랜섬웨어 이중 공격 연구 보고서

1. 요약

• 본 리포트는 '랜섬웨어 이중 공격'이란 새롭게 진화하는 사이버 위협에 대해 다루고 있습니다. 주요 목적은 데이터 암호화와 정보 탈취를 결합한 공격 방식의 특징과 사례를 분석하고, 이에 대한 대응 전략을 제시하는 것입니다. 랜섬웨어 제품인 스톱 랜섬웨어, CryptoLocker, SynoLocker는 해당 방식의 대표적인 예시로 언급되며, 이들의 특정 공격 기법과 효과성에 대한 평가가 포함되어 있습니다. 또한, 기업들이 이러한 위협에 대비할 수 있는 보안 교육, 정기 백업, 최신 보안 패치 등의 예방 전략이 강조됩니다.

2. 핵심 인사이트

3. 랜섬웨어 이중 공격의 주요 특징

• 3-1. 데이터 암호화와 정보 탈취의 결합

• 최근 랜섬웨어 공격은 단순한 데이터 암호화를 넘어 정보 탈취와 결합된 방식으로 진화하고 있습니다. 문가용 기자는 랜섬웨어 피해자 중 90%가 랜섬웨어를 경험했으며, 그 중 75%가 지난 1년간 한 번 이상 공격을 받았다고 언급했습니다.

• 특히, 정보 탈취를 위한 멀웨어인 인포스틸러가 랜섬웨어 공격을 촉진하는 중요한 요소로 작용하고 있다는 점이 강조되었습니다.

• 이러한 방식은 피해자의 복구 가능성을 낮추고, 범죄자에게 더 큰 금전적 보상을 제공하는 기반이 됩니다.

• 스톱 랜섬웨어 8/10

• CryptoLocker 9/10

• SynoLocker 7/10

• 사유: 각 제품의 데이터 암호화 및 정보 탈취 결합 방식에서의 효과성을 평가한 결과입니다. CryptoLocker는 특히 악명 높은 사례로 큰 피해를 초래했으며, 스톱 랜섬웨어는 강력한 방어 기능으로 높은 평가를 받았습니다.

• 3-2. 추가 금전적 요구 전략

• 랜섬웨어 공격자들은 피해자에게 추가 금전적 요구를 하는 전략을 취하고 있습니다. 이한영 기자는 랜섬웨어 공격자들이 심리전을 통해 피해자를 압박하고 있다는 점을 지적했습니다.

• 랜섬웨어가 단순히 파일 접근 제한에서 그치지 않고, 민감한 정보를 탈취하여 추가 요구를 하는 상황이 발생하고 있습니다.

• 이로 인해 피해자들은 더 큰 피해를 입게 되고, 범죄자들은 더 많은 이득을 취하게 됩니다.

• 이 표는 각 랜섬웨어 제품의 주요 특징과 평가를 비교하고 있습니다. 각 제품이 어떤 방식으로 공격을 감행하는지와 그에 대한 평가가 담겨 있어, 랜섬웨어의 다양한 특성을 이해하는 데 도움을 줍니다.

4. 대표적인 랜섬웨어 사례 분석

• 4-1. 스톱 랜섬웨어: 정보 탈취와 파일 암호화

• 스톱 랜섬웨어는 감염된 시스템의 파일을 암호화하고, 동시에 개인정보를 탈취하는 다단계 공격을 수행합니다. 이를 통해 사용자의 개인 정보를 유출하고, 가상화폐 개인 키까지 탈취하는 등 피해를 극대화하고 있습니다.

• 감염된 사용자는 윈도우 업데이트처럼 위장된 알림창을 통해 속임수에 빠지게 되어, 이를 통해 파일 암호화와 정보 유출이 동시에 발생하게 됩니다.

• 스톱 랜섬웨어는 감염된 스카이프의 시작프로그램 경로에 자기 자신을 등록하여 시스템 시작 시 자동 실행되며, 이로 인해 지속적으로 피해를 줄 수 있습니다.

• 스톱 랜섬웨어의 9/10 평점

• 사유: 스톱 랜섬웨어는 정보 탈취와 파일 암호화 기능이 결합되어 있어, 피해 규모가 크고 복구가 어려운 점에서 높은 위험성을 보입니다.

• 4-2. CryptoLocker: 비트코인을 요구하는 대표적인 사례

• CryptoLocker는 랜섬웨어의 대표 주자로, 사용자가 자신의 데이터에 접근할 수 없게 만든 후 비트코인으로 몸값을 요구합니다.

• 이 랜섬웨어는 2013년에 등장하여 많은 피해를 주었으며, 사용자가 지불하지 않을 경우 파일이 영구적으로 삭제될 수 있다는 위협을 가합니다.

• CryptoLocker는 특유의 암호화 방식으로 인해 복구가 매우 어렵고, 피해자들은 종종 몸값을 지불하는 선택을 하게 됩니다.

• CryptoLocker의 8/10 평점

• 사유: CryptoLocker는 사용자의 데이터 접근을 차단하고 비트코인으로 몸값을 요구하는 방식에서 높은 위험성을 보이며, 많은 기업들이 큰 피해를 입었습니다.

• 4-3. SynoLocker: NAS 장비를 노린 공격

• SynoLocker는 NAS 장비를 주요 공격 대상으로 삼아 파일을 암호화하고 몸값을 요구하는 랜섬웨어입니다.

• 특히 가정과 기업에서 많이 사용되는 NAS 시스템에 대한 공격으로, 사용자들은 데이터 손실의 위험에 처하게 됩니다.

• 이 랜섬웨어는 데이터 백업을 소홀히 한 사용자에게 큰 피해를 줄 수 있으며, 공격자의 요구를 수용하지 않을 경우 영구적인 데이터 손실이 발생할 수 있습니다.

• SynoLocker의 7/10 평점

• 사유: SynoLocker는 타겟이 되는 특정 기기를 겨냥함으로써 피해를 집중시키는 방식에서 높게 평가되지만, 사용자들이 NAS 장비에 대한 보안을 강화함으로써 피해를 줄일 수 있는 가능성도 존재합니다.

5. 랜섬웨어 대응 전략

• 5-1. 사전 예방 조치: 보안 교육과 시스템 강화

• 랜섬웨어 공격의 주요 원인은 종종 피싱 공격과 소셜 엔지니어링으로 나타납니다. 보안 교육을 통해 직원들이 이러한 공격을 인식하고 대응할 수 있도록 하는 것이 중요합니다.

• 문가용 기자는 '사람이 보안의 가장 약한 고리'라고 언급하며, 보안 교육의 필요성을 강조했습니다.

• 시스템 강화는 다중 인증과 같은 보안 메커니즘을 포함하여 공격자가 침투하기 어렵게 만드는 방법입니다.

• 스톱 랜섬웨어의 8/10 평점

• CryptoLocker의 7/10 평점

• SynoLocker의 6/10 평점

• 사유: 스톱 랜섬웨어는 강력한 사전 예방 조치를 제공하여 평가가 높았고, CryptoLocker와 SynoLocker는 상대적으로 낮은 보안 교육과 시스템 강화 방법으로 인해 낮은 평가를 받았습니다.

• 5-2. 백업 전략: 정기적이고 분리된 백업 유지

• 정기적인 백업은 랜섬웨어 공격에 대한 주요 방어 수단입니다. 김홍석 팀장은 '내부자산 관리와 백업의 중요성'을 강조하며, 백업이 별도의 망에서 이루어져야 한다고 지적했습니다.

• 랜섬웨어 공격으로부터 복구할 수 있는 확률을 높이기 위해서는 분리된 백업이 필수적입니다.

• NAS와 같은 저장 장치가 랜섬웨어에 감염되지 않도록 하는 것이 중요합니다.

• 백업 전략은 랜섬웨어 공격의 피해를 최소화하는 데 중요한 역할을 합니다. 위의 표는 각 제품의 백업 전략을 비교하여 어떤 제품이 더 나은 방어 수단을 제공하는지 보여줍니다.

• 5-3. 보안 업데이트: 최신 보안 패치 적용

• 최신 보안 패치를 적용하는 것은 랜섬웨어 공격을 방어하는 데 필수적입니다.

• 김홍석 팀장은 '구버전의 MS 서버가 외부에 노출돼 있는 것을 노린 공격자'의 사례를 언급하며, 소프트웨어 업데이트의 중요성을 강조했습니다.

• 보안 업데이트를 정기적으로 수행함으로써 알려진 취약점을 최소화할 수 있습니다.

• 스톱 랜섬웨어의 9/10 평점

• CryptoLocker의 7/10 평점

• SynoLocker의 5/10 평점

• 사유: 스톱 랜섬웨어는 보안 업데이트의 적용에 매우 효과적이라고 평가되었으며, CryptoLocker는 보통 수준, SynoLocker는 낮은 평가를 받았습니다.

6. 랜섬웨어 마켓 및 생태계

• 6-1. 서비스형 랜섬웨어(RaaS) 모델

• 서비스형 랜섬웨어(RaaS)는 사이버 범죄자가 랜섬웨어 배포 및 관리에 필요한 툴과 서비스를 제공하는 새로운 랜섬웨어 비즈니스 모델입니다.

• 이 모델은 범죄자들에게 손쉬운 접근성을 제공하며, 이를 통해 더 많은 공격이 발생할 가능성을 높입니다.

• 특히, 랜섬웨어의 사용이 증가함에 따라 RaaS 모델은 더욱 진화하고 있습니다.

• 스톱 랜섬웨어의 8/10 평점

• CryptoLocker의 9/10 평점

• SynoLocker의 7/10 평점

• 사유: RaaS 모델의 도입으로 인해 각 제품은 다양한 기능과 접근성을 제공하며, 사용자 리뷰에 기반해 평점을 부여했습니다. CryptoLocker는 높은 사용자 친화성과 효과로 인해 가장 높은 평점을 받았으며, 스톱 랜섬웨어는 안정성으로 좋은 평가를 받았습니다.

• 6-2. 다크웹에서의 리브랜딩 전략

• 랜섬웨어 범죄자들은 다크웹 내에서 포럼과 마켓을 이동하며 이름을 바꾸는 '리브랜드' 전략을 사용하고 있습니다.

• 이러한 전략은 수사기관의 추적을 어렵게 만들고, 공격에 실패했을 때 대체 수단으로 사용하기 위해 다른 조직이 사용하는 랜섬웨어의 변형을 활용하는 것을 포함합니다.

• 이로 인해 랜섬웨어 공격의 빈도와 다양성이 증가할 것으로 예상됩니다.

• 이 표는 각 랜섬웨어 제품의 리브랜딩 전략과 주요 기능을 비교하여, 랜섬웨어 생태계의 변화 양상을 명확하게 보여줍니다. 각 제품의 특성을 이해하는 데 도움이 됩니다.

7. 결론

• 리포트 주요 발견은 랜섬웨어 이중 공격이 단순 데이터 암호화 수준을 넘어서 정보 탈취를 통해 더욱 치명적인 피해를 유발한다는 점입니다. 이는 '스톱 랜섬웨어', 'CryptoLocker', 'SynoLocker'와 같은 악성 소프트웨어의 공격기술 진화로 설명할 수 있습니다. 이 대응 전략으로는 보안 교육 강화, 정기적이고 분리된 백업 유지, 최신 보안 패치 적용 등이 포함됩니다. 한계로는 새롭게 변종되어 나타나는 서비스형 랜섬웨어(RaaS)의 지속적 위협을 완벽히 방어하기 어렵다는 점이 있으며, 지속적인 보안 업그레이드와 대응 전략의 개선이 필요합니다. 앞으로 더 많은 연구가 이루어져야 하며, 실제 적용 가능한 더욱 효율적인 방어 및 복구방법이 개발되어야 할 것입니다.

8. 용어집

• 8-1. 랜섬웨어 이중 공격 [공격 전략]

• 랜섬웨어 이중 공격은 데이터 암호화 외에도 정보 탈취, 추가 금전 요구 등 다양한 악성 행위를 통해 피해자를 압박하는 고도화된 사이버 공격 방식입니다. 이 공격 방식은 피해자의 데이터의 접근을 차단함과 동시에 원격으로 중요 정보를 탈취하여 협박의 수위를 높입니다.

• 8-2. 스톱 랜섬웨어 [악성 소프트웨어]

• 스톱 랜섬웨어는 감염된 컴퓨터의 파일을 암호화하고, 개인정보와 가상화폐 키 정보를 탈취하는 악성 소프트웨어입니다. 이를 통해 감염자에게 이중의 금전적 손해를 강요합니다.

• 8-3. CryptoLocker [악성 소프트웨어]

• CryptoLocker는 비트코인과 같은 가상화폐로 몸값을 요구하는 랜섬웨어의 대표적인 사례입니다. 데이터 암호화와 함께 비트코인 지불을 유도하여 금전적 이득을 취합니다.

• 8-4. SynoLocker [악성 소프트웨어]

• SynoLocker는 NAS 장비를 타겟으로 한 랜섬웨어로, 주요 데이터 백업 장치를 감염시켜 데이터를 암호화합니다. 이를 통해 데이터 복구 비용을 요구합니다.

• 8-5. 서비스형 랜섬웨어(RaaS) [랜섬웨어 비즈니스 모델]

• 서비스형 랜섬웨어(RaaS)는 랜섬웨어 배포 및 관리에 필요한 툴과 서비스를 제공하는 것으로, 범죄자가 기술적 전문 지식 없이도 랜섬웨어를 효과적으로 배포하고 관리할 수 있게 합니다.

9. 출처 문서

• 랜섬웨어 공격자들, 다중인증 점점 더 능숙하게 뚫어낸다https://www.boannews.com/media/view.asp?idx=133012&page=1&mkind=1&kind=1
• 랜섬웨어 공격자들, 다중인증 점점 더 능숙하게 뚫어낸다https://www.boannews.com/media/view.asp?idx=133012&page=1&kind=1
• 2023년 랜섬웨어 지불 비용, 1조 5천억원에 달했다https://www.boannews.com/media/view.asp?idx=132809&page=6&mkind=1&kind=1
• 랜섬웨어 - 위키백과, 우리 모두의 백과사전https://ko.wikipedia.org/wiki/랜섬웨어
• 보도자료 | AhnLabhttps://company.ahnlab.com/kr/news/press_release_view.do?seqPressRelease=8046
• 일단 멈춰! 그리고 개인정보 빼앗기, 스톱랜섬웨어 주의https://www.koya-culture.com/news/article.html?no=117747