이메일 감염땐 `타깃 공격` 악용 더 위협적

행위분석 통해 사전차단시 CnC서버 접속 예방 피해 방지
공격 원리·경로 등 철저한 분석 통해 근본 대책 강구해야

  • 프린트
  • 페이스북
  • 트위터
  • 카카오스토리


이메일 감염땐 `타깃 공격` 악용 더 위협적

이메일 감염땐 `타깃 공격` 악용 더 위협적


◇ 새해 맞기전 대비할 악성코드 '랜섬웨어'

최근 랜섬웨어가 본격적으로 국내에 상륙해 크고 작은 피해를 양산하고 있지만 아직 뚜렷한 해결책이 없어 문제가 되고 있다. 해외사례를 보면, 미국 FBI(연방수사국)조차 '차라리 돈을 내주고 암호를 푸는 게 낫다'고 언급할 정도다. 그러나 보안 업계는 해커에게 대가를 주고 암호화를 푸는 것을 최상의 해결책으로 치부해선 안 된다고 경고한다. 피해자 입장에선 복호화 열쇠를 통해 파일을 정상적으로 사용할 수는 있겠지만, 이는 결국 사이버 범죄 행위를 더욱 가속화 시킬 것이기 때문이다.

이에 보안 업계는 기술적인 측면에서 근본적인 대책 마련에 나서고 있다. 파이어아이는 "우선 랜섬웨어가 어떤 공격 양상을 띠고 있으며, 랜섬웨어로 인한 피해를 최소화하기 위해 어떤 보안 방식이 필요한지에 대한 철저한 분석이 필요하다"고 지적한다. 랜섬웨어는 크게 두 가지 경로를 통해 감염된다. 첫째는 웹을 통해 유입되는 경우다. 최근 침입자들은 유명 브라우저의 취약성을 이용해 '드라이브바이다운로드(DBD, Drive-By Download)' 기법의 '익스플로잇 킷(exploits kits)'을 활용하는 웹 기반 침입을 시도하고 있다.

공격자는 합법적인 웹사이트를 감염시키거나 광고 네크워크에 침입해 익스플로잇 킷을 호스팅하는 웹사이트로 리다이렉트(redirect)하는 코드를 삽입한다. 익스플로잇 킷은 구 버전의 자바나 플래시와 같은 방문자 컴퓨터의 취약한 소프트웨어를 탐지하고, 해당 컴퓨터가 악성 페이로드(payload)를 다운로드하고 실행하도록 유도하는 익스플로잇을 유포한다. 일단 PC가 랜섬웨어에 감염되면 명령&제어(CnC) 서버로 접속되고, 이를 통해 공격자는 사용자 IP주소 등의 정보를 수집하는 것이다.

파이어아이는 "웹 감염의 경우, 정상 사이트에서 악성코드 유포지로 리다이렉션(redirection, 방향지정) 되는 다단계의 흐름을 분석하지 않고서는 정확한 감염 경로의 탐지가 불가능하다"고 강조한다. 또 악성코드는 암호화된 상태로 사용자의 컴퓨터에 침입하기 때문에 일반 보안 제품에서는 랜섬웨어인지 여부를 판별하기 어렵다. 따라서 웹을 통해 유입되는 랜섬웨어를 탐지·차단하기 위해서는 우선 사용자가 최초 접속한 정상 웹사이트에서부터 리다이렉션된 페이지 그리고 최종적으로 감염된 사이트가 어디인지 등 감염 과정을 파악해야 한다. 또 침입한 악성코드는 행위 분석 기반 탐지를 통해 감염을 방지해야 한다. 마지막으로 감염된 이후라도 CnC서버로의 접속을 차단한다면 피해를 막을 수 있다. 이 세 단계 중에 한 단계라도 성공적으로 시행된다면, 랜섬웨어 피해 범위를 최소화할 수 있다.

랜섬웨어의 두번째 경로는 이메일이다. 실제 감염 사례를 살펴보면, 이메일을 통한 유입이 더 큰 비중을 차지한다. CTA(Cyber Threat Alliance)의 보고서에 따르면, 전 세계적으로 3억2500만달러의 금융 피해를 입힌 랜섬웨어 크립토월 3.0은 이메일을 통한 피싱 공격(67.3%)과 익스플로잇 킷(30.7%)을 통해 유포 및 감염됐다. 이메일을 통해 유입되는 경우, 랜섬웨어는 압축 파일, 문서 파일, HTML 등 다양한 첨부 파일 유형을 본문 또는 문서 파일 내 링크를 통해 피해자의 컴퓨터에 침입한다. 이때 시스템이 아닌 사람의 취약점을 이용한 사회공학적 기법을 통해 사용자가 파일 혹은 링크를 실행 및 클릭하도록 유도한다.

특히 이메일을 통한 유입은 특정 대상을 노린 타깃 공격 방법으로 활용될 수 있다는 점에서 더욱 위협적이다. 공격자들은 더 많은 대가를 노리고 기업의 핵심 인사를 공격 대상으로 선정한다. 기업의 중요 정보가 저장된 이들의 PC가 랜섬웨어에 감염될 경우, 그 어떤 경우보다 비즈니스에 치명적인 타격을 입거나 회사 기밀사항이 외부로 유출될 위험이 배가되기 때문에 각별한 주의가 요구된다. 파이어아이는 "이메일을 통한 감염은 철저한 사전 차단을 통해 효과적인 예방이 가능하다"면서 "우선 웹을 통합 유입과 마찬가지로 행위 분석 기반 탐지가 중요하다"고 분석했다. 행위 분석을 통해 랜섬웨어의 유입을 사전 차단하면 CnC 서버로의 접속을 예방할 수 있으며, 이로 인한 추가적인 피해 및 감염을 방지할 수 있다는 것이다.

랜섬웨어는 계속해서 진화하고 있다. 공격자들 역시 일정 기간 내 입금하지 않으면 파일을 훼손하거나 온라인을 통해 해당 파일 공개하겠고 협박을 하는 등 점점 더 악질화되고 있다. 이러한 상황에서 해커들의 요구에 소극적으로 응하는 안일한 태도보다는 랜섬웨어에 대한 정확한 분석과 이해를 통해 보다 근본적인 해결책을 강구해야 할 것이다.

심화영기자 dorothy@dt.co.kr

[저작권자 ⓒ디지털타임스 무단 전재-재배포 금지]

추천기사