[ 본자료는한국랜섬웨어침해대응센터의자산이므로참고하실때반드시출처를명기해주시기바랍니다 ] 2017 랜섬웨어침해분석보고서 발행일시 목 연락처 발행번호 이메일 발행처한국랜섬웨어침해대응센터 센터장이형택 [2016 년랜섬웨어침해분석및 2017 년침해전망 ] 2016 년도신종및변종랜섬웨어에의한피해급증, 침해장기화전망 근본적방어대책위해해커와의거래시비트코인송금신고제로전환필요 해커와보안회사간기술정보비대칭문제로데이터백업의법적의무화조치시급 2017 년주공격대상, 보안과백업취약한 PC 데이터와표적형 DB 서버동시공격 1. 2016년국내랜섬웨어침해현황한국랜섬웨어침해대응센터의침해분석에의하면 2016년도랜섬웨어침해피해자가 2015년 2,678건에서 3,255건으로신고건수로는 1.2배증가하였으나실제로는 2.4배정도증가한것으로분석된다. 2015년 8가지종류의랜섬웨어공격이 2016년에는 16가지종류로 2배가증가하였다. 2016년 3월에위장이메일방식으로새롭게등장하여수천개의기업과공공기관을공격한록키와 6월초현충일을기점으로대형 IT커뮤니티인뽐뿌를숙주로뽐뿌접속자를대상으로공격한울트라크립트가상반기가장큰피해를입혔고, 하반기에는록키변종과신종케르베르 (CERBER) 공격이확대되어전체피해의 80% 를차지하였다. [2015 년랜섬웨어 8 종류침해 ] [2016 년랜섬웨어총 16 종류침해, 4/4 분기 11 종류 ] 2016 년 5 월초까지피해의 43% 로큰비중을차지했던테슬라크립트복호화마스터키가해커에 의해공개되어 6 월이후거의피해가사라진상태다. - 1 -
[2015 년랜섬웨어침해신고현황 ] [2016 년랜섬웨어침해신고현황 ] 2. 2016년글로벌랜섬웨어피해규모전세계적으로랜섬웨어피해와해커에게지급된비트코인이얼마나될까? IT전문글로벌미디어인 'IT World' 에따르면, 2016년도랜섬웨어에의한데이터암호화에따른피해액은집계되지않았지만, FBI는 2016년 1~3월동안랜섬웨어해커에게지급된비트코인금액이 2억 900만달러라고보고했다. 이외에알려진랜섬웨어지급액만 8억달러정도되고통계에포함되지않은비트코인도많다고보고있다. 이를모두감안해추산한결과, 2016년한해동안비트코인총지급액이 10억달러 ( 약 1조1000억 ) 정도라고추정하고있다. 3. 2016년국내랜섬웨어피해규모한국랜섬웨어침해대응센터에신고된피해건수와랜섬웨어방어보안회사의신고접수건수, 관련정부기관신고건수및복구대행업체에의뢰한복구건수정보를기준으로분석해볼때, 2015년도에는약 53,000명이감염되어 1,090억원의피해를입혔고, 30억원정도해커에게비트코인금전이지급된것으로추정되었다. 2016년에는 13만명감염, 3,000억원정도피해가발생했고, 13만명피해자중최소 10% 인 13,000명이 100억원이상의비트코인을지급한것으로추정되고있다. 2016년해커에게지급된비트코인은작년국내비트코인거래규모인 6천5 백억원의약 1.5% 에해당하는금액이다. 4. 감염경로와해커의기술적능력 감염경로는미국및유럽이위장이메일을통해 70% 이상감염되지만, 국내는인터넷을통해 감염되는비율이 70% 고이메일을통해침해되는비율이 25% 정도이다. 이는미국과유럽은 [2015 년국내랜섬웨어침해경로 ] [2016 년국내랜섬웨어침해경로 ] - 2 -
업무시간에인터넷서핑을엄격하게제한하는반면국내는대체로자유롭게허용되는근무환 경이영향을미친것으로분석된다. 대표적인위장이메일을통한침해방식인록키 (Locky) 와후속변종은자바스크립트 (JS) 방식을도입하여해외사업을하는거의모든기업에뿌려큰피해를입혔다. 특이할사항은 C&C서버운영능력이다른해커그룹보다크게발전되었고, 네트워크에의한감염능력이매우강했다. 암호화후비트코인거래시복호화키수신신뢰도가거의 100% 에육박하였고, 러시아IP는감염시키지않았다. 그외랜섬웨어유포자와실시간메신저가가능한하반기최고위협인케르베르를비롯한랜섬웨어는주로인터넷을통해감염시켰다. 5. 국내랜섬웨어공격진원지와주공격대상랜섬웨어해커는개발그룹과유포그룹으로그룹핑되고개발자의노출을최소화하는구조이며수익은개발그룹 40%, 유포그룹 60% 로분배된다. 국내를대상으로공격하는랜섬웨어는주로러시아와그주변국에서개발되었고유포는주로중국발이며한국과중국사용자를대상으로유포되고있는것으로추정된다. 그이유로는공격대상 PC의 IP가러시아일경우감염에서제외하고있고한글을잘이해하는해커가가담된것으로분석되기때문이다. 지난 3년간랜섬웨어의공격대상은백업이미비하고보안이취약한 PC데이터를주로노렸고 4GB보다큰사이즈파일을감염시키지못했으나, 2016년부터는 4GB이상파일도암호화시키고서버의 DB를감염시키기시작했다. 특히신고건수가많지않았지만 XTBL과 Glove3와같은랜섬웨어는주로병원의 EMR DB와같은민감한데이터를감염시켜 1,000만원이상의복구비용과업무진행의애로를겪었다. DB를공격한대표적인사례로, 작년 7월월 1억원정도거래하는꽃거래플랫폼의 DB가 XTBL 에의해감염되어 2번에걸쳐해커와의거래를시도한끝에 24일만에재가동되었으나매출이 30% 가감소되는등의경영상의큰위험에처하게되었다. 이사이트는외장형하드디스크에매일백업을받았으나동시에암호화되어무용지물이되었다. - 3 -
6. 국내랜섬웨어피해자의공통점신고자는다양하다. 병원의임상실험데이터, 8년동안찍어둔아기사진, 과목별로정리한파일이암호화된수험생, 인쇄직전의광고회사, 생산설계도가감염된기계제조회사, 클라우드와문서중앙화시스템을도입한중견회사, 인사자금기밀파일이암호화된대기업과외국계회사, 업무관련파일이암호화된대형공공기관, 산하기관과지자체등개인으로부터대중소회사, 정부기관, 지자체등대한민국전체가망라되어있다. 피해자들은대부분최소백신을사용하고있었고, 50% 이상의기업과기관이방화벽등보안 솔루션을도입하고있었다. 이피해자들의공통점은 PC 데이터에대한보호및관리정책이없 어서백업을전혀하지않았거나외장하드와같은곳에부실하게백업하여피해를당했다. 한편으로는감염사실이알려지면조직내의감사혹은대외적인보안의신뢰문제가발생되 기때문에이를보고하지않고개인적으로처리하고있어조직적이고체계적인침해대응을 어렵게만들고있다. 7. 랜섬웨어공격시기공격시기를보면 2015년 10월 ~12월에약 75% 정도집중되었고, 2016년상반기에는 5월과 6월두달동안공격이 60% 가량을차지하였다. 이패턴을보면크리스마스휴가전과여름휴가전에공격이집중적으로이뤄지고있었으나, 작년하반기에는월별피해건수가거의일정하게접수되고있어특정시기에공격하는특징이완화된것으로분석된다. [2015 년랜섬웨어월별침해통계 ] [2016 년상반기랜섬웨어월별침해통계 ] - 4 -
8. 복구과정에서과다한복구비용과데이터유출 2차피해발생랜섬웨어감염자에대한피해는총 3단계로구분된다. 1단계 (1차피해 ): 감염후데이터사용중지 => 업무중지또는비정상적업무진행 => 회사 / 기관의유무형적손실발생 2단계 (2차피해 ): 복구과정에서금전적피해발생과중요 / 기밀데이터유출가능성상존 3단계 (3차피해 ): 비트코인송금후복호화키미접수혹은오류키접수로복구불가능 1 비트코인이약 120 만원까지상승하여복호화비용이증가하였고, 랜섬웨어악성코드를이용 한범죄가발생하고있으며, 무엇보다도복구하는과정에서개인정보및회사와기관의중요 정보가유출될가능성이매우높아세심한주의가요구된다. 9. 글로벌공격랜섬웨어와국내공격랜섬웨어의차이 2016년 6월시만텍이발표한글로벌랜섬웨어피해지도를보면전체 30개국중미국이 30% 로 1위, 일본과이탈리아가 8% 로공동 2위인반면한국은랜섬웨어의공격빈도수가많음에도불구하고 28위를차지했다. 그원인을분석하기위해두그룹을비교했다. 2016년상반기글로벌공격랜섬웨어는 14 종류였고한국을공격한랜섬웨어는 13종류였다. 이두그룹의랜섬웨어를비교분석해본결과 Locky, 73V3n 단두종류만일치했다. 이는중국의유포자가한국과중국을특정하여공격하는국내 표적형공격 으로분석된다. [2 종류만일치, 국내표적형 지능공격형으로진화 ] 10. 랜섬웨어대응글로벌공조현황 2016년인텔, 카스퍼스키랩, 유로폴, 네덜란드국립첨단범죄수사국은국제연합체인노모어랜섬 (No More Ransom) 을구성했다. 이후보스니아헤르체고비나, 불가리아, 콜롬비아, 프랑스, 헝가리, 아일랜드, 라트비아, 리투아니아, 포르투갈, 스페인, 스위스와영국을포함한 10여개이상의다른국가사법기관도이연합에합류했으며여러보안업체들도참여했다. 올해는이들연합체에서실질적인공조결과가나올것으로예상된다. - 5 -
11. 2017년랜섬웨어공격전망두가지의견이존재한다. 한그룹은랜섬웨어위협에대한사용자인식의확대와안티랜섬웨어기술의발전, 전반적인정보공유증대와국가간사법당국간의공조등으로랜섬웨어위협이한풀꺾일것으로전망된다. 반면다른그룹은해커들이기술수준을높인랜섬웨어위협은올해도계속되며, MS 오피스와 PDF로만든파일에매크로를숨겨보안소프트웨어를피해가는방법과사회공학적인기법이적용된지능화된랜섬웨어가기승을부릴것으로전망하고있다. 기존해킹의주대상이었던개인정보 ( 주민등록번호, 휴대폰번호, 의료기록, 신용카드번호, 이메일주소 ) 를거래하는시장은붕괴되었기때문에이를판매해서금전적보상을받기까지장시간이걸리고가격도낮아진반면랜섬웨어해킹은특별한기술없이시작할수있고유포후 3일이내에비트코인이들어오고지속적인수입을보장한다. 따라서해커들은랜섬웨어를포기할이유가없고더욱교묘하고지능적이며사회공학적인기법을접목하여발전할것이다. 예를들어작년에인터파크에서빼간해외여행결제정보를이용하여결제당사자들에게 'Flight Schedule' 이라는첨부파일의위장이메일을송부한다면 20~30% 는감염될것으로추정된다. 이는 APT공격을통한정보수집과랜섬웨어공격이결합되면그피해와파장이매우크다는사실을의미한다. 지난 2년간랜섬웨어위협에대한경험과인식의확산으로데이터를백업하는사용자가증가하고랜섬웨어를차단하는보안기술이발전했기때문에올해랜섬웨어해커들은기존랜덤방식의지능형공격을강화하면서동시에병원 DB, 클라우드스토리지, 중앙화시스템을공격하는표적형공격으로진화할것으로전망된다. 또한많은인원이동원된콜센터운영을기반으로강력한오프라인파일암호화실행과 100불정도의낮은금전요구, 차후감염되지않는비용을선불로받는새로운랜섬지불모델의도입등을특징으로하는스포라 (Spora) 와같은신종랜섬웨어그룹이다수출현할것으로내다보고있다. [ 결론 ] 치명적인랜섬웨어방어는예방이최선이다. 랜섬웨어는악성코드역사상최초로 돈되는바이러스 이기때문에빠른확산속도로다양한형태의변종으로진화되어스미싱과보이스피싱처럼우리사회전반을위협하고있다. 사용자들에게아무리주의를당부해도날마다새롭게진화하는해커의기술을당할수없다. 그이유중하나는해커와방어자간 기술정보의비대칭 문제다. 해커는시장의모든백신엔진과차단엔진을테스트후랜섬웨어를침투시킬수있는기술을보유하고있으나보안회사들은백신혹은차단제품을공개하기때문에랜섬웨어를 100% 차단할수없다. 특히실행파일형태를갖추지않고메모리상에서직접파일을암호화시키는기술이해킹에접목되면기존보안기술은무용지물이될것이다. - 6 -
새로운공격유형에대한방어는새로운기술과정책대응이필요하다. 랜섬웨어는과거의침투기술을지능화하고암호화하여금전을요구하는새로운형태의사이버공격이다. 이러한공격으로부터중요자료를보호하기위해서는지능형침투차단기술개발과데이터백업기술의멀티레이어대응방법이필요하다. 이럼에도불구하고데이터백업에대한기술적표준과정책이부재하여랜섬웨어대응에혼란을겪고있는실정이다. 따라서현재가장시급한것은보안적관점에서데이터백업기술의표준을마련하고백업을의무화시키는정책수립과조치다. 그런이후해커와의거래를불법화시켜우리나라가랜섬웨어해커의수익성높은놀이터가되는것을막아야한다. 막지못하면랜섬웨어공격이장기화될것이다. 랜섬웨어침해는사이버보안의바로미터다. 즉랜섬웨어에의해암호화되었다는것은언제든지 PC의좀비화와 APT공격을받을수있고, 특정그룹에의해사이버안보문제로도발전할수있다는사실을의미하기때문에산업계, 정부기관및국방관련기관에서는예의주시해야한다. 통상적으로공공기관에서는랜섬웨어감염사실을보고하지않고개인적으로처리하고있는데이는사이버보안적색경고등을무시하는것과같은행위다. [ 사용자의랜섬웨어를방어하는최선의방법 ] 1. 랜섬웨어가침해하지못하는전문백업제품을사용하여사전에백업받을것 2. 랜섬웨어차단가능한백신으로업데이트할것 3. 이메일첨부파일열람에주의를기울일것 4. 윈도우업데이트로보안취약점을없앨것 5. 이메일링크로접속말고, 직접접속할것 6. 회사와기관은데이터보호관리정책수립후사용자에게교육할것 [ 정부당국자께랜섬웨어방어를위한정책제안 ] 1. 해커를살찌우는비트코인송금을불법화정책수립 2. 부득이복호화가필요한경우신고제통해감염-복호화-비트코인송금등전과정에대한추적을 DB화 3. 사전예방이최선의방어라는인식을확산시켜데이터를백업하여 IT재해상황대비 4. 기업혹은공공기관중랜섬웨어감염이발생할경우언제든지사이버테러혹은 APT공격을받을수있다는사실을주지시키고반드시시정조치요망 미리준비하면근심이없습니다 [ 본자료는한국랜섬웨어침해대응센터의자산이므로참고하실때반드시출처를명기해주시기바랍니다 ] - 7 -