1. 랜섬웨어(Ransomware) 사례
요즘 인터넷이나 뉴스에서 "랜섬웨어"라는 단어를 자주 마주치게 됩니다. 랜섬웨어를 검색만 해봐도 관련 피해 소식 이 무수히 나오는 것을 볼 수 있습니다. 현재 세계 각지에서 활동하는 정체불명의 공격자 또는 사이버 범죄자들은 랜섬웨어 공격을 통해 수많은 기업과 정부 기관, 심지어 의료 기관과 학교까지 공격을 시도하고 있습니다. 이 랜섬웨어 공격의 대상이 된 피해 조직은 내부 시스템이 마비되거나 서비스 제공에 지장을 받아 엄청난 경제적 손실뿐 아니라 정상적인 비즈니스를 수행함에 있어 다방면에 피해를 입고 있습니다.
[그림1] “랜섬웨어” 검색 결과 (출처 : 보안뉴스)
2013년 9월, 봇넷(계정이 도용된 컴퓨터 네트워크)을 통해 확산되어 사용자 파일을 암호화하는 방식의 크립토락커(CryptoLocker)라는 이름의 랜섬웨어가 등장했습니다. 2014년 국제 사법 기관의 노력으로 해당 사태를 종료하기 전까지 미화 약 300만 달러를 갈취한 것으로 알려진 것이 트리거(Trigger)가 되어 대랜섬웨어의 시대가 열리게 되었습니다.
특히 2017년 Microsoft 사의 Windows OS의 취약점을 이용했던 최초의 크토웜인 워너크라이(WannaCry)는 네트워크 상의 다른 PC로 이동하여 추가 감염시킬 수 있는 특징을 가진 랜섬웨어 입니다. 현재까지 랜섬웨어 공격 중 가장 큰 피해를 입혔다고 알려졌습니다. 워너크라이로 인한 피해 비용은 미화 40억 달러에 달하며, 전세계 150개국에 걸쳐 약 20만 대 이상의 컴퓨터를 감염시켰습니다.
[그림2] 워너크라이 감염 화면 (출처: healthcareitnews)
이와 같은 랜섬웨어 공격의 성공 사례가 알려지면서 또 다른 사이버 범죄자들은 랜섬웨어를 그들의 새로운 공격 기법으로 선호하기 시작하였습니다. 2021년 하반기 5400개로 파악됐던 신규 랜섬웨어는, 2022년에는 무려 100% 증가한 10666개로 파악되었습니다. 이러한 현상은 2023년에도 계속해서 이어질 것으로 예상되고 있으며 이에 따른 피해 사례 및 피해액도 역시 증가할 것으로 보이고 있습니다.
국내에서도 랜섬웨어에 의한 피해 사례는 다양합니다. 2022년 10월 경, “Lockbit 3.0” 이라는 이름의 랜섬웨어에 의해 국내 대기업 S사가 공격을 당했고, 몸값을 지불하지 않자 공격자는 탈취한 2TB에 달하는 모든 자료를 인터넷에 업로드했습니다. 이때 공격자가 S사에 복구비용으로 요구한 금액은 345비트코인(한화 약 100억)이었다고 합니다.
또한 같은 시기에 수많은 국내 기업들을 감염 시켰던 “귀신 랜섬웨어”에 대해 한국인터넷진흥원(KISA)이 발표한 자료에 따르면 귀신 랜섬웨어는 기구축한 보안 장비의 탐지를 회피하기 위해 시스템 기본 명령어를 주로 활용하며 최소한의 악성코드만을 사용했는데 무엇보다 놀라운 점은 국내 보안 솔루션 등 기업의 보안 환경에 대한 지식과 비지니스 이해도가 매우 높았으며 기관들의 수사, 대응 및 조치를 방해하기 위해 기만 작전까지도 펼쳤다는 점입니다.
이처럼 지금 이 순간에도 랜섬웨어는 끝없이 새로운 종류와 보다 파괴적인 형태의 변종으로 진화하고 있으며 공격자들은 조직의 보안담당자보다도 더욱 많은 정보를 가지고 있고 공격을 위해 노력을 하고 있습니다. 전통적인 랜섬웨어가 파일 암호화를 통해 금적전인 요구를 하는 것에 그쳤다면 오늘날의 랜섬웨어는 단순 파일 암호화에 그치지 않고 내부 스캔 및 정보 수집을 통해 해당 조직이 가지고 있는 취약점과 정상적인 기능을 확인하고 이를 통해 파일 암호화 이외의 공격까지도 시도하는 업그레이드된 형태로 진화하였습니다.
2. 랜섬웨어(Ransomware)란?
그렇다면 랜섬웨어는 정확하게 무엇이고 공격자들은 왜 랜섬웨어 공격을 수행할까요? 랜섬웨어(Ransomware)는 몸값을 뜻하는 “Ransom”과 악성코드를 뜻하는 “Malware”의 합성어입니다. 우리가 사용하는 PC 안에 존재하는 중요한 정보를 암호화(Encryption) 시켜 볼모로 잡아놓고 이를 복호화(Decryption) 해주는 대가로 금전적인 이익을 받는데 목적이 있습니다. 때문에 특정 대상을 타겟(Tagetted) 하기보다는 가능한 많은 중요 자료들을 감염대상으로 삼는다는 특징이 있습니다. 기본적으로 우리가 업무 간 사용하는 문서 파일들(doc, docx, xls, xlsx, ppt, pptx 등)이나 이미지 파일(jpg, gif, png 등)까지 다양한 확장자를 가진 파일들이 그 대상이 됩니다.
과거 랜섬웨어는 사이버 범죄자들이 암호화 기법을 통해 특정 파일 및 데이터 접속을 제한하기 위해 사용하던 단순하고 귀찮은 공격 기법 중 하나였는데, 공격자 혼자가 아닌 그룹 단위로 함께 행동하거나 심지어 국가로부터의 지원을 받는 공격자들이 생기면서 이를 대규모 공격 방법으로 진화시켰습니다. 공격자들은 이렇게 진화한 랜섬웨어를 이용해 대기업, 정부 기관, 글로벌 인프라 등 대상을 가리지 않고 침투하여 그들의 시스템을 마비시킬 수 있을 만큼 정교해졌습니다.
이러한 랜섬웨어 공격에 대응하기 위해 보안회사와 보안 전문가들도 노력하고 있습니다. 그 예로 한국랜섬웨어침해대응센터(RANCERT) 운영 및 민간 랜섬웨어 대응 협의체 “KARA(Korea Anti Ransomware Alliance)”를 조직하여 랜섬웨어 최신 트랜드 및 피해 실태를 조사하여 정기적으로 정보를 공유해 주고 사고 접수와 대응, 복구, 대책 방안을 제공하고 있습니다.
이 외에 전통적인 엔드포인트 보안 솔루션인 백신(AV, Anti-Virus)이 있습니다. 하지만 알려진 파일 기반의 탐지 기술을 가지고 있는 백신은 알려지지 않은 새로운 종류의 랜섬웨어나 파일이 존재 하지 않는(File-less) 형태의 공격에 대한 한계를 보이며 이를 극복할 수 있는 차세대 보안 솔루션에 대한 필요성이 있게 되었습니다.
3. Genian EDR Anti-Ransom 소개
Genian EDR(Endpoint Detection&Response)은 이름 그대로 엔드포인트 영역의 보안을 담당하고 있는 보안 솔루션으로 최근 랜섬웨어 및 행위 기반 공격(File-less)에 의해 엔드포인트 영역에 대한 보안이 강조됨에 따라 자연스럽게 주목받고 있는 보안 솔루션 입니다.
코로나 바이러스의 돌파 감염처럼 많은 보안 솔루션이 있음에도 해킹 사고는 줄지 않고 있으며, 백신으로는 역부족인 상황입니다. 백신으로 탐지를 했어도 해당 파일이 언제부터 있었는지, 다른 PC에도 해당 파일이 있는지, 어떤 정보가 유출이 됐는지, 어떤 파일을 생성했는지 알 수 없습니다. Genian EDR은 이러한 백신의 한계점을 극복하여 발생한 위협의 모든 행위를 파악하고 근본적인 원인을 찾아 동일한 위협으로부터 안전을 보장하는 차세대 보안 솔루션입니다.
[그림 3] EDR과 백신 차이
지니언스는 국내 최초로 EDR 제품인 Genian EDR을 개발하여 국내/외에 보급했고 현재 국내 EDR 시장에서 84%의 점유율을 차지하고 있으며 금융, 공공, 민간 기업 등에 걸친 약 150개의 다양한 고객군을 대상으로 50만 대 이상의 Agent를 설치하여 운용 중에 있습니다.
[그림 4] Genian EDR
엔드포인트 보안을 위해 Genian EDR이 제공하는 다양한 기능 중 랜섬웨어 대응을 위한 기능들을 소개하도록 하겠습니다.
먼저, 랜섬웨어 행위에 대한 이상 행위 탐지 정책(Rule)입니다. 위에서 언급한 바와 같이 오늘날의 진화된 랜섬웨어는 단말기 내 존재하는 파일들을 암호화하는 가장 기본적인 악성 행위 외에도 MBR 접근 및 ShadowCopy 삭제와 같은 추가적인 악성 행위를 시도합니다. 따라서 Genian EDR은 랜섬웨어가 수행하는 다양한 악성행위에 대한 정책을 제공하며 여기에 해당하는 행위가 발생한다면 이를 랜섬웨어로 특정, 자동 대응(알림, 프로세스 종료, 네트워크 격리)을 수행합니다.
Ransomware 정책 예시
- ShadowCopy 삭제
- 문서 복사 삭제 임계치 초과
- 문서 확장자 Rename 임계치 초과
- 비트로커(BitLocker)를 이용한 윈도우 드라이브 잠금(BitLockerDriveLock)
- 안티랜섬 MBR 보호 기능에 의한 MBR 쓰기 차단
- 안티랜섬 실시간 보호 기능에 의한 프로세스 실행 차단
- 안티랜섬 실시간 보호 기능에 의한 행위기반 탐지
[그림 5] Ransomware 행위 탐지 정책 예시
이름 그대로 프로세스가 수행한 행위를 기반으로 악성 여부를 판단하기 때문에 기존에 이미 알려진 위협이 아닌 신종 랜섬웨어나 정상적인 프로세스로 위장한 형태의 위협에 대해서도 탐지할 수 있습니다.
[그림 6] Ransomware 탐지 예시
다음으로 “VSS(Volume Shadow Copy Service) 관리” 기능입니다. VSS는 Windows OS에서 기본으로 제공하는 기술로 복원이나 백업과 밀접한 관계가 있는 서비스입니다. 특정한 시점에 대한 정보를 백업하기 위한 스냅샷(Snapshot)을 생성하여 필요에 따라 해당 시점으로 되돌아갈 수 있습니다. 예를 들어 사용자의 PC가 랜섬웨어에 감염되었다면 과거에 생성해 놓았던 스냅샷을 통해 해당 시점으로 복원을 할 수 있습니다.
하지만 VSS가 Windows OS에서 기본으로 제공하는 기본 기능임에도 불구하고 이를 통한 랜섬웨어 대응은 쉽지 않습니다. 일단 일반 사용자 입장에서 VSS 기능에 대한 접근 자체가 낯설고 이를 통한 정기적인 백업(스냅샷 생성)을 하기가 번거로우며 생성한 스냅샷을 꾸준히 관리하기도 어렵기 때문입니다. 뿐만 아니라 사용 중인 업무용 PC의 저장공간 등 고려해야 할 사항이 너무나도 많습니다.
따라서 Genian EDR은 Agent가 설치된 모든 단말기를 대상으로 관리자가 손쉽게 모든 문제를 해결할 수 있도록 합니다. 관리자는 Genian EDR의 관리자 페이지(Web)에서 Windows VSS 기능에 대한 손쉬운 설정을 통해 조직의 환경과 여러 요소에 따른 맞춤형 관리 및 활용을 할 수 있습니다.
설정 상세
- 백업에 사용할 최대 용량(MB)
- 백업에 사용할 최대 용량(%) : MB와 % 중 작은 값을 적용
- 보관할 백업의 수 : Snapshot 개수
- 수행 대기 시간
- 수행 시간
[그림 7] Genian EDR VSS 관리 기능
만약, 정기적인 자동 관리 외에 특정 단말기에 대해 직접 관리가 필요하다면 관리자 페이지(Web)에서 Agent가 설치된 특정 단말기를 원격에서 관리할 수 있는 “Live Response” 기능을 통해 해결할 수 있습니다. Live Response 기능을 통해 해당 단말기에 대한 커멘드 창이 제공되며 간단한 명령어로 스냅샷을 생성, 삭제, 복원 등을 수행할 수 있습니다.
[그림 8] VSS 기능을 통한 백업 및 복원
VSS 기능을 통해 랜섬웨어 감염 이전 시점으로 단말기 상태를 되돌림으로써 암호화된 파일들을 복원할 수 있습니다.
[그림9] VSS 기능을 통한 File 복원
하지만 VSS 기능을 사용한 랜섬웨어 대응에도 한 가지 문제점이 존재합니다. 바로 감염 직후에 대한 복원이 보장되지 않는다는 점입니다. 스냅샷은 관리자에 의해 설정된 “지정된 시간”에 정기적으로 생성됩니다. 따라서 스냅샷이 생성된 이후 일정 시간이 지난 후에 랜섬웨어 감염이 된다면 두 시간의 사이에 있었던 작업에 대한 내용은 복원이 불가능합니다. 이를 위해서 지니언스는 랜섬웨어 실시간 탐지 및 대응을 위한 “안티 랜섬(Anti-Ransom)” 엔진을 추가 개발하여 제품에 적용하였습니다.
[그림 10] Genian EDR Anti-Ransom
Genian EDR의 안티랜섬 기능은 앞에서 설명한 VSS 기능이 가진 “실시간 대응”이라는 한계점을 해결해줄 수 있습니다. 먼저 단말기가 기존에 알려진 위협이 아닌 신규 랜섬웨어에 의해 감염이 된다면 위에서 언급했던 이상 행위 탐지 정책을 기반으로 이를 탐지합니다.
[그림 11] Genian EDR Anti-Ransom 감염 전 예시
최초 탐지 직후 악성(랜섬웨어)으로 예상이 되는 프로세스를 멈추고(Suspend) 다시 한번 악성 여부를 판단합니다. 만약 또 다시 악성으로 식별이 된다면 해당 프로세스가 접근한 모든 파일들에 대한 실시간 백업을 진행합니다.
[그림 12] Genian EDR Anti-Ransom 감염 후 실시간 백업 예시
실시간 백업이 완료되면 악성 프로세스를 종료(Kill)한 후에 암호화된 파일들을 삭제하고 백업한 정보를 기반으로 원본 파일을 복원합니다.
[그림 13] Genian EDR Anti-Ransom 감염 후 실시간 복원 예시
이처럼 지니언스의 Genian EDR은 이상 행위 탐지 정책, VSS 기능, 안티랜섬을 이용한 실시간 복원 기능 등 다양한 방식으로 우리 조직을 외부의 랜섬웨어 위협으로부터 지키는 데 도움이 되고 있습니다. 현재 지니언스는 이미 구현된 탐지 정책 및 기능 외에 추가적인 연구와 개발을 통해 또 다른 신규 랜섬웨어로부터 우리의 자산과 정보를 지키기 위해 노력하고 있습니다.
4. Genian EDR Anti-Ransom 활용 사례
최근 Genian EDR을 도입하여 운영 중에 있는 고객사 한 곳에서 랜섬웨어를 탐지하여 사전에 대응했던 사건이 있었습니다. 해당 랜섬웨어는 고객사의 외부망에 침입하여 VSS 기능을 통한 복원을 하지 못하게 하기 위해서 파일 암호화 이전에 ShadowCopy 삭제를 시도하였고 해당 행위가 Genian EDR의 이상 행위 탐지 정책에 탐지되어 자동대응(강제종료) 되었던 사건이었습니다.
[그림 14] 동일 랜섬웨어 탐지 예시
[그림 14]에서 확인할 수 있는 것처럼 해당 랜섬웨어는 “vssadmin delete shadows /all /quite ” 명령을 통해 VSS 스냅샷을 모두(/all) 안보이게(/quite) 지우려 시도하였습니다. 만약 Genian EDR이 아니었다면 공격자의 행위에 의해 모든 스냅샷이 삭제되었을 것이며 파일이 암호화되어 더 큰 피해를 초래할 수 있었던 사건이었습니다.
이 외에도 많은 고객사들이 Genian EDR을 통해 랜섬웨어를 조기에 탐지하여 피해를 최소화하고 있습니다.
5. 마치며..
마지막으로 다시 한번 강조하지만 랜섬웨어는 일반적인 바이러스나 악성코드와 달리 백신 소프트웨어를 설치했다고 감염을 막을 수 있거나 치료할 수 있는 공격이 아닙니다. 알려진 위협에 대한 정보를 업데이트하더라도 금세 또 다른 암호화 알고리즘이나 형태를 가진 신규 랜섬웨어가 등장하여 우리를 위협할 것입니다. Genian EDR과 같은 보안 솔루션이 우리를 향한 위협으로부터 우리의 자산과 정보를 지키는데 많은 도움을 주기도 하겠지만 우리 스스로 정보보안에 대한 인식을 함양하고 생활 속에서 이를 실천하고자 노력해야 합니다.
- 응용 프로그램, 백신 등을 최신 버전으로 유지하기
- 악성코드 감지가 가능한 크롬, 네이버 웨일, 파이퍼 폭스 같은 웹 브라우저 사용하기
- 무분별한 파일 다운로드 및 접속 피하기
꼭 대단한 전문 지식이 아니더라도 위와 같은 작은것들부터 생활 속에서 실천한다면 우리 모두 스스로 위협을 예방하고 대비할 수 있을 것 입니다.
글쓴이. 강한별
지니언스 컨설팅부에서 사이버 위협 인텔리전스(CTI, Cyber Threat Intelligence) 연구 및 Genian EDR 고객 컨설팅 업무를 담당하고 있습니다.