[문서중앙화 필요성] 랜섬웨어 공격 차단!!

 

 

랜섬웨어(Ransomware)

랜섬웨어는 컴퓨터 시스템이나 데이터를 암호화하거나 잠금하여 사용자 접근을 제한한 뒤, 이를 해제하는 대가로 금전을 요구하는 악성코드입니다. 아래는 랜섬웨어의 작동 방식과 관련된 주요 단계를 순서대로 설명한 내용입니다.

---

1. 감염 단계 (Infection)

• 목적: 대상 시스템에 랜섬웨어를 설치하여 감염시킵니다.
• 방법:
  • 피싱 이메일: 악성 첨부 파일이나 링크를 포함한 이메일을 전송.
  • 악성 다운로드: 합법적인 소프트웨어로 위장한 악성코드를 다운로드.
  • 취약점 악용(Exploit Kits): 네트워크 또는 소프트웨어의 취약점을 공격.
  • 드라이브-바이 다운로드(Drive-by Download): 사용자가 악성 웹사이트에 접속만 해도 자동으로 랜섬웨어가 설치.

---

2. 실행 단계 (Execution)

• 목적: 랜섬웨어가 실행되며 악성 행위를 시작합니다.
• 방법:
  • 파일 암호화: 시스템 내 데이터를 스캔하고 중요 파일을 암호화(.docx, .pdf, .jpg 등).
  • 시스템 잠금: 운영체제나 특정 애플리케이션을 잠금 처리.
  • 네트워크 확산: 로컬 네트워크에 연결된 다른 장치로 감염을 확산.

---

3. 암호화 단계 (Encryption)

• 목적: 사용자가 데이터를 열거나 접근하지 못하도록 암호화합니다.
• 방법:
  • AES, RSA와 같은 강력한 암호화 알고리즘을 사용.
  • 암호화 대상 파일: 문서, 이미지, 데이터베이스 등 주요 파일을 선별.
  • 파일 확장자 변경: 예를 들어 file.docx → file.docx.locked.

---

4. 몸값 요구 단계 (Ransom Demand)

• 목적: 피해자에게 암호화 해제를 위한 금전 요구.
• 방법:
  • 랜섬 노트 제공: 암호화된 파일 대신 랜섬 노트(README.txt 또는 팝업 창)를 표시.
    • 지불 방법: 일반적으로 비트코인 등 추적이 어려운 암호화폐를 요구.
    • 금액: 수백에서 수백만 달러에 이르며, 조직이나 데이터 가치에 따라 결정.
  • 지불 기한 설정: 제한 시간을 설정하여 심리적 압박을 가중.
  • 위협 메시지: 일정 시간이 지나면 데이터를 삭제하거나 금액을 인상하겠다는 경고.

---

5. 확산 단계 (Propagation)

• 목적: 랜섬웨어가 네트워크를 통해 확산되며 더 많은 시스템을 감염.
• 방법:
  • SMB 프로토콜 악용: 네트워크 공유 폴더를 통해 전파(예: 워너크라이).
  • 내부 계정 탈취: 관리자의 인증 정보를 탈취하여 더 많은 장치로 접근.
  • USB 등 이동식 장치: 악성코드가 USB 드라이브를 통해 확산.

---

6. 데이터 복구 또는 삭제(Optional)

• 목적: 피해자가 요구를 거부하거나 시간 초과 시 데이터 복구를 불가능하게 만듦.
• 방법:
  • 파일 삭제: 데이터를 영구 삭제하거나 추가 암호화.
  • 데이터 공개 위협: 감염된 데이터를 인터넷에 유출(이중 갈취 방식).

---

7. 해제 또는 추가 공격(Optional)

• 목적: 몸값을 지불한 경우, 복호화 키를 제공하거나 추가 공격 수행.
• 결과:
  • 일부 경우, 복호화 키 제공: 데이터가 복구되지만 공격자가 다른 악성코드를 심어둔 경우가 많음.
  • 복호화 거부: 금액을 지불해도 데이터를 복구하지 않거나, 추가 금전을 요구.

---

랜섬웨어의 주요 특징

1. 암호화 기술: 강력한 암호화 알고리즘 사용으로 복호화가 사실상 불가능.
2. 익명성: 암호화폐와 다크웹을 통해 몸값 요구.
3. 확산성: 한 시스템에서 시작하여 전체 네트워크로 빠르게 확산.
4. 맞춤형 공격: 개인 사용자, 기업, 병원, 공공기관 등 다양한 목표 설정.

---

랜섬웨어 유형

1. 암호화형 랜섬웨어(Encryption Ransomware)
   • 데이터를 암호화하여 접근을 차단(예: WannaCry, Locky).
2. 잠금형 랜섬웨어(Locker Ransomware)
   • 운영체제나 특정 앱을 잠가 시스템 사용을 불가능하게 만듦(예: Reveton).
3. 이중 갈취형 랜섬웨어(Double Extortion)
   • 데이터를 암호화한 뒤 유출 위협으로 이중 협박(예: Maze).
4. 서비스형 랜섬웨어(RaaS, Ransomware as a Service)
   • 공격 툴을 대여하는 서비스로, 누구나 랜섬웨어 공격이 가능(예: Sodinokibi).

---

랜섬웨어 방어 및 대응 전략

1. 사전 예방

• 백업: 데이터를 주기적으로 외부 저장소나 클라우드에 백업.
• 소프트웨어 업데이트: 모든 운영체제와 소프트웨어를 최신 상태로 유지.
• 안티바이러스 소프트웨어: 최신 보안 프로그램을 설치하고 실행.
• 직원 교육: 피싱 이메일, 악성 링크에 대한 보안 인식 강화.

2. 탐지 및 차단

• 네트워크 모니터링: 비정상적인 트래픽을 감지.
• 메일 필터링: 악성 첨부 파일 및 의심스러운 링크를 차단.
• IDS/IPS 사용: 침입 탐지 및 방지 시스템을 활용.

3. 감염 시 대응

• 네트워크에서 감염된 장치 분리(격리).
• 랜섬 노트 분석: 복호화 툴을 제공하는 보안 기관 사이트(예: No More Ransom) 확인.
• 금전 지불 자제: 공격자를 더욱 활성화할 가능성.

4. 사후 조치

• 시스템 복구: 백업 데이터를 활용한 복구.
• 취약점 점검: 랜섬웨어가 침투한 경로를 분석 및 차단.
• 법 집행 기관에 신고: 공격 상황을 보고하여 수사 지원 요청.

---

랜섬웨어는 특히 기업과 조직에 치명적일 수 있으므로, 사전 대비와 감염 시 신속한 대응이 매우 중요합니다.