랜섬웨어 : 사회적 위협의 심화와 동향

날짜2017.03.02
조회수16298
글자크기
  • Ransomware : Deepening Social Threat and Trends
    • 랜섬웨어는 1990년대에 등장한 오래된 보안위협이지만, 최근 가상화폐 등 기술 환경 변화에 따라 심각한 주요 보안위협으로 지목
    • 이미 랜섬웨어는 범죄자들에게 고수익이 보장되는 성장산업으로 인식되어, 향후 랜섬웨어를 통한 사이버 범죄가 더욱 악화될 것으로 전망
    • 특히 2017년 1~2월 동안 미국에서 기반시설을 마비시키는 랜섬웨어 사례가 계속 보고되면서 사회적 위협으로 급부상
    • 랜섬웨어에 대한 적극적인 사전 예방 및 대응을 위해 정부와 기업, 개인 등 사회 구성원 모두의 노력이 요구
    • Recently ransomware has been pointed out as a serious security threat due to technological changes like virtual currency, despite it is an old security threat that emerged in the 1990s
    • Ransomware is already recognized as a growth industry that is highly profitable for criminals, it is expected that cyber crimes related ransomware will become worse from now on
    • Especially, as the cases of Ransomware attacking the infrastructure are reported continuously in January and February 2017, they are emerging as a social threat
    • To actively prevent and respond to Ransomware, efforts must be made by all members of our society, including the government, businesses, and individuals
  • 랜섬웨어의 부상 및 확산
    • 랜섬웨어는 최근 심각한 보안위협으로 부상
    • 랜섬웨어는 1980년대 등장한 고전적인 공격이지만, 최근 랜섬웨어에 적합한 기술 환경이 조성되면서, 강력한 보안위협으로 부상
    • 화폐로서 가치를 인정받은 가상화폐인 비트코인은 공개키 암호 기술을 이용한 암호화폐(Cryptocurrency)로 익명성을 보장하며 추적이 불가능하기에, 신분을 감추려는 랜섬웨어 공격자들이 돈을 받는 수단으로 활용
    • 가상화폐 산업이 활성화되면서 가상화폐가 실물화폐로 손쉽게 교환되기에, 비트코인과 같은 가상화폐는 랜섬웨어의 확산에 크게 기여
    • 2013년부터 주요 보안업체 및 정부기관의 보안위협 예측 및 전망에서 주요 보안위협의 하나로 식별하고있지만, 랜섬웨어에 대한 우려와 걱정은 더욱 증가되고 있고, 2017년 전망도 핵심 보안위협으로 예측
    • <표 1> 국내외 2016-2017년 보안위협 예측/전망에서의 ‘랜섬웨어’
    • 랜섬웨어 피해 확산과 범죄수익의 증가
    • 랜섬웨어는 공격에 요구되는 노력에 비해 상대적으로 높은 이익을 챙길 수 있다는 점에서 사이버 공격자들에게 매력적인 공격 방법이며, 실제 가장 높은 수익을 얻을 수 있는 악성코드로 확인
    • (시만텍) 랜섬웨어가 요구한 금액은 2015년 평균 294달러에서 2016년 679달러로 1년 사이에 약 230% 증가
    • (미국 FBI) 랜섬웨어의 범죄수익은 2015년 2,400만 달러에서 2016년 1분기에만 2억 9백만 달러로 증가, 2016년에 10억 달러의 범죄수익 발생을 추정
    • (한국랜섬웨어침해대응센터) 국내에서 랜섬웨어 공격자에게 지급된 금액은 2015년 약 30억 원 → 2016년 100억 원 이상으로 확대
    • (Cyber Threat Alliance) CryptoWall의 수익은 약 3억 4천만 달러로 추정
    • (카스퍼스키랩) CryptoLocker은 100일 만에 3천만 달러를 번 것으로 추정
    • 비즈니스된 랜섬웨어의 등장
    • 랜섬웨어의 높은 범죄수익에 따라, 랜섬웨어를 대신 제작하여 판매하고 관리해주는 서비스인 서비스화된 랜섬웨어(RaaS: Ransomware as a Service) 등장
    • RaaS의 가장 큰 문제는 공격자가 기술적 역량이 없더라도 단순히 구입을 통해 랜섬웨어 공격을 쉽게 수행할 수 있는 것
    • 최근에는 제작비용 대신 랜섬웨어로 인한 수익의 일부를 수수료로 받는 RaaS도 등장, 랜섬웨어가 쉽게 확산될 수 있는 환경이 조성
    • 랜섬웨어는 급격하게 증가 중
    • 높은 수익성이 확인되면서 랜섬웨어의 규모는 급성장 중
    • (트렌드마이크로) 랜섬웨어 패밀리 수는 2015년 전체보다 2016년 1분기에만 172% 증가. 2016년 1월 대비 9월 말 400% 증가. 2017년 25% 증가 예측
    • <그림 1> 연간 랜섬웨어 패밀리 수의 증가 및 예측
    • (카스퍼스키랩) 새롭게 등장한 변종 랜섬웨어는 2016년 1분기 2,900개에서 3분기 32,091개로 약 11배 증가
    • (카스퍼스키랩) 개인/기업에 대한 랜섬웨어의 공격발생 빈도도 급격히 증가 : 개인은 2016년 1분기 20초에서 3분기 10초로 공격 빈도가 2배 증가, 기업은 2016년 1분기 2분에서 3분기 40초로, 공격 빈도가 6배 증가
    • 전 세계적으로 피해 지역도 확대, 우리나라도 랜섬웨어에 취약
    • (카스퍼스키랩) 랜섬웨어에 공격당한 상위국가 순위가 일본, 크로아티아에 이어 우리나라가 3위로 분석 랜섬웨어에 취약한 것이 확인 (2016년 3분기)
    • <그림 2> 랜섬웨어 악성코드 국가별 분포도 (2016년 3분기 기준)
    • <그림 3> 랜섬웨어에 공격당한 상위 10개 국가 (2016년 3분기 기준)
  • 심화되고 있는 랜섬웨어
    • 사회적 위협으로의 발전
    • 최근 랜섬웨어는 금전적 목적으로 개인과 기업의 PC 내 파일을 암호화하는 공격의 범주를 넘어, 사회기반 시설의 데이터를 사용불가능 상태로 만들어 기반시설을 마비시키는 사회적인 위협으로 발전 중
    • 최근의 랜섬웨어 공격 사례
    • 미국 오하이오주 리킹 카운티(Licking County) 정부 시스템 마비 (’17.2.1)
    • 관공서 및 경찰서 내부 네트워크 시스템이 랜섬웨어로 인해 마비, 현재 시스템을 오프라인으로 전환, 공무원들이 PC 없이 업무를 수행 중
    • 미국 텍사스주 코크렐힐(Cockrell Hill) 경찰 데이터 삭제 (’17.1.25)
    • 경찰서 내에 저장되어 있던 MS문서, 사진, 바디카메라 녹화파일, 경찰서 내부 감시 녹화파일, 블랙박스 파일 등 8년 분량의 디지털 증거가 삭제
    • 미국 워싱턴D.C. 경찰 CCTV시스템 공격 (’17.1.12)
    • CCTV로 촬영한 동영상을 저장하는 네트워크 비디오 레코더 123대가 감염, CCTV시스템이 마비, 시스템 복원에 3일 소요
    • 미국 캘리포니아주 샌프란시스코시 교통국(SFMTA) 시스템 마비 (’16.11.25)
    • 경전철의 무인티켓발급기 등 교통 운영시스템의 데이터가 암호화되어, 교통 관련 운영시설이 마비, 시민들이 무료로 교통을 이용, 복구에 3일 소요
  • 시사점
    • 랜섬웨어의 위협은 당분간 계속될 것으로 예상
    • 보안업체들은 2017년 랜섬웨어가 더욱 성장, 진화할 것을 전망하며, 이에 따라 사회 기반시설을 마비시킬 수 있는 잠재적인 위협도 증가할 것으로 예측
    • 2016년 말부터 기반시설에 대한 랜섬웨어 공격사례가 보고되고 있어, 이러한 랜섬웨어에 대한 전망과 예측은 빗나가지 않을 것으로 기대
    • 지속될 위협에 대응하기 위한 모두의 노력이 요구
    • 랜섬웨어의 보안위협이 계속됨에 따라 해결을 위한 노력이 요구되나, 백신 등 기술적 대응은 한계가 분명하므로, 정부 주도의 정책적 노력이 필요
    • 개인도 발전하는 IT 환경에 대해 잘 이해하고 랜섬웨어의 위협을 예방하기 위한 보안인식을 갖출 필요가 있으며, 이를 지원할 수 있는 사회 환경의 조성이 필요
    • EU는 유럽 사법협력기구, EU 집행위원회의 지원 하에, 2016년 7월 Europol, 네덜란드 경찰국, 카스퍼스키랩, 인텔시큐리티와 함께 대응 사이트(www.nomoreransom.org)를 개설, 계몽 활동을 전개. 3개월만에 13개국 사법 기관이 추가로 프로젝트 참여 예정
  • 참고문헌 Reference
    • Symantec Security Response(2016). “리포트: 기업에서 증가하는 랜섬웨어의 위협에 대응해야 할 필요성”, Symantec Official Blog, 2016년 7월 19일.https://www.symantec.com/connect/node/3621531
    • Herb Weisbaum(2017). “Ransomware: Now a Billion Dollar a Year Crime and Growing“, NBC News, Jan. 9, 2017.http://www.nbcnews.com/tech/security/ransomware-now-billion-dollar-year-crimegrowing-n704646
    • 카스퍼스키랩(2015). “기업에 치명타를 주는 랜섬웨어, 그 심각성을 인식하고 있음에도 피해는 계속돼…”, 2015년11월 30일.http://news.kaspersky.co.kr/news2015/11n/151130.htm
    • Clarence Williams(2017). “Hackers hit D.C. police closed-circuit camera network, city officials disclose”, The Washington Post, Jan. 27, 2017.https://www.washingtonpost.com/local/public-safety/hackers-hit-dc-police-closed-circuit-camera-network-city-officials-disclose/2017/01/27/d285a4a4-e4f5-11e6-ba11-63c4b4fb5a63_story.html
    • Jason Trahan(2017). “Cockrell Hill police lose years worth of evidence in ransom hacking”, WFAA, Jan.25, 2017.http://www.wfaa.com/news/local/cockrell-hill-police-lose-years-worth-of-evidence-inransom-hacking/392673232
    • 10TV(2017). “Officials: Ransom demanded in Licking County technology hack”, Feb. 1, 2017. http://www.10tv.com/article/officials-ransom-demanded-licking-county-technology-hack