버전이 출현하면서 국내외 많은 피해를 입힌 것으로 보고되고 있어 서비스형 랜섬웨어의 위협은 현재 진행형임을 알 수 있습니다.

KAIST 사이버보안연구센터에서 운영하는 악성 웹 탐지 시스템(SIMon)을 통해 2020년도에 수집된 악성코드를 분석한 결과, △Trojan(47%) △Ranwomware(35%) △Backdoor(13%) △기타(5%) 순으로 차지했고, 2019년도와 비교했을 때 랜섬웨어가 10% 증가했음을 알 수 있었습니다. 또한, 2020년도에 수집된 랜섬웨어를 분석한 결과, 서비스형 랜섬웨어들의 변종인 워너크라이 및 페트야 랜섬웨어가 주를 이루는 것으로 분석됐습니다.

최근의 랜섬웨어는 초창기 때 파일을 압축하고 암호화하는 단순한 형태에서, 시스템 복원 드라이브 삭제, MBR 훼손, 이용 네트워크 및 서버 확대, 가상화폐 및 Tor(The Onion Router)와의 콜라보 등 다양하고 고도화된 기술과 악성 행위를 복합적으로 포함한 랜섬웨어로 발전하고 있습니다. 또한, 단순히 파일복구에 대한 몸값이 아닌 기업의 중요 자산 및 민감한 데이터를 전 세계에 유출하겠다는 대담하고 치밀한 협박을 통해 거액의 몸값을 요구하는 악질 랜섬웨어가 증가하고 있는 추세를 보이고 있어 랜섬웨어의 위협이 날로 심각해짐을 알 수 있습니다.

현재 우리 사회는 코로나19로 인해 비대면 IT 서비스 활용이 폭발적으로 증가했고, 원격근무가 보편화되면서 사이버 위협의 심각성은 어느 때보다 높은 시점입니다. 또한, 랜섬웨어 활동이 지속적으로 증가되고 있는 가운데 최근 가상화폐 열풍으로 인해 랜섬웨어의 위협은 지속적으로 맹위를 떨칠 것으로 예상됩니다. 이럴 때일수록 중요 데이터 백업, 운영체제 및 프로그램 최신 버전 유지 등 랜섬웨어 예방수칙을 스스로 잘 따르고 실천한다면 나날이 진화하는 랜섬웨어로부터 우리의 소중한 데이터를 안전하게 지킬 수 있을 것으로 생각됩니다.
[글_ KAIST CSRC 악성코드 분석팀/ 랜섬웨어 동향과 최신 서비스형 Conti 랜섬웨어 기능 더 알아보려면, 카이스트 사이버보안연구센터 Weblog(https://csrc.kaist.ac.kr/blog/) 참조]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)