랜섬웨어(Ransomware) : 몸값(Ransom) + 소프트웨어(Software)로, 즉 사용자의 컴퓨터 시스템에 침투하여 데이터를 암호화하거나 시스템 접근을 제한한 후 금전을 요구하는 악성 프로그램.
그러나 일부 랜섬웨어 그룹은 몸값을 받고도 데이터를 복구해 주지 않거나, 데이터를 유출하는 경우도 있다.
랜섬웨어 종류
- 암호화 랜섬웨어(Crypto Ransomware) : 시스템에 침투해 사용자의 파일을 암호화하는 가장 보편적인 랜섬웨어 유형.
- 락커 랜섬웨어(Locker Ransomware) : 시스템 자체를 잠가 사용자의 컴퓨터 접근을 차단하는 유형. 부팅을 막거나 특정 프로그램 실행을 제한해 정상적인 작업을 수행할 수 없게 만듦.
- 서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS) : 랜섬웨어 공격을 위한 도구와 인프라를 제공하는 서비스. 랜섬웨어 개발자가 프로그램을 개발하고, 다른 공격자들이 사용할 수 있도록 판매하거나 임대함.
주요 감염 경로
- 이메일 첨부 파일 또는 링크 클릭(스피어 피싱, Spear phishing) : 가장 보편적인 방법으로, 이메일을 통한 공격이 있다. 악성 코드가 포함된 첨부 파일을 보내거나, 악성 웹사이트로 연결되는 링크를 심어 사용자를 속인다.
- 취약한 웹사이트 방문 또는 광고 클릭(멀버타이징, Malvertising) : 사용자가 보안이 취약한 웹사이트를 방문하거나 악성 광고(멀버타이징)를 클릭할 경우 랜섬웨어에 감염될 수 있다. 공격자가 보안 허점을 악용해 웹사이트에 악성코드를 심거나, 광고 네트워크를 통해 악의적인 광고를 퍼뜨리는 것이다.
- 소프트웨어 취약점 이용 : 운영체제, 웹 브라우저, 플러그인 등의 소프트웨어 보안 취약점은 랜섬웨어 공격의 주요 통로로 이용된다. 이러한 취약점을 교묘히 이용해 시스템에 침투하고 악성코드를 실행한다.
- 보안이 취약한 네트워크를 통한 침투 : 비밀번호가 없는 Wi-Fi 네트워크나 보안이 취약한 공유 폴더를 통해 랜섬웨어가 빠르게 전파될 수 있다.
- 불법 소프트웨어 다운로드 : 불법 소프트웨어, 크랙, 키젠 등을 다운로드할 때 랜섬웨어 감염 위험은 높아진다. 이러한 파일들은 악성코드를 대부분 내장하고 있어, 실행 즉시 랜섬웨어가 설치될 수 있다.
예방
- 정기적인 데이터 백업 및 복구 시스템 구축 : 데이터를 주기적으로 백업하고 안전하게 보관한다. 이 경우, 감염되더라도 백업된 데이터를 통해 시스템을 복구해 몸값 지불 없이 피해를 최소화할 수 있다. 백업은 외부 저장 장치나 클라우드 스토리지 등 다양한 방법으로 수행이 가능하다.
- 최신 보안 패치 및 소프트웨어 업데이트 유지 : 운영체제, 백신 프로그램, 웹 브라우저, 애플리케이션 등을 항상 최신 버전으로 업데이트해야 한다.
- 강력한 비밀번호 설정 및 다중 인증 사용 : 추측하기 어려운 복잡한 비밀번호를 사용하고, 모든 계정에 다중 인증을 설정해 계정 탈취를 방지해야 한다.
- 수상한 이메일 및 링크 클릭 주의 : 의심스러운 이메일은 열어보지 않고 즉시 삭제하고, 포함된 링크나 첨부 파일을 클릭하지 않도록 주의해야 한다.
대응 방법
- 감염 사실 인지 시스템 격리 : 랜섬웨어 감염이 의심되는 즉시 해당 시스템을 네트워크에서 완전히 분리하여 추가 감염을 방지한다. 네트워크 케이블 제거 또는 Wi-Fi 연결 해제 등을 통해 인터넷 연결을 차단해야 한다.
- 보안 전문가 또는 수사 기관에 신고 : 보안 전문가나 한국인터넷진흥원(KISA)과 같은 관련 기관에 신고해 전문적인 도움을 받아야 한다.
랜섬웨어 공격의 최신 동향
- 공격 대상의 다변화(OT/ICS환경, 클라우드 환경 등) : 기존에는 일반 기업과 개인 사용자가 주된 공격 대상이었다. 그러나 최근에는 운영기술(OT), 산업제어시스템(ICS), 클라우드 환경 등으로 공격 범위가 확대되고 있다.
- 이중 협박(데이터 유출 후 암호화) : 단순히 데이터를 암호화하는 것을 넘어 데이터를 유출 후 공개하겠다고 협박하는 이중 협박 방식이 증가하고 있다. 공격자는 암호화된 데이터 복구와 더불어 유출된 데이터의 비공개를 조건으로 이중 몸값을 요구한다.
- 공격 그룹의 전문화 및 조직화 : 랜섬웨어 공격 그룹은 고도의 기술력을 가진 전문가들을 영입하고, 체계적인 공격 계획을 수립해 공격 성공률을 높이고 있다. 랜섬웨어 개발, 공격 인프라 관리, 몸값 협상 등 분야별로 세분화된 역할 분담을 통해 효율적인 공격을 감행하고 있다.
- AI/ML 기술을 활용한 공격 시도 : 인공지능(AI) 및 머신러닝(ML) 기술을 적극적으로 활용한 랜섬웨어 공격이 등장하고 있다. AI/ML 기술은 악성코드 분석, 공격 대상 선정, 사회공학적 공격 자동화 등 다양한 영역에서 활용될 수 있다.
본 게시글은 아래의 링크 속 콘텐츠를 기반으로 작성.
[보안 101] 랜섬웨어란 무엇인가요?
[보안 101] 더보기 ▶ 매달 하나의 주제를 선정해 질문을 던지며, 보안에 한 걸음 더 가까이 다가갑니다.복잡하고 어렵게 느껴질 수 있는 보안 지식을 초보자도 쉽게 이해할 수 있도록, 기초 개념
www.igloo.co.kr
'소학회 > 기술스터디' 카테고리의 다른 글
| [Theori]CoSoSys Endpoint Protector에서 발견한 0-day 원격 코드 실행 취약점 (0) | 2025.05.12 |
|---|---|
| [IGLOO]이글루코퍼레이션 XDR 전략 ‘AI-Driven Open XDR’ (0) | 2025.05.06 |
| [AhnLab]이메일 속 숨겨진 함정! 최신 피싱 공격 방법은? (0) | 2025.04.07 |
| [ESTsecurity]학술논문으로 위장하여 유포 중인 RokRAT 악성코드 주의! (0) | 2025.03.31 |
| [IGLOO]공격 표면 관리(ASM) (0) | 2025.03.22 |