Haedong

서울대학교공과대학

해동일본기술정보센터
모바일메뉴 열기/닫기
  • 정기간행물
  • 단행본서적
  • 기술보고서/백서
  • 커뮤니티
  • 센터소개
  • 일본 관련 사이트
    •

    전기전자/정보통신

    일경 컴퓨터_2016/11/24_랜섬웨어-위협받는 일본기업

    책 커버 표지
    목차
    더보기+

    요약

    Nikkei Computer_2016.11.24 특집 (p24-37)

    랜섬(Ransom) 웨어
    위협받는 일본기업

    기업시스템 등의 중요한 데이터를 암호화하고, 해제하기 위해 금전을 요구하는「랜섬(인질)웨어」. 공격자는 인터넷의 익명화 기술을 랜섬웨어에  삽입하는 한편으로, PC이용자를 감염시키는 수법과 금전을 지불하게 하는 수법을 교묘하게 하고 있다. 세계에서 수 백억 엔의 피해를 불러온 랜섬웨어는 지금, 일본의 기업과 단체를 위협하고 있다. 공격이 잦아들 기색은 없다. 랜섬웨어의 위협의 실태와 효과적인 대책을 알아보았다.


    Part 1. 피해건수는 5배 증가

    어느 날 갑자기, 데이터를 조작할 수 없게 되고, PC의 화면 한 켠에는 “원래대로 되돌리고 싶다면 돈을 지불해라.” 라는 협박문이. 데이터를 암호화하고 해제비용을 요구하는 랜섬웨어의 수법이다. 세계적인 사이버 위협은, 위기의식이 없는 일본기업을 노리고 있다.

    [ ! ! ! 중요 ! ! ! ]
    전자메일의 첨부파일을 열면, PC의 화면에 갑자기 윈도우가 나타난다. 검은색 배경에 빨간색 글씨. 2016년 6월말에 등장한 멀웨어(Malware)의 한 종류인,「ZEPTO」의 협박문이다.

    협박문은 이런 내용이다. “모든 파일은 암호화되었다.””암호를 얻고 싶다면, 이하의 링크를 따르는 것.”

    데이터를 암호화하거나 PC를 잠그거나 해서, 그 해제비용을 요구하는 ZEPTO와 같은 멀웨어는「랜섬(인질)웨어」라고 불린다. 랜섬웨어를 사용한 공격자의 행위는, 유괴범 등이 인질과 교환을 위한 몸값을 요구하는 행위와 비슷하기 때문이다.

    -- 끊임없이 계속되는 공격 --
    랜섬웨어의 위협은 이미 일본에서 시작되고 있다. 예를 들어 올 봄에, ZEPTO로 보이는 랜섬웨어가 고베대학(神戸大学)을 덮쳤다. “NAS(Network-Attached Storage)」에 있는 파일의 확장자가『zepto』로 되어 있다.” 8월 22일 오전 10시, 고베대학의 IT인프라를 운영하는 정보기반센터에, 한 이용부문에서 상담이 날아들었다.

    이용부문의 모든 PC를 대학 안의 네트워크에서 격리하여 조사해보니, NAS에 보존하고 있던 파일이 암호화되고, 읽기 쓰기가 불가능해져 있었다. 이용부문의 PC에 도착한 이메일의 첨부파일을 직원이 개봉한 것이 감염의 계기가 되었다고 보여진다. 

    고베대학만이 아니다. 도치기현 오타와라시(栃木県大田原市)의 오타와라도서관에서는 2016년 3월, 사무용 PC와 데이터보존용 하드디스크가 랜섬웨어로 인해 사용할 수 없게 되었다. 역내 상업시설을 운영하는 JR히가시닛폰(東日本)StationRetailing은 2015년 7월, 사내 PC의 감염을 계기로 서버 상의 파일 약 1만건이 암호화되었다. 감염된 PC에서 거래처 등으로, 스팸메일을 멋대로 보내 확산 시켜버리는 2차 피해도 확인되었다.

    고베대학과 JR히가시닛폰스테이션리테일링은 파일의 백업으로 데이터를 복구할 수 있었다고 한다. 현시점에서 외부로의 정보유출도 없다고 한다.

    -- 60%가 몸값을 지불한다 --
    앞서 감염된 사례는 빙산의 일각이다. 개인정보와 비밀정보의 유출로 이어지는「표적형 공격」과 달리, 랜섬웨어에 감염되어 회사의 사장이 사죄하는 경우는 아직 없다. 랜섬웨어에 감염된 PC와 데이터가 사용할 수 없게 되어도, 곤란한 것은 자신뿐이기 때문이다. PC와 HDD가 갑자기 망가졌을 때와 비슷하다. 공표할 필요성이 적다.

    하지만, 세계적으로 보면 랜섬웨어가 “사이버공격의 대표선수가 되어가고 있다.” 라고 Symantec의 하마다 연구원은 말한다. 해외에서는 2008년 정도부터 랜섬웨어가 맹위를 떨치고, 보안회사의 조사에 따르면, 이미 수 백억 엔의 손실이 나오고 있다고 한다.

    지금, 공격자의 창 끝이 향하고 있는 것이 일본이다. Kaspersky의 조사에서는 2016년 4~9월, 세계에서 가장 많이 노리게 된 나라는 일본이었다. 특히 법인이 표적이고, 피해건수는 급증하고 있다. TrendMicro에 따르면, 2016년 1~9월기의 일본기업의 피해보고는 2090건. 실제로 전년동기 대비 약 5배로 증가했다.

    이 회사의 다른 조사에서는, 일본기업에 랜섬웨어의 피해가 확산되는 한편, 위기의식의 낮음이 드러나고 있다. 올해 6월, 중소기업부터 대기업까지 일본 534개사의 IT담당자에게 “향후 랜섬웨어의 피해에 당할 가능성이 있다고 생각하는가.” 라고 물으면, 34.8%가 “생각하지 않는다”라고 답했다.

    응답기업의 절반 가까이가,”대기업 혹은 유명기업이 아니기 때문이다.”라고 하는 이유를 들고 있다. 인터넷으로 이어지는 다양한 사람과 기업에서, 조금이라도 금전을 가로채려고 하는 공격자의 특성을 이해하지 못한 것 같다. 이 조사에서는 피해기업의 62.6%가 몸값을 지불했다는 것도 나타났다. 지불한 기업의 57.9%는, 몸값으로 300만엔이상을 지불했다. “업무데이터를 인질로 잡으면, 일본기업은 손쉽게 금전을 지불한다.” 공격자의 사이에 이러한 인식이 확산되고 있고, 더욱더 일본이 표적이 되고, 피해가 늘어나고, 새로운 공격자를 불러들이고 있다.


    Part 2. 비트코인으로 돈을 벌다

    돈은 벌고 싶지만, 잡히고 싶지 않다. 랜섬웨어에 몰리는 사이버공격자의 공통된 목적이다. 몸을 숨기고 전세계에서 몸값을 모으는 인프라로 랜섬웨어 공격자가 선택한 것이 가상화폐인「비트코인(Bitcoin)」이다. “전세계의 공격자는 모두 랜섬웨어를 내세웠다. 바이러스와 피해는 늘어갈 뿐이다.” 시만텍의 하마다 씨는 랜섬웨어를 둘러싼 동향을 이렇게 말한다.

    악질적인 수법도 발전하고 있다. 일본연금기구와 JTB 등을 공격한「표적형 멀웨어」는, 공격자가 원격으로 조작하여 정보를 훔치고, 외부로 보내는 기능을 가지고 있었다. 하마다 씨에 따르면 랜섬웨어가 원격 조작의 기능을 갖추기 시작했다고 말한다. 몸값요구와 정보유출의 양 측면에서 공격해 올 가능성이 높아졌다.

    랜섬웨어를 공격자가 이용하는 최대의 이유는, 지금까지 없던 “사용 편리함”과 “환전의 안전성”을 갖추고 있기 때문이다.

    -- 감염 후 1분만에 협박 시작 --
    랜섬웨어를 사용한 공격자는 가능한 많은 PC를 감염시킬 목적으로, 2종류의 침입경로를 사용한다. 청구서와 배송확인의 이메을을 가장한 메일에 첨부하거나, 정식 웹사이트를 조작하여, 열람자가 눈치채지 못하게 PC에 다운로드 시켜 실행시킨다.

    올해 6월까지는 웹 경유가 많았지만, 7월 이후는 스팸메일이 많아졌다. 메일에 첨부되어 있던 것은, 랜섬웨어 본체가 아닌, Java스크립트의 파일이다. 클릭하면 공격자의 서버로부터 본체를 다운로드한다. Recruit-CSIRT가 이 스크립트를 검증용의 원격환경에서 실행하면, 약 1분만에 PC의 화면에 협박문이 나타났다.

    문제는 감염된 PC의 데이터만이 아닌, 네트워크 상의 파일서버의 데이터까지 암호화하는 랜섬웨어가 늘어나고 있다는 것이다. 1대의 감염으로 부서 전체가 마비될 우려가 있다. 또한 암호화된 데이터를 복원하기 위한 수단은 공격자에게 있기 때문에, 자력으로 복원하는 것은 거의 불가능하다.

    -- 비트코인을 지불 수단으로 --
    “폭발적으로 유행하게 되는 전기가 되었다.” 라고 보안 전문가들이 이구동성으로 지적하는 것이「CryptoLocker」이다. 구체적으로는, P2P(peer to peer)기술을 기반으로 한 암호화폐인「비트코인」으로의 지불기능의 장착이다. 접속경로를 특정할 수 없게 하는 통신기술인「Tor(토)」도 내장하고, 공격자가 리스크 없이 몸값을 환전 가능하게 되었다.

    -- 일본어 대응도 착실히 진행 --
    2016년 3월에 등장한「CERBER」은 암호화 후에 화면에 표시되는「협박장」의 일본어표현이 자연스러워졌다. 기존에는 영어 혹은, 일본어이지만 기계번역을 그대로 사용한 부자연스러운 문장이었다. 단순히 위협하는 것만이 아닌, CERBER는 일정기간 안에 몸값을 지불하면 금액을 낮추어 준다고 표기하고, 조기에 입금을 부추긴다.

    -- 모바일, TV도 표적으로 --
    랜섬웨어를 사용하는 공격자가 다음으로 노리는 것은 PC이외의 단말기이다. 2016년 2월부터 맹위를 떨친「Locky」를 개변하여, 구글 OS「Android」에 대응시킨「Locky for Android」가 있다. 또한 스마트폰 뿐만 아니라, 안드로이드를 탑재하는 스마트TV에서 랜섬웨어의 감염사례가 확인되었다.

    보안전문가는 “다음은 IoT도 표적이 된다.”라고 입 모아 얘기한다. 데이터의 유괴는 집과 차, 공장 등에도 확산되려고 하고 있다.


    Part 3. 지불은 최후의 수단

    랜섬웨어의 감염을 100% 막는 것은 불가능하다. 우선은 감염 위험을 줄이는「설정변경」과「백업」을 철저히 하고, 그래도 감염된 경우에 준비해, 이용부문과 경영층도 포함한 훈련을 쌓는 것이다. 안이하게 지불하지 않고, 공격자를 멀리할 대책을 세워야 한다.

    “랜섬웨어에 특화된 대책제품을 검토하기 전에, 기본적인 대책의 빠트림을 없애는 것이 결과적으로 유효하다.” NTT커뮤니케이션스에서 기업의 보안감시와 사고대응을 담당하는, 경영기획부의 키타가와 씨는 이렇게 지적한다.

    랜섬웨어는 종래의 멀웨어와 똑같이, 시스템의 취약성과 PC이용자의 마음의 빈틈을 찌르고 들어온다. “시스템을 항상 최신의 상태로 업데이트하고, 정기적으로 백업을 해두는 등, 기본적인 대책이 무엇보다도 효과적이다.” (키타가와 씨)

    기본적인 대책을 실시한다면 감염되기 어려움에도 불구하고, 랜섬웨어의 감염되는 기업은 늘어나는 추세이다. 감염되지 않기 위해서도, 현재의 대책에서 빠트리고 있는 부분은 없는지, 번거로운 일이 늘어난다고 해서 나중으로 돌리고 있는 부분은 없는지를 재점검해야 한다.

    랜섬웨어의 주된 감염경로는, 앞서 말한 것처럼 이메일의 첨부파일이나 웹사이트 경유의 두 종류이다. 이메일 공격에서는, PC이용자의 부주의를 노린 실행파일형식의 랜섬웨어를 실행하게 하거나, 랜섬웨어를 배부하도록 조작한 웹사이트에 접속을 유도하거나 한다.

    -- 스크립트를 메모장으로 실행 --
    이메일의 수신부터 감염까지는 복수의 절차를 밟기 때문에, 어느 한 단계에서 이변을 감지한다면 감염을 막을 수 있다. 키타가와 씨는 이메일 공격의 대책 포인트를 다섯 가지 들었다.
    1. 이메일 주소와 제목, 내용에 일본어의 부자연스러움은 없는가?
    2. 파일의「확장자」와「종류」를 항상 표시하는 설정으로 해야 한다.
    3. 압축 파일이, 아이콘을 위장한 실행파일(「.exe」「.scr」등)과 스크립트파일(「.js」「.wsf」등)은 아닌가?
    4. Office 파일의 매크로는 실행하지 않는다.
    5. 실수로 파일을 열어도 스크립트가 실행되지 않도록 .js와 .wsf등의 파일을「메모장」으로 열도록 설정한다.

    -- 버전이 낮은 브라우저와 플러그인이 표적이다 --
    취약성을 줄이는 기본은, 브라우저와 플러그인을 항상 최신버전으로 유지하는 것이다. 자동적으로 최신판으로 갱신되도록 설정해둔다면 번거로움도 줄어든다. 또한 업무에서 불필요한 소프트웨어를 삭제할 필요가 있다.

    -- 꼭 복구해야 하는 범위를 정한다 --
    감염된 경우에는, 우선 사내의 데이터를 조사하고,「금전을 지불해서라도 복구해야 하는 것은 무엇인가」라는 중요도를 이용부문과 명확히 한다. 그리고 나서, 감염되었을 때의 대응절차를 정하고, 그것에 따라서 훈련을 실시하는 것이 정석이다.
    데이터백업 및 보안회사가 제공하는 복구 툴을 이용해도 복구가 불가능한 경우에는, 꼭 복구해야 하는 범위를 정하고, 사회로부터 받을 비난을 감수하고 지불을 결정해야 한다.

    --「미끼」를 암호화시킨다 --
    보안회사도 랜섬웨어 대책기능을 탑재한 제품을 출하하기 시작하고 있다.

    ●McAfee Complete Endpoint Threat Protection의「Real Protect」

    기계학습으로 인해, 실행 전의 멀웨어 해석이 가능하게 되었다. 실시간으로 공격하는 바이러스도 검출 가능하다.

    ●Symantec Endpoint Protection 14
    기계학습으로 랜섬웨어의 미지의 바이러스를 발견하기 쉽게 했다.

    ●illusive Deceptions Everywhere의 랜섬웨어 감지∙방어기능
    사내 시스템에 가공의 미끼 파일을 다수 만들고, 암호화의 예측을 감지하면 정지시킨다. 정규파일의 피해를 최소한으로 한다.

    ●TrendMICRO의 Virusbuster Business 보안서비스의 대책기능
    부정한 암호화와 랜섬웨어가 사용하기 쉬운 프로세스를 블록. 백업으로부터의 자동복구. 검출상황을 관리화면에서 가시화.

    ●Kaspersky Security for File Sever의「Kaspersky Security 10 for Windows Server」
    암호화를 감지하면 감염PC와 네트워크를 차단. 불필요한 애플리케이션의 기동을 제한.

    ●FFRI의 FFR yarai 2.6
    다섯 가지의 엔진으로 동작을 감지. 멀웨어의 기계학습으로 특징을 파악.

                -- 끝 -- 

    TOP

    목차

    TOP