Ransomware : Deepening Social Threat and Trends

■ 랜섬웨어는 1990년대에 등장한 오래된 보안위협이지만, 최근 가상화폐 등 기술 환경 변화에 따라 심각한 주요 보안위협으로 지목
■ 이미 랜섬웨어는 범죄자들에게 고수익이 보장되는 성장산업으로 인식되어, 향후 랜섬웨어를 통한 사이버 범죄가 더욱 악화될 것으로 전망
■ 특히 2017년 1~2월 동안 미국에서 기반시설을 마비시키는 랜섬웨어 사례가 계속 보고되면서 사회적 위협으로 급부상
■ 랜섬웨어에 대한 적극적인 사전 예방 및 대응을 위해 정부와 기업, 개인 등 사회 구성원 모두의 노력이 요구

■ Recently ransomware has been pointed out as a serious security threat due to technological changes like virtual currency, despite it is an old security threat that emerged in the 1990s
■ Ransomware is already recognized as a growth industry that is highly profitable for criminals, it is expected that cyber crimes related ransomware will become worse from now on
■ Especially, as the cases of Ransomware attacking the infrastructure are reported continuously in January and February 2017, they are emerging as a social threat
■ To actively prevent and respond to Ransomware, efforts must be made by all members of our society, including the government, businesses, and individuals

□ 랜섬웨어의 부상 및 확산

● 랜섬웨어는 최근 심각한 보안위협으로 부상

- 랜섬웨어는 1980년대 등장한 고전적인 공격이지만, 최근 랜섬웨어에 적합한 기술 환경이 조성되면서, 강력한 보안위협으로 부상

• 화폐로서 가치를 인정받은 가상화폐인 비트코인은 공개키 암호 기술을 이용한 암호화폐(Cryptocurrency)로 익명성을 보장하며 추적이 불가능하기에, 신분을 감추려는 랜섬웨어 공격자들이 돈을 받는 수단으로 활용
• 가상화폐 산업이 활성화되면서 가상화폐가 실물화폐로 손쉽게 교환되기에, 비트코인과 같은 가상화폐는 랜섬웨어의 확산에 크게 기여

- 2013년부터 주요 보안업체 및 정부기관의 보안위협 예측 및 전망에서 주요 보안위협의 하나로 식별하고있지만, 랜섬웨어에 대한 우려와 걱정은 더욱 증가되고 있고, 2017년 전망도 핵심 보안위협으로 예측

<표 1> 국내외 2016-2017년 보안위협 예측/전망에서의 ‘랜섬웨어’

● 랜섬웨어 피해 확산과 범죄수익의 증가

- 랜섬웨어는 공격에 요구되는 노력에 비해 상대적으로 높은 이익을 챙길 수 있다는 점에서 사이버 공격자들에게 매력적인 공격 방법이며, 실제 가장 높은 수익을 얻을 수 있는 악성코드로 확인

• (시만텍) 랜섬웨어가 요구한 금액은 2015년 평균 294달러에서 2016년 679달러로 1년 사이에 약 230% 증가
• (미국 FBI) 랜섬웨어의 범죄수익은 2015년 2,400만 달러에서 2016년 1분기에만 2억 9백만 달러로 증가, 2016년에 10억 달러의 범죄수익 발생을 추정
• (한국랜섬웨어침해대응센터) 국내에서 랜섬웨어 공격자에게 지급된 금액은 2015년 약 30억 원

→ 2016년 100억 원 이상으로 확대

• (Cyber Threat Alliance) CryptoWall의 수익은 약 3억 4천만 달러로 추정
• (카스퍼스키랩) CryptoLocker은 100일 만에 3천만 달러를 번 것으로 추정

● 비즈니스된 랜섬웨어의 등장

- 랜섬웨어의 높은 범죄수익에 따라, 랜섬웨어를 대신 제작하여 판매하고 관리해주는 서비스인 서비스화된 랜섬웨어(RaaS: Ransomware as a Service) 등장

• RaaS의 가장 큰 문제는 공격자가 기술적 역량이 없더라도 단순히 구입을 통해 랜섬웨어 공격을 쉽게 수행할 수 있는 것

- 최근에는 제작비용 대신 랜섬웨어로 인한 수익의 일부를 수수료로 받는 RaaS도 등장, 랜섬웨어가 쉽게 확산될 수 있는 환경이 조성

● 랜섬웨어는 급격하게 증가 중

- 높은 수익성이 확인되면서 랜섬웨어의 규모는 급성장 중

• (트렌드마이크로) 랜섬웨어 패밀리 수는 2015년 전체보다 2016년 1분기에만 172% 증가. 2016년 1월 대비 9월 말 400% 증가. 2017년 25% 증가 예측

<그림 1> 연간 랜섬웨어 패밀리 수의 증가 및 예측

• (카스퍼스키랩) 새롭게 등장한 변종 랜섬웨어는 2016년 1분기 2,900개에서 3분기 32,091개로 약 11배 증가
• (카스퍼스키랩) 개인/기업에 대한 랜섬웨어의 공격발생 빈도도 급격히 증가 : 개인은 2016년 1분기 20초에서 3분기 10초로 공격 빈도가 2배 증가, 기업은 2016년 1분기 2분에서 3분기 40초로, 공격 빈도가 6배 증가

● 전 세계적으로 피해 지역도 확대, 우리나라도 랜섬웨어에 취약

- (카스퍼스키랩) 랜섬웨어에 공격당한 상위국가 순위가 일본, 크로아티아에 이어 우리나라가 3위로 분석 랜섬웨어에 취약한 것이 확인 (2016년 3분기)

<그림 2> 랜섬웨어 악성코드 국가별 분포도 (2016년 3분기 기준)

<그림 3> 랜섬웨어에 공격당한 상위 10개 국가 (2016년 3분기 기준)

□ 심화되고 있는 랜섬웨어

● 사회적 위협으로의 발전

- 최근 랜섬웨어는 금전적 목적으로 개인과 기업의 PC 내 파일을 암호화하는 공격의 범주를 넘어, 사회기반 시설의 데이터를 사용불가능 상태로 만들어 기반시설을 마비시키는 사회적인 위협으로 발전 중

● 최근의 랜섬웨어 공격 사례

- 미국 오하이오주 리킹 카운티(Licking County) 정부 시스템 마비 (’17.2.1)

• 관공서 및 경찰서 내부 네트워크 시스템이 랜섬웨어로 인해 마비, 현재 시스템을 오프라인으로 전환, 공무원들이 PC 없이 업무를 수행 중

- 미국 텍사스주 코크렐힐(Cockrell Hill) 경찰 데이터 삭제 (’17.1.25)

• 경찰서 내에 저장되어 있던 MS문서, 사진, 바디카메라 녹화파일, 경찰서 내부 감시 녹화파일, 블랙박스 파일 등 8년 분량의 디지털 증거가 삭제

- 미국 워싱턴D.C. 경찰 CCTV시스템 공격 (’17.1.12)

• CCTV로 촬영한 동영상을 저장하는 네트워크 비디오 레코더 123대가 감염, CCTV시스템이 마비, 시스템 복원에 3일 소요

- 미국 캘리포니아주 샌프란시스코시 교통국(SFMTA) 시스템 마비 (’16.11.25)

• 경전철의 무인티켓발급기 등 교통 운영시스템의 데이터가 암호화되어, 교통 관련 운영시설이 마비, 시민들이 무료로 교통을 이용, 복구에 3일 소요

□ 시사점

● 랜섬웨어의 위협은 당분간 계속될 것으로 예상

- 보안업체들은 2017년 랜섬웨어가 더욱 성장, 진화할 것을 전망하며, 이에 따라 사회 기반시설을 마비시킬 수 있는 잠재적인 위협도 증가할 것으로 예측

• 2016년 말부터 기반시설에 대한 랜섬웨어 공격사례가 보고되고 있어, 이러한 랜섬웨어에 대한 전망과 예측은 빗나가지 않을 것으로 기대

● 지속될 위협에 대응하기 위한 모두의 노력이 요구

- 랜섬웨어의 보안위협이 계속됨에 따라 해결을 위한 노력이 요구되나, 백신 등 기술적 대응은 한계가 분명하므로, 정부 주도의 정책적 노력이 필요
- 개인도 발전하는 IT 환경에 대해 잘 이해하고 랜섬웨어의 위협을 예방하기 위한 보안인식을 갖출 필요가 있으며, 이를 지원할 수 있는 사회 환경의 조성이 필요

• EU는 유럽 사법협력기구, EU 집행위원회의 지원 하에, 2016년 7월 Europol, 네덜란드 경찰국, 카스퍼스키랩, 인텔시큐리티와 함께 대응 사이트(www.nomoreransom.org)를 개설, 계몽 활동을 전개. 3개월만에 13개국 사법 기관이 추가로 프로젝트 참여 예정

참고문헌 Reference

✽ Symantec Security Response(2016). “리포트: 기업에서 증가하는 랜섬웨어의 위협에 대응해야 할 필요성”, Symantec Official Blog, 2016년 7월 19일.https://www.symantec.com/connect/node/3621531
✽ Herb Weisbaum(2017). “Ransomware: Now a Billion Dollar a Year Crime and Growing“, NBC News, Jan. 9, 2017.http://www.nbcnews.com/tech/security/ransomware-now-billion-dollar-year-crimegrowing-n704646
✽ 카스퍼스키랩(2015). “기업에 치명타를 주는 랜섬웨어, 그 심각성을 인식하고 있음에도 피해는 계속돼…”, 2015년11월 30일.http://news.kaspersky.co.kr/news2015/11n/151130.htm
✽ Clarence Williams(2017). “Hackers hit D.C. police closed-circuit camera network, city officials disclose”, The Washington Post, Jan. 27, 2017.https://www.washingtonpost.com/local/public-safety/hackers-hit-dc-police-closed-circuit-camera-network-city-officials-disclose/2017/01/27/d285a4a4-e4f5-11e6-ba11-63c4b4fb5a63_story.html
✽ Jason Trahan(2017). “Cockrell Hill police lose years worth of evidence in ransom hacking”, WFAA, Jan.25, 2017.http://www.wfaa.com/news/local/cockrell-hill-police-lose-years-worth-of-evidence-inransom-hacking/392673232
✽ 10TV(2017). “Officials: Ransom demanded in Licking County technology hack”, Feb. 1, 2017. http://www.10tv.com/article/officials-ransom-demanded-licking-county-technology-hack

월간SW중심사회 2017년 2월호