랜섬웨어 피해 원인은... 애드웨어 이용해 유포지 파악 어려워

유포지 파악이 어려운 점이 랜섬웨어 피해 급증 원인으로 드러났다. 악성코드 제작자는 애드웨어에 쓰는 정상적 네트워크를 활용해 랜섬웨어를 감염시키고 한두 시간씩 치고 빠지는 전략을 쓴다.

자료:안랩
자료:안랩

안랩(대표 권치중)은 한 달 넘게 다양한 랜섬웨어 변형과 감염 PC가 급증한 원인을 분석한 결과 다른 악성코드와 달리 유포지 파악이 쉽지 않다고 밝혔다. 지난 4월 유명 인터넷 커뮤니티에서 ‘크립토락커’가 유포된 후 10월부터 11월까지 랜섬웨어 대량 감염 피해가 잇따랐다.

악성코드 제작자는 유포지를 숨기려고 멀버타이징(Malvertising)이라는 수법을 쓴다. 멀버타이징이란 멀웨어(Malware)와 광고(Advertising)의 줄임말이다. 광고나 애드웨어 정상 네트워크를 이용해 악성코드를 감염시키는 방법이다. 불특정 다수를 대상으로 악성코드를 감염시키고 유포지를 찾거나 차단하기 어렵게 만든다.

랜섬웨어 공격 프로세스와 실시간 대응 프로세스 비교(자료:안랩)
랜섬웨어 공격 프로세스와 실시간 대응 프로세스 비교(자료:안랩)

애드웨어는 뒷단에서 실행돼 사용자 웹 관련 정보를 동의 또는 동의 받지 않고 수집·변경한다. 특정 웹사이트를 광고 목적으로 자동 실행해 보여준다. 보안이 취약한 웹 브라우저나 플래시 플레이어, 아크로뱃 리더, 실버라이트, 자바를 쓰는 PC가 접속하면 먹잇감이 된다. 사용자 의도와 상관없이 애드웨어가 보여주는 웹사이트나 연동된 배너 광고 등 취약점을 이용해 랜섬웨어에 감염된다. 공격자는 1~2시간 정도 방문이 많은 웹사이트에 랜섬웨어 링크를 넣어 감염시킨 후 사라진다. 애드웨어 제작자는 정상 서비스에 무단으로 삽입된 취약점인데다 짧은 시간에만 나타나 근거를 찾기 어렵다.

지능형 악성코드 VS 랜섬웨어 (자료:안랩)
지능형 악성코드 VS 랜섬웨어 (자료:안랩)

랜섬웨어는 표적을 노리는 지능형 악성코드와 달리 불특정 다수에게 최대한 많은 감염을 유도한다. 지능형 악성코드는 감염 후 가급적 오랫동안 들키지 않으려고 잠복한다. 반면 랜섬웨어는 파일을 암호화한 후 빨리 노출해 금전 결제를 요구한다. 감염과 금전 결제 과정에서 랜섬웨어 제작자 노출을 막으려고 HTTPS 암호화 트래픽과 토르(Tor) 등 네트워크 기술과 비트코인을 이용한다.

국내에 가장 많은 피해를 끼친 랜섬웨어는 ‘크립토락커, 크립토월, 테슬라크립트’ 3종이다. 지난 10월에는 암호화된 파일 확장자를 CCC로 변경하는 테슬라크립트 변형이 급증했다. 테슬라크립트는 내부적으로 버전을 가지고 있는데 지난 10월까지 2.1이었다가 최근 2.2로 업데이트됐다. 2.2버전에서는 윈도에서 제공한 시동복구 모드를 사용하지 못하는 증상이 추가됐다.

지난 4월 유명 커뮤니티에서 전파된 크립토락커는 사용자가 금액을 지불하고 파일을 복구해도 직접 파일을 삭제하지 않으면 재 감염된다. 랜섬웨어는 기업보다는 개인 사용자 PC에서 탐지율이 높다. 랜섬웨어가 가장 많이 보고되는 시간은 오전 8시~9시, 오후 4시~6시, 밤 10시~0시 사이다.

랜섬웨어 피해 예방 보안수칙(자료:안랩)
랜섬웨어 피해 예방 보안수칙(자료:안랩)

안랩은 최근 3개월간 랜섬웨어 변형과 탐지 PC 현황을 살펴본 결과 한국을 조직적으로 노린 공격자가 활동하고 있다고 분석했다. 안랩은 랜섬웨어 피해를 줄이려면 기본 보안 수칙 외에 ‘멀버타이징’ 기법에 악용되는 애드워어 삭제를 권고했다. 토렌트나 크랙 관련 사이트, 음란물, 무료게임 사이트가 주로 애드웨어 설치를 요구하는 곳이다.

김인순기자 insoon@etnews.com