랜섬웨어의 종류에는 무엇이 있을까요?

랜섬웨어는 전 세계적으로 가장 널리 퍼지고 도전적인 사이버 위협 중 하나가 되어 기업, 교육 기관, 헬스케어 기업, 정부에 영향을 미치고 있습니다. 랜섬웨어는 피해자의 시스템을 감염시키고 파일을 암호화해 접속할 수 없도록 설계된 악성 소프트웨어 또는 멀웨어의 한 종류입니다. 사이버 범죄자들은 파일에 대한 접속을 복원하는 암호 해독 키를 대가로 일반적으로 비트코인과 같은 암호화폐 형태로 랜섬 지불을 요구합니다. 이 위험한 멀웨어의 변종은 최근 몇 년 동안 진화해 여러 종류의 랜섬웨어를 발생시켰습니다.

랜섬웨어 위협은 피해자의 IT 환경에 접속하고 머신을 감염시키기 위해 다양한 기법에 의존합니다. 랜섬웨어 공격 방법의 가장 일반적인 종류는 다음과 같습니다.

• 피싱 이메일: 공격자는 알려지거나 신뢰할 수 있는 출처에서 보낸 메시지로 보이는 악성 이메일을 보내는 경우가 많습니다. 사용자가 악성 링크를 클릭하거나 멀웨어가 포함된 첨부 파일을 열면 랜섬웨어가 컴퓨터에 다운로드됩니다.
• 소프트웨어 취약점 악용: 공격자는 소프트웨어 또는 Microsoft Windows와 같은 운영 체제의 보안 취약점을 악용해 시스템이나 네트워크에 악성 코드를 주입할 수 있습니다. 특히, EternalBlue 취약점은 WannaCry 랜섬웨어 변종에서 유명 멀웨어 공격에 악용되었습니다.
• 정상적인 소프트웨어로 위장한 트로이 목마: 사용자들은 정상적인 애플리케이션이나 소프트웨어 업데이트로 보이는 악성 소프트웨어를 다운로드하게 될 수 있습니다.
• 감염된 웹사이트: 랜섬웨어는 공격자가 감염시킨 웹사이트 또는 파일 공유 네트워크의 링크를 사용자가 클릭할 때도 확산될 수 있습니다.
• 인증정보 도용: 사이버 범죄자는 다크 웹에서 사용자 인증정보를 구매하거나 사용자 계정 또는 RDP(원격 데스크톱 프로토콜)와 같은 기술에 대한 무차별 대입 공격을 통해 사용자 계정에 접속할 수 있습니다.

공격자는 IT 환경에 접속한 후 개별 머신과 서버에 랜섬웨어를 설치합니다. 그런 다음 이 멀웨어는 취약점을 악용해 IT 환경 전반에서 측면으로 이동함으로써 다른 머신으로 확산됩니다. 랜섬웨어가 개별 컴퓨터를 감염시키면 하드 드라이브의 파일과 폴더를 암호화해 사용자가 접속할 수 없게 만듭니다. 소프트웨어는 강력한 알고리즘을 갖춘 암호화 키에 의존합니다.

파일이 암호화된 후 공격자는 사용자에게 랜섬 요구사항을 상세히 설명하고 결제 방법에 대한 지침을 제공하는 화면 메시지를 제공합니다. 피해자가 랜섬을 지불하기로 선택하면 파일 및 데이터에 대한 접속을 복원하는 암호 해독 키를 받을 수 있습니다. 그러나 암호 해독 키가 약속된 대로 제공된다는 보장은 없습니다.

랜섬웨어에는 6가지 기본 종류가 있으며, 각 카테고리마다 다양한 변형이 있습니다.

• 크립토 랜섬웨어. 크립토는 가장 일반적인 랜섬웨어입니다. 일반적으로 감염된 사이트의 이메일 첨부 파일 또는 다운로드를 통해 배포되는 크립토 랜섬웨어는 복잡한 암호화 알고리즘을 사용해 하드 드라이브의 파일을 암호화하고 암호화폐로 랜섬을 요구합니다. 주목할 만한 예로는 CryptoLocker, Cerber, Bad Rabbit, Ryuk 랜섬웨어 등이 있습니다.
• Leakware. 이를 독스웨어, 유출, 갈취, 이중 갈취 랜섬웨어라고도 합니다. Leakware는 랜섬을 지불하지 않으면 피해자의 민감한 데이터를 온라인으로 게시하겠다고 위협함으로써 리스크를 높입니다. 공격자는 일반적으로 유출 기법을 사용해 시스템의 파일을 암호화하기 전에 데이터를 훔칩니다. 유출은 피해자에게 추가적인 압박을 가하며, 특정 정보가 공개될 경우 평판이나 비즈니스 기회에 손상을 입힐 수 있습니다. REvil과 Maze 랜섬웨어는 이러한 종류의 갈취 기반 멀웨어의 예입니다.
• Locker 랜섬웨어. 이 다소 덜 위험한 변종은 스크린 락커라고도 합니다. 파일을 암호화하는 대신 피해자가 디바이스에서 잠그기 때문에 디바이스의 운영 체제, 애플리케이션 또는 파일에 접속할 수 없습니다. 주요 사례로는 Petya 랜섬웨어와 Locky 랜섬웨어 변종이 있습니다. 사용자는 안전 모드 부팅 및 안티바이러스 소프트웨어를 사용하여 이러한 종류의 멀웨어를 우회할 수 있습니다.
• DDoS 랜섬웨어. 이러한 종류의 랜섬웨어는 파일을 암호화하는 대신 봇넷을 사용해 불법적인 트래픽으로 서버를 마비시켜 네트워크 리소스와 서비스를 느리게 만들거나 충돌시키거나 사용자가 사용할 수 없게 만듭니다. 이를 일반적으로 DDoS 공격이라고 합니다.
• RaaS(Ransomware as a service). RaaS는 사이버 범죄자가 랜섬웨어를 개발해 다른 사람에게 임대하는 비즈니스 모델로, 랜섬웨어에 대한 경험이나 기술이 거의 없는 해커가 치명적인 공격을 감행할 수 있도록 합니다. 랜섬웨어 개발자는 지불액의 일정 비율을 받습니다. 주요 RaaS 사례로는 Cerber와 REvil이 있습니다.
• 스케어웨어. 이 변종은 실제로 파일을 암호화하는 것이 아니라 디바이스가 감염되었다는 팝업 메시지를 표시하고 사용자가 문제를 해결하기 위해 제품이나 서비스를 빠르게 다운로드하도록 장려합니다. 스케어웨어는 랜섬웨어가 개인과 기업 사이에서 일으킬 수 있는 두려움을 노립니다.

다양한 종류의 랜섬웨어 감염을 방어하기 위해 보안팀은 랜섬웨어 방어 및 랜섬웨어 제거에 대한 멀티레이어 접근 방식을 구축해야 합니다.

• 안티바이러스, 안티멀웨어, 안티랜섬웨어 솔루션은 랜섬웨어를 탐지하고 제거합니다.
• 이메일 필터링 기술은 피싱 이메일과 악성 첨부 파일을 차단합니다.
• 방화벽은 네트워크에 대한 무단 접속을 차단하고 악성 트래픽을 필터링합니다.
• 빈번한 백업을 통해 기업은 랜섬을 지불하지 않고도 피해자의 데이터를 복원할 수 있습니다.
• 엔드포인트 보호는 개별 디바이스에 방화벽과 탐지 및 대응 기능을 제공합니다.
• 최적의 패치 관리는 소프트웨어와 운영 체제를 업데이트해 소프트웨어와 하드웨어의 취약점을 악용하는 공격을 방지합니다.
• 보안 인식 교육은 사용자와 직원이 잠재적인 사이버 공격, 위험한 스팸 이메일, 소셜 엔지니어링 기법을 탐지하는 동시에 랜섬웨어 공격을 방지할 수 있는 우수한 보안 위생을 개발할 수 있도록 지원합니다.
• 인시던트 대응 계획은 랜섬웨어가 탐지된 즉시 조정된 조치를 가능하게 합니다. 여기에는 FBI와 같은 법 집행 기관의 통보가 포함되어야 합니다.