1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전

`16 년랜섬웨어동향및 `17 년전망 2017. 01 본보고서의전부나일부를인용시, 반드시 [ 자료 : 한국인터넷진흥원 (KISA)] 를명시하여주시기바랍니다.

1. 개요 전세계적으로많은피해를일으키고있는랜섬웨어는 년 월국내에 광범위하게유포되기시작하여 년에급격하게증가하였다 랜섬웨어 는이용자의데이터 시스템파일 문서 이미지등 를암호화하는악성코드로 몸값 과소프트웨어 의합성어로시스템을잠그거나 데이터를암호화해사용할수없도록하고이를인질로금전을요구하는악성프로그램을말한다 랜섬웨어 (Ransomware) 란? < 정의 > Ransom( 몸값 ) + Software( 소프트웨어 ) 의합성어 시스템을잠그거나데이터를암호화해사용할수없도록한뒤, 이를인질로삼아금전을요구하는악성프로그램 타악성코드와는달리랜섬웨어는데이터를암호화시키기때문에백신을통한치료만으로는암호화된데이터를복구할수없다는특징을가진다 이점은공격자가악성코드제작소요시간에비해높은이득을취할수있도록하는이점으로작용하여랜섬웨어확대를더욱부채질하고있다 실제금전수익목적의랜섬웨어유포로인한피해는국내외에서지속 발생하고있는데 미국대형병원 곳 헨더슨감리병원 치노벨리의료센터 데저트벨리병원 월 캐나다캘거리대학 월 부산일부관공서 월 샌프란시스코대중교통시스템 월 등이대표적인사례이다 랜섬웨어유포는주로메일 신뢰할수없는웹사이트 파일공유사이트 스마트폰가짜앱등을이용하고있는데 특히스팸메일이나스피어피싱은랜섬웨어유포에주된수단으로이용되고있다 그이유는스팸스피어피싱과같은사회공학적기법을이용한공격방식이일반이용자에게주효하게작용되기 - 2 -

때문이다 연말정산안내 송년회안내 영수증첨부 등과같이일상생활이나특정시즌 송년회졸업 입학결혼등 과연관짓거나위장하면일반이용자들이 의심없이메일내첨부파일을확인하게되어쉽게유포될수있다 특히 년에는컴퓨터지식이없더라도전문대행업자에게일정비용만지불하면쉽게랜섬웨어를제작하고유포시킬수있는 서비스형랜섬웨어 가등장하는등점차조직화체계화되고있다 본보고서는한국인터넷진흥원의악성코드대응자료를근거로 년랜섬웨어 현황과 년전망에대해알아보고 사용자가랜섬웨어를예방하기위한안전 수칙을기술하였다 2. 2016 년랜섬웨어동향 년랜섬웨어유포는전년도에비해증가하였는데 한국인터넷진흥원에서 접수한랜섬웨어피해신고현황을살펴보면 년 건에서 년 건으로 전년대비 증가한것을확인할수있다 < 15~16 년랜섬웨어피해민원접수현황 ( 출처 : 한국인터넷진흥원 ) > ( 단위 : 건 ) 구분 랜섬웨어민원접수 2015 년 2016 년 1 분기 2 분기 3 분기 4 분기합계 1 분기 2 분기 3 분기 4 분기합계 0 127 58 585 770 176 353 197 712 1,438 한국인터넷진흥원에서분석한랜섬웨어악성코드수도전년대비약 배가증가한것을볼때실제랜섬웨어건수가증가한것을알수있다 랜섬웨어의 종류별비율도상반기에는 랜섬웨어가높은비율 을보였으나하반기에는 랜섬웨어가높은비율 로유포되었음이확인되었다 - 3 -

< 16 년랜섬웨어악성코드종류별현황 ( 출처 : 한국인터넷진흥원 ) > [ 상반기 ] [ 하반기 ] 하반기에 랜섬웨어가증가한것은 랜섬웨어는서비스형 랜섬웨어 의대표적인예로지속적인업데이트를통해지속관리되고있기 때문인것으로추정된다 주요버전 * ( 국내 ** ) 1.0 (CERBER) < Cerber 랜섬웨어의버전별특징 > 주요특징 - 암호화된파일의확장자 (.cerber) - 복구가이드파일이름 (#decrypt_my_files#) 업데이트날짜 2016 년 3 월 2.0 (CERBER2) - 암호화된파일의확장자 (.cerber2) 2016 년 8 월 3.0 (CERBER3) 4.0 (CERBER4) 4.1 4.1.1 4.1.4 - 암호화된파일의확장자 (.cerber3) - 복구가이드파일이름변경 (#help_decrypt#) - 암호화된파일의확장자가임의의 4 자리문자로변경 - 더많은암호화대상파일유형 - RaaS( 서비스형랜섬웨어 ) 버전출시 - 파일의확장자를임의의 4 자리문자로변경또는확장자제거 - PseudoDarkleech Rig 익스플로잇킷이용 - 고정된비트코인주소이용 - 레지스트리세그먼트를이용하여암호화에사용되는 4 자리코드생성기법추가 - 파일의확장자를임의의 4 자리문자로변경 - 악성코드구성요소변경 ( 레지스트리추가, 파일드랍 ) 2016 년 9 월 2016 년 9 월 ~10 월 - 4 -

4.1.5 (CERBER5) - 기간에따라복호화비용추가 - 복구가이드파일이름변경 (@_readme_@) - Neutrino and RIG 익스플로잇킷이용 - 유포방식의변화 ( 멀버타이징방식추가 ) 2016 년 11 월 4.1.6 (CERBER6) - RSA and RC4 암호화알고리즘을병합 - 봇넷에연결하여 DDoS 공격을수행하는기능추가 2016 년 12 월 * 버전정보는국내가아닌국외에서나타나는버전정보를토대로작성 ** 국내버전은한국랜섬웨어침해대응센터에명시된버전이용 랜섬웨어특징에서볼수있듯이랜섬웨어악성코드분석을지연시키거나 백신등보안솔루션우회를위한지능화방법이적용되고있다 예를들면 스크립트및 파일암호화를통해특정파라미터확인 불가유도 네트워크연결없이파일을암호화하여분석근거확보불가유도등 분석방해기법을적용하고있다 또한 네트워크와비트코인을이용하고 있어공격자에대한추적이어렵다는한계를악용하고있다 Tor 네트워크 : 온라인상에서트래픽분석이나 IP 주소추적을불가능하도록임의의중계서버를이용한익명성을보장하는네트워크 한국인터넷진흥원은랜섬웨어에대응하기위하여 년 월부터랜섬웨어정보를국내백신사와공유하고 및유포지를차단하는등피해확산방지에 노력하고있다 그러나랜섬웨어는감염된이후암호화된파일을복구하기어렵기때문에예방이무엇보다중요하다 3. 2017 년랜섬웨어전망 랜섬웨어는홈페이지취약점악용및파일공유사이트를이용한유포방식이 일반적이었으나 년에는사회공학적공격방법을이용한스펨메일 멀버타이징 형태로유포되는사례가발견되고있어 년에는이러한기존방식과함께 - 5 -

더욱진화된방식을이용한랜섬웨어유포가예상된다 멀버타이징 (Malvertising) : 악성코드 (Malware) 와광고 (Advertising) 의합성어로광고서버를해킹하여악성코드를유포하는공격기법 주요방법으로는 공격과결합된유포방식 대중이많이이용하는 계정탈취를통한랜섬웨어유포 모바일환경을대상으로한랜섬웨어유포등 다양한방식이이용될것으로예상된다 공격과의결합방식은다음과같은형태로예상된다 금융정보를 가진개인 기업 및대기업 금융기관 병원등중요한정보를가지고있으면서 막대한몸값을지불할능력이되는기업및기관을표적으로한타켓형 랜섬웨어유포 이메일등을통한기업임원 또는취약한시스템에대한 랜섬웨어유포 기업내부암호화솔루션 취약점을이용한랜섬웨어 * DRM 암호화에사용되는키값을해커가변경하여암호화적용시킨후몸값요구 계정을활용한랜섬웨어유포방식은 계정을해킹하여지인에게다이렉트메시지 랜섬웨어유포단축 전파및클릭유도등을통해 랜섬웨어유포방식이다 특히 년에는대선 헌법재판소결정 특검등사회 정치적이슈를노린 랜섬웨어유포가증가될것으로예상되며 북한의금융수익목적의해킹활동 을표방에따라랜섬웨어영역으로의확대가능성도예상된다 * 방글라데시국책은행 SWIFT 해킹 (16.2월), 인터파크개인정보탈취및협박 (16.7월) 등 또한 년에도 년에나타났던랜섬웨어분석지연 백신우회를위한 지능화기술이지속적으로나타날것으로예상된다 앞서언급한 랜섬웨어와 같이다른랜섬웨어들도더진화된기법을적용한지속적인업데이트가예상된다 - 6 -

4. 이용자의랜섬웨어예방수칙 실질적인랜섬웨어에대응하기위해서는무엇보다도피해예방활동이매우 중요하다 한국인터넷진흥원에서는보호나라홈페이지 를통해랜섬웨어 피해를예방하기위한 랜섬웨어 대수칙 을제공하고있다 < 랜섬웨어피해예방 5 대수칙 ( 출처 : 한국인터넷진흥원 ) > 1. 모든소프트웨어는최신버전으로업데이트하여사용합니다. 2. 백신소프트웨어를설치하고, 최신버전으로업데이트합니다. 3. 출처가불명확한이메일과 URL 링크는실행하지않습니다. 4. 파일공유사이트등에서파일다운로드및실행에주의합니다. 5. 중요자료는정기적으로백업합니다. 또한랜섬웨어는데이터를암호화하여사용이불가능하도록만든다는특징이있으므로 평소중요자료를정기적으로백업하는것이가장효과적인예방 방안이다 단 최근랜섬웨어는 에연결된저장장치 클라우드등의파일까지 모두암호화하므로백업장치는별도로보관하며 백업시에만연결하여저장하는것이중요하다 - 7 -