VietNamNet은 사이버 보안 전문가이자 블록체인 및 AI 연구소 부소장인 다오 중 탄(Dao Trung Thanh) 씨의 기사를 소개합니다. 이 기사를 통해 VNDirect Securities Company의 사이버 공격과 랜섬웨어의 위험성을 더 잘 이해할 수 있습니다.
피해자의 시스템 데이터를 암호화하고 해독 대가로 금품을 요구하는 악성코드의 일종인 랜섬웨어는 오늘날 세계에서 가장 위험한 사이버 보안 위협 중 하나로 떠올랐습니다. 사진: zephyr_p/Fotolia

VNDirect 사건과 랜섬웨어를 위험하게 만드는 요인은 무엇인가?

2024년 3월 24일, 베트남 VNDirect Securities Company가 국제 랜섬웨어 공격의 최신 핫스팟이 되었습니다. 이 공격은 단발적인 사례가 아닙니다.

피해자 시스템의 데이터를 암호화하고 해독 대가로 몸값을 요구하는 악성 소프트웨어의 일종인 랜섬웨어는 오늘날 전 세계에서 가장 광범위하고 위험한 사이버 보안 위협 중 하나로 자리 잡았습니다. 사회생활의 모든 영역에서 디지털 데이터와 정보 기술에 대한 의존도가 높아짐에 따라 조직과 개인은 이러한 공격에 취약해지고 있습니다.

랜섬웨어의 위험성은 단순히 데이터를 암호화하는 능력뿐 아니라, 확산 및 몸값 요구 방식에도 있습니다. 랜섬웨어는 해커가 불법적인 수익을 창출할 수 있는 금융 거래 채널을 만들어냅니다. 랜섬웨어 공격의 정교함과 예측 불가능성은 오늘날 사이버 보안이 직면한 가장 큰 과제 중 하나입니다.

VNDirect 공격은 랜섬웨어를 이해하고 예방하는 것의 중요성을 극명하게 보여줍니다. 랜섬웨어의 작동 방식과 그 위협을 이해해야만 사용자 교육 , 기술 솔루션 구현, 중요 데이터 및 정보 시스템을 보호하기 위한 포괄적인 예방 전략 수립 등 효과적인 보호 조치를 마련할 수 있습니다.

랜섬웨어의 작동 방식

사이버 보안계의 무서운 위협인 랜섬웨어는 정교하고 다면적인 방식으로 작동하여 피해자에게 심각한 피해를 입힙니다. 랜섬웨어의 작동 방식을 더 잘 이해하려면 공격 프로세스의 각 단계를 면밀히 살펴봐야 합니다.

전염병

공격은 랜섬웨어가 시스템을 감염시키면서 시작됩니다. 랜섬웨어가 피해자의 시스템에 침투하는 일반적인 방법은 다음과 같습니다.

피싱 이메일: 악성 첨부 파일이나 악성 코드가 포함된 웹사이트 링크가 포함된 가짜 이메일; 보안 취약점 악용: 패치되지 않은 소프트웨어의 취약점을 이용하여 사용자 상호 작용 없이 자동으로 랜섬웨어를 설치; 악성 광고: 인터넷 광고를 사용하여 맬웨어를 배포; 악성 웹사이트에서 다운로드: 사용자가 신뢰할 수 없는 웹사이트에서 소프트웨어나 콘텐츠를 다운로드합니다.

암호화

랜섬웨어는 감염되면 피해자 시스템의 데이터를 암호화하는 과정을 시작합니다. 암호화는 복호화 키 없이는 읽을 수 없는 형식으로 데이터를 변환하는 과정입니다. 랜섬웨어는 강력한 암호화 알고리즘을 사용하는 경우가 많으며, 특정 키 없이는 암호화된 데이터를 복구할 수 없습니다.

몸값 요구

랜섬웨어는 데이터를 암호화한 후 피해자의 화면에 데이터 해독을 위한 몸값을 요구하는 메시지를 표시합니다. 이 메시지에는 일반적으로 몸값 지불 방법(보통 범죄자의 신원을 숨기기 위해 비트코인이나 기타 암호화폐를 통해 지불)과 지불 기한이 포함됩니다. 일부 랜섬웨어는 몸값을 지불하지 않으면 데이터를 삭제하거나 공개하겠다고 위협하기도 합니다.

거래 및 복호화(또는 복호화하지 않음)

피해자는 어려운 결정에 직면하게 됩니다. 몸값을 지불하고 데이터를 돌려받을지, 아니면 지불을 거부하고 데이터를 영원히 잃을지 결정해야 합니다. 하지만 몸값을 지불한다고 해서 데이터가 복호화된다는 보장은 없습니다. 오히려 범죄자들이 계속해서 범죄를 저지르도록 부추길 수 있습니다.

랜섬웨어의 작동 방식은 기술적 정교함뿐 아니라 사용자의 속기 쉬움과 무지함을 악용하려는 안타까운 현실을 보여줍니다. 이는 피싱 이메일 감지부터 최신 보안 소프트웨어 유지까지 사이버 보안에 대한 인식과 지식을 높이는 것의 중요성을 강조합니다. 랜섬웨어처럼 끊임없이 진화하는 위협에 직면하여 교육과 예방은 그 어느 때보다 중요합니다.

랜섬웨어의 일반적인 변종

랜섬웨어 위협의 세계에서 일부 변종은 정교함, 확산 능력, 그리고 전 세계 조직에 미치는 영향으로 두드러집니다. 7가지 일반적인 변종과 그 작동 방식에 대한 설명은 다음과 같습니다.

REvil(소디노키비라고도 함)

특징: REvil은 서비스형 랜섬웨어(RaaS)의 한 변종으로, 사이버 범죄자들이 이를 "임대"하여 자체 공격을 수행할 수 있도록 합니다. 이로 인해 랜섬웨어의 확산 능력과 피해자 수가 크게 증가합니다.

전파 방법: 익스플로잇, 피싱 이메일, 원격 공격 도구를 통한 배포. REvil은 또한 데이터를 자동으로 암호화하거나 탈취하는 공격 방법을 사용합니다.

류크

특징: Ryuk는 주로 대규모 조직을 표적으로 삼아 몸값을 극대화합니다. 각 공격에 맞춰 스스로를 맞춤 설정할 수 있어 탐지 및 제거가 어렵습니다.

전파 방법: Trickbot, Emotet 등의 다른 맬웨어에 감염된 피싱 이메일과 네트워크를 통해 Ryuk는 네트워크 데이터를 확산시키고 암호화합니다.

로빈후드

특징: Robinhood는 정교한 암호화 전술을 사용하여 파일을 잠그고 거액의 몸값을 요구하는 등 정부 시스템과 대규모 조직을 공격하는 능력으로 유명합니다.

전파 방법: 피싱 캠페인을 통해 확산되며 소프트웨어의 보안 취약점을 악용합니다.

더블페이머

특징: DoppelPaymer는 데이터를 암호화하고 몸값을 지불하지 않으면 정보를 공개하겠다고 위협하여 심각한 피해를 입힐 수 있는 독립형 랜섬웨어 변종입니다.

전파 방법: 원격 공격 도구와 피싱 이메일을 통해 전파되며, 특히 패치되지 않은 소프트웨어의 취약점을 표적으로 삼습니다.

스네이크(EKANS라고도 함)

특징: SNAKE는 산업 제어 시스템(ICS)을 공격하도록 설계되었습니다. 데이터를 암호화할 뿐만 아니라 산업 공정을 방해할 수도 있습니다.

확산 방법: 피싱 및 악용 캠페인을 통해 특정 산업 시스템을 표적으로 삼는 데 중점을 둡니다.

포보스

특징: Phobos는 또 다른 랜섬웨어 변종인 Dharma와 많은 유사점을 공유하며, RDP(원격 데스크톱 프로토콜)를 통해 소규모 기업을 공격하는 데 자주 사용됩니다.

전파 방법: 주로 노출되었거나 취약한 RDP를 통해 공격자가 원격으로 액세스하여 랜섬웨어를 배포할 수 있습니다.

록비트

LockBit은 서비스형 랜섬웨어(RaaS) 모델로 운영되는 또 다른 인기 랜섬웨어 변종으로, 기업 및 정부 기관을 공격하는 것으로 알려져 있습니다. LockBit은 취약점 악용, 시스템 깊숙이 침투, 그리고 암호화 페이로드 배포의 세 가지 주요 단계로 공격을 수행합니다.

1단계 - 악용: LockBit은 피싱 이메일이나 인트라넷 서버 및 네트워크 시스템에 대한 무차별 대입 공격과 같은 소셜 엔지니어링 기술을 사용하여 네트워크의 취약점을 악용합니다.

2단계 - 침투: 침투 후 LockBit은 "사후 공격" 도구를 사용하여 액세스 수준을 높이고 암호화 공격에 대비하여 시스템을 준비합니다.

3단계 - 배포: LockBit은 네트워크에서 접근 가능한 모든 장치에 암호화된 페이로드를 배포하여 모든 시스템 파일을 암호화하고 몸값 요구 메시지를 남깁니다.

LockBit은 네트워크 스캐너부터 원격 관리 소프트웨어에 이르기까지 다양한 무료 및 오픈 소스 도구를 사용하여 네트워크 정찰, 원격 접속, 자격 증명 도용, 데이터 유출 등을 수행합니다. 경우에 따라 LockBit은 몸값 요구가 충족되지 않을 경우 피해자의 개인 정보를 공개하겠다고 위협하기도 합니다.

LockBit은 복잡성과 확산성을 고려할 때 현대 랜섬웨어 세계에서 가장 큰 위협 중 하나입니다. 조직은 이 랜섬웨어와 그 변종으로부터 자신을 보호하기 위해 포괄적인 보안 조치를 구현해야 합니다.

다오 쭝 탄

2부: VNDirect 공격부터 랜섬웨어 대응 전략까지