1. 랜섬웨어 공격 동향
랜섬웨어 피해 사례
랜섬웨어는 여러분께서 알고 계시는 대표적인 사이버 공격 유형 중 하나입니다. 시스템을 감염시킨 후 파일을 암호화하고, 이를 해제하는 대가로 금전을 요구하는 방식으로 운영되며, 최근에는 다양한 변종이 등장하면서 그 위협이 더욱 고도화되고 있습니다.
KISA(한국인터넷진흥원)의 사이버 침해사고 피해 통계를 살펴보면, 랜섬웨어 감염 사례는 2024년 한 해 동안 총 195건이 발생하여 전년 대비 약 24% 감소한 것으로 나타났습니다. 이는 기업과 기관의 보안 인식 향상 및 대응 강화의 결과로 해석될 수 있습니다.
그러나 이러한 감소세에도 불구하고 보안 투자에 상대적으로 취약한 중견·중소기업의 피해 비율이 전체의 94%에 달하는 것으로 확인되었습니다. 이는 대기업에 비해 보안 인프라를 구축하는 데 어려움을 겪는 중소 규모 기업들이 여전히 랜섬웨어 공격에 무방비 상태로 노출되어 있음을 알려줍니다. 따라서, 기업 규모와 관계없이 보안 강화가 필수적이며, 특히 중견·중소기업을 위한 실질적인 지원과 예방 대책이 절실한 상황입니다.
출처: KISA 보도 자료
셰임웨어(Shameware)
셰임웨어(Shameware)는 기존 랜섬웨어 공격이 단순히 데이터를 암호화하고 복구 비용을 요구하는 방식에서 벗어나, 기업의 명성을 직접적으로 타격하는 방식으로 진화한 위협입니다. 공격자는 데이터를 암호화하는 것뿐만 아니라, 기업의 내부 기밀 정보, 고객 데이터, 법적 분쟁 관련 문서 등을 탈취하여 공개하겠다고 협박합니다.
이러한 방식은 기업의 신뢰도를 훼손하고 브랜드 가치를 손상시키며, 나아가 주식 시장에도 직접적인 영향을 미칠 수 있는 심각한 문제를 야기하는 만큼, 셰임웨어는 단순히 IT 부서나 특정 개인이 대응해야 할 문제가 아니라 기업 전체의 경영 리스크로 작용할 수 있는 위협입니다.
공격자가 고객 정보 유출, 재무 문서 공개, 내부 직원 기록 노출 등을 무기로 삼는 경우, 기업은 법적 소송, 투자자 신뢰 하락, 고객 이탈, 주가 급락 등의 복합적인 피해를 입을 가능성이 높습니다.
[그림 1] 셰임웨어
RaaS (Ransomware as a Service)
오래전부터 RaaS(Ransomware as a Service)는 사이버 범죄 시장에서 빠르게 성장해 왔으며, 현재까지도 활발하게 운영되고 있습니다. RaaS의 가장 큰 특징은 기술적으로 랜섬웨어를 개발하지 못하는 사람들도 이를 이용하여 랜섬웨어 수행자(Operator), 즉 공격자가 될 수 있다는 점입니다.
과거에는 랜섬웨어 공격을 수행하려면 악성코드를 직접 개발할 수 있는 프로그래밍 기술과 침투 테스트 역량이 필요했지만, RaaS 모델이 등장하면서 이러한 기술적 장벽이 사라졌습니다. 이제는 다크웹을 통해 손쉽게 랜섬웨어를 구입하거나 대여할 수 있으며, 공격 대상만 정하면 실행 방법까지 안내받을 수 있습니다.
특히, RaaS는 정식 소프트웨어처럼 사용자 친화적인 인터페이스와 다양한 공격 옵션을 제공하는 경우가 많아, 초보 범죄자들도 마치 서비스형 소프트웨어(SaaS)를 이용하듯 쉽게 공격을 수행할 수 있습니다.
결과적으로, 사이버 범죄 시장의 진입 장벽이 낮아지고, 랜섬웨어 공격의 확산 속도가 더욱 빨라지는 악순환이 발생하고 있습니다.
[그림 2] RaaS 비즈니스 모델
1. 랜섬웨어 개발자
- 랜섬웨어를 전달(Delivery)할 수 있는 취약점 코드(Exploit Code)와 랜섬웨어 개발 키트(Ransomware Development Kit)를 제작
- 새로운 변종 랜섬웨어를 개발하고 지속적으로 업데이트
2. RaaS 판매담당
- 랜섬웨어를 상품화하여 다크웹에서 유통
- 서비스형 모델로 구독제, 1회 구매 등 다양한 결제 방식 제공
- 랜섬웨어 구매자를 모집하고, 공격 방법을 안내
3. RaaS 구매자(랜섬웨어 실행자)
- 기술적 지식이 없어도 랜섬웨어를 구매하여 쉽게 공격 가능
- 기업, 기관, 개인을 대상으로 랜섬웨어를 배포하고 금전을 요구
2. 랜섬웨어 공격/분석 관점
랜섬웨어를 분석할 때 공격자의 관점과 분석자의 관점으로 나누어 보는 것은 매우 효과적입니다. 이는 공격을 이해해야 제대로 방어할 수 있기 때문입니다. 두 관점을 통해 랜섬웨어 공격을 어떻게 보고, 대응할 때 주목해야 할 포인트를 쉽게 설명할 수 있습니다. 이를 통해 각 관점에서 대응 시 집중해야 할 핵심 사항을 명확하게 파악할 수 있습니다.
랜섬웨어 공격 관점
요즘 랜섬웨어 공격은 단순한 파일 암호화에 그치지 않고 점점 더 정교해지고 있습니다. 최근의 랜섬웨어는 정보 탈취를 병행하며, 공격자는 더 많은 데이터를 확보하기 위해 권한 상승까지 시도합니다. 탈취된 정보는 다크웹 등에서 거래되며, 이는 추가적인 금전적 이득을 노리는 이중 협박 전략으로 이어집니다.
[그림 3] 랜섬웨어 공격 관점
1. 악성 콘텐츠(Content)
공격자는 피해자에게 악성 콘텐츠(contents)를 포함한 이메일, 첨부파일, 악성 링크 등을 전송하여 공격을 시작합니다.
2. 악성 콘텐츠 실행(Execute)
피해자가 첨부된 악성 파일을 열거나 실행하면, 랜섬웨어가 피해자의 시스템(Endpoint)에서 실행됩니다.
3. 암호화(Encryption)
공격자는 피해자의 중요한 파일을 암호화한 후, 랜섬 노트(ransom note)를 생성하여 복호화 키를 제공하는 대가로 금전을 요구합니다.
4. 권한 상승(Privilege Escalation)
랜섬웨어는 감염된 시스템에서 최대 권한(System Permission)을 획득하여 더 깊은 수준에서 악성 행위를 수행합니다. 권한 상승(Local Privilege Escalation, LPE)이 성공하면 단순한 파일 암호화뿐만 아니라 공격자는 더욱 민감한 데이터를 확보할 수 있는 능력을 갖추게 됩니다.
5. 정보 수집 및 유출 (Information Gathering & Data Exfiltration)
랜섬웨어는 단순히 데이터를 암호화하는 것이 아니라, 암호화 실행 전에 중요한 정보를 수집(gathering)한 후 외부 서버(Staging Server)로 전송(leak)하는 방식을 사용합니다. 이를 통해 공격자는 피해 기업을 대상으로 단순한 데이터 복구 협박을 넘어, 데이터 유출을 빌미로 추가적인 금전을 요구하는 '이중 협박(Double Extortion)' 기법을 활용합니다.
공격자는 수집한 데이터를 다크웹(Dark Web)에 판매하거나 공개하여 2차 피해를 유발합니다. 이로 인해 기업의 기밀 정보가 경쟁사나 해커 그룹에 유출될 수 있으며, 고객 데이터가 거래되어 사기 범죄에 악용될 가능성이 높아집니다. 또한, 법적 대응 및 신뢰도 하락으로 인해 기업의 경제적 피해가 더욱 심각해질 수 있습니다.
랜섬웨어 분석 관점
랜섬웨어 공격을 효과적으로 방어하기 위해서는 공격 과정 전반을 면밀히 분석하고, 침해 사고 발생 후 신속하게 대응하는 것이 중요합니다. 이에 따라, 방어자는 근원 분석(Root Cause Analysis), 침해 지속 시간(Dwell Time), 위협 분석(Threat Analysis) 세 가지 주요 요소를 중심으로 랜섬웨어 공격을 평가해야 합니다.
[그림 4] 랜섬웨어 분석 관점
1.근본 원인 분석(Root Cause Analysis)
근본 원인 분석은 공격이 어떻게 시작되었으며, 어떤 경로를 통해 침투했는지를 식별하는 과정입니다. 이를 통해 동일한 공격이 다시 발생하지 않도록 예방 조치를 마련하는 것이 핵심 목표입니다.
예를 들어, 랜섬웨어 감염이 발생한 경우, 가장 먼저 확인해야 할 사항은 공격자가 시스템에 어떻게 접근했는지입니다. 이 분석 결과를 바탕으로 취약점을 제거하고 보안 대책을 강화하면 유사한 공격의 재발을 방지할 수 있습니다.
2. 공격자 체류시간(Dwell Time)
Dwell Time은 공격자가 시스템에 머무르면서 악성 행위를 수행하는 기간을 의미하며, 랜섬웨어 대응에서 가장 중요한 요소 중 하나입니다.
공격자가 시스템 내에서 오랜 시간 머무를수록 더 많은 데이터를 수집하고, 추가적인 권한을 획득하며, 네트워크 전체로 확산될 가능성이 높아집니다. 핵심은 공격자가 장기간 활동하지 못하도록 빠르게 탐지하고 대응하는 것입니다.
3. 위협 분석(Threat Analysis)
위협 분석은 랜섬웨어가 시스템에서 수행한 공격 행위를 정확히 파악하는 과정입니다.
공격이 어디까지 진행되었는지를 분석해야만 데이터 유출, 추가 공격, 내부 시스템 확산 등 2차 피해를 예방할 수 있습니다.
즉, 위협 분석의 핵심은 공격자가 남긴 흔적을 빠르게 파악하고, 추가적인 피해가 발생하지 않도록 선제적인 대응을 하는 것입니다.
랜섬웨어 대응 목표 방향성
랜섬웨어 공격에 효과적으로 대응하기 위해서는 Dwell Time(공격자의 체류 시간 최소화), Root Cause Analysis(근본 원인 분석), Threat Analysis(위협 분석)이라는 세 가지 핵심 요소를 중심으로 대응 전략을 수립하는 것이 필요합니다. 이를 통해 공격의 진행을 신속하게 차단하고, 원인을 정확하게 파악하며, 피해 확산을 최소화할 수 있습니다.
먼저, Dwell Time을 최소화하는 것이 중요합니다. 위해 통합 모니터링 시스템을 활용하여 비정상적인 행위를 신속하게 감지하고, 즉각적인 대응 조치를 수행하여 공격자의 체류 시간을 줄여 추가적인 피해 발생을 방지할 수 있습니다.
둘째, Root Cause Analysis를 수행하는 과정이 필요합니다. 단순히 공격을 차단하는 것만으로는 충분하지 않으며, 공격이 발생한 원인을 정확하게 분석해야 합니다. 엔드포인트의 행위 분석을 기반으로 공격이 시작된 지점과 침투 경로를 식별하고, 유사한 위협이 재발하지 않도록 보완하는 것이 중요합니다.
마지막으로, Threat Analysis 분석을 통해 피해 범위를 평가하는 과정이 필요합니다. 단일 시스템에서 발생한 보안 사고일지라도, 네트워크를 통해 확산될 가능성이 있기 때문에 프로세스 간의 행위 및 연관 관계를 분석하여 공격이 미치는 영향을 정확히 파악해야 합니다. 이를 바탕으로 추가적인 보안 조치를 마련하여 피해를 최소화할 수 있습니다.
이러한 대응 전략을 효과적으로 실행하기 위해서는 EDR(Endpoint Detection and Response) 솔루션을 적극적으로 활용하는 것이 필요합니다.
[그림 5] 랜섬웨어 대응 방안
3. Genian EDR을 활용한 랜섬웨어 분석
랜섬웨어에 감염된 PC를 Genian EDR을 활용하여 간단하게 분석해 보겠습니다.
Genian EDR은 저장된 로그의 패턴을 분석하여 이상 행위를 실시간으로 식별하고, 랜섬웨어 감염을 빠르게 탐지할 수 있도록 지원합니다.
랜섬웨어는 일반적으로 파일 암호화, 시스템 설정 변경, 백업 삭제 등의 악성 행위를 수행하는데, Genian EDR은 이러한 행위의 패턴을 분석하여 감염 징후를 조기에 포착할 수 있습니다.
[그림 6] 랜섬웨어 이상행위 탐지
전통적인 악성코드 분석 방식에서는 리버스 엔지니어링(Reverse Engineering)을 통해 코드 내부 동작을 분석해야 하지만, Genian EDR을 활용하면 행위 기반 분석을 통해 랜섬웨어를 신속하게 탐지하고 대응할 수 있습니다.
랜섬웨어가 실행된 후 파일 암호화 패턴을 자동으로 감지하고, 변조된 파일 확장자를 분석하여 감염 여부를 즉시 확인하는 과정을 보여줍니다.
.png)
[그림 7] 랜섬웨어 프로세스 행위(파일 암호화)
그렇다면, 이 랜섬웨어를 누가 생성했을까요? 랜섬웨어 감염 분석에서 가장 중요한 요소 중 하나는 어떤 프로세스가 악성 파일을 생성하고 실행했는지를 확인하는 것입니다. 이를 통해 공격의 최초 실행 주체를 파악하고, 향후 동일한 경로를 통한 재감염을 방지할 수 있습니다.
Genian EDR에서는 수집된 로그를 간결하고 다양한 쿼리(Query)를 활용하여 랜섬웨어를 생성한 프로세스를 추적할 수 있습니다. 해당 사례에서는 FileCreate 이벤트를 기반으로 Hwp.exe 프로세스가 C:\Users\beg\AppData\Local\Temp\ 경로에 385...exe 파일을 생성한 것을 확인할 수 있습니다.
[그림 8] 간결한 쿼리
확인된 Hwp.exe 프로세스는 385...exe 랜섬웨어 파일을 생성하는 것뿐만 아니라, 비정상적인 프로세스 종료 시 실행되는 Werfault.exe 프로세스가 함께 실행된 것이 확인되었습니다.
(*Werfault.exe 프로세스: Werfault.exe는 일반적으로 Windows 오류 보고(Windows Error Reporting, WER) 기능과 관련된 프로세스로, 프로그램이 충돌하거나 비정상적으로 종료될 경우 자동으로 실행됩니다.)
[그림 9] 문서에 의한 랜섬웨어 생성
이제 랜섬웨어를 생성하는 hwp.exe 프로세스의 네트워크 통신을 확인해볼까요? hwp.exe 프로세스가 두 개의 외부 IP(62.204.41.189, 3.37.228.224)와 통신을 수행한 것이 확인됩니다.
[그림 10] 프로세스 외부 통신
- 3.37.xxx.xxx:443 → hancom.com 도메인과 연결
⇒ 한컴오피스의 정식 서버 - 62.204.xx.xxx:443 → 외부 IP와 통신
⇒ 한컴오피스 도메인과 무관한 의심스러운 IP 주소
Genian EDR에서는 외부 TI(Threat Intelligence) 관련 링크를 제공하여, 보안 담당자가 악성 IP 및 도메인의 평판을 신속하게 조회할 수 있도록 지원합니다.
이를 통해, 감염된 시스템이 의심스러운 외부 IP와 통신했는지 확인하고, 해당 IP가 랜섬웨어 C2(Command & Control) 서버 또는 악성 행위와 연관된 주소인지 분석할 수 있습니다. 악성 IP로 확인되었습니다.
[그림 11] 외부 TI를 통한 조회
C2 IP와 통신하면서 랜섬웨어를 생성한 Hwp.exe가 어떤 문서인지 확인하기 위해서 Hwp.exe 프로세스의 커맨드 라인(Command Line) 정보를 확인하여, 사용자가 실행한 한글 문서의 파일명을 식별합니다.
[그림 12] 악성 문서 파일 식별
악성 문서가 어떻게 생성되었는지 확인하기 위해 파일 이름과 이벤트 유형을 FileCreate 또는 FileDownload로 설정하여 쿼리를 실행하면, 해당 파일이 어디에서 생성되었거나 다운로드되었는지 확인할 수 있습니다.
결과를 보면, “[긴급]요청서.hwp” 파일이 download.mail.naver.com에서 다운로드된 것으로 확인되며, 이는 사용자가 네이버 메일을 통해 첨부파일을 다운로드 받을 것을 확인할 수 있습니다.
[그림 13] 근본 원인 식별
이번 랜섬웨어 감염은 Genian EDR를 통해 분석한 결과, 네이버 메일을 통해 다운로드된 악성 문서에서 시작되었으며, 문서의 취약점을 통해 랜섬웨어가 실행된 것을 확인하였습니다.
이에 따라, C2 서버 IP 차단, 악성 문서 패턴을 기반으로 한 보안 정책 적용, 문서 프로그램 최신화 등의 보안 조치가 필수적입니다.
특히, 패턴 기반 탐지를 지속적으로 업데이트하고, 사용자 보안 인식을 강화하는 것이 랜섬웨어 예방의 핵심 전략입니다.
[그림 14] 분석 결과
마무리
이번 글에서는 랜섬웨어의 동향과 실제 랜섬웨어 감염 시나리오를 Genian EDR을 활용하여 탐지 및 분석하는 과정을 다루었습니다.
랜섬웨어의 침투 경로부터 실행 과정, C2 서버 통신 및 파일 암호화까지의 흐름을 추적하였으며, 이를 통해 근본 원인을 식별하고 효과적인 보안 대응 방안을 도출하였습니다.
Genian EDR을 활용한 분석의 장점은 다음과 같습니다.
- 신속한 탐지
৹ 랜섬웨어 특유의 파일 암호화 패턴이나 의심 행위를 실시간으로 감지하여 빠른 초기 대응 가능 - 직관적인 인터페이스와 행위 기반 분석
৹ 리버스 엔지니어링 없이도 이상 행위를 기반으로 감염 여부 파악
৹ 보안 분석가가 코드 분석 없이도 시각적인 로그 분석을 통해 실행된 프로세스의 생성 파일, 네트워크 통신, 명령줄 정보까지 추적 가능 - 간결한 쿼리 기능
৹ 다양한 이벤트 유형 (예: FileCreate, FileDownload) 및 조건을 이용해 악성 파일 생성 등 주체와 감염 경로를 쉽게 파악 - 감염 근원 추적
৹ 악성 프로세스가 실행한 파일의 경로, 출처(예: 이메일 다운로드)까지 역추적
৹ 최초 감염 지점 및 사용자 행위 식별 가능 - 외부 위협 인텔리전스(TI) 연동
৹ 의심 IP 및 도메인에 대해 즉시 평판 조회 가능
৹ C2 서버와의 통신 여부 판단 용이 - 보안 정책 수립에 기여
৹ 분석 결과를 바탕으로 IP 차단, 문서 패턴 필터링, 소프트웨어 최신화 등
৹ 사후 보안 조치 및 정책 강화에 활용
랜섬웨어는 지속적으로 발전하며 공격 방식이 더욱 정교해지고 있습니다. 따라서, EDR을 적극적으로 활용하여 위협을 탐지하고 대응하는 것이 중요합니다.
감사합니다.
글쓴이. 백은광
지니언스 컨설팅부에서 고객사에서 발생되는 악성코드/위협 분석을 담당하고 있습니다.
