현대 랜섬웨어 동향과 보안 시사점

1. 랜섬웨어 개요

• 정의: 랜섬웨어는 피해자로부터 금전을 요구하기 위해 데이터를 암호화하거나 시스템 접근을 차단하는 악성 프로그램.
• 공격 과정:
  1. 사전 침투 → 2. 정보 수집 → 3. 대상 지정 → 4. 맞춤형 배포
• 공통 특징:
  • 섀도 복사본 삭제(vssadmin)
  • RDP/DB 관련 서비스 중지
  • 일부 예외 폴더/확장자 제외, 최근 파일 우선 암호화
  • DLS(Dedicated Leak Site)를 통한 피해 데이터 공개 협박 가능
• 목표: 피해자로부터 금전을 요구하고, 복호화 가능성을 공격자가 통제

---

2. 언더그라운드 랜섬웨어

• 암호화 방식: AES 대칭키로 파일 암호화 → AES 키를 RSA 공개키로 암호화 (하이브리드 암호화)
  • AES 키는 파일 끝(Tail)에 삽입, 메타데이터 포함
  • 파일마다 키가 달라 같은 평문도 암호문이 다름
• 특징:
  • 피해 복구 방해 및 분석 회피 기능 내장
  • 맞춤형 배포, 최근 파일 우선 암호화, 일부 예외 폴더/확장자 제외
  • DLS 운영으로 2차 협박 가능

---

3. DireWolf 랜섬웨어

• 목표: 특정 파일 빠르게 암호화 후 자기 삭제
• 공격 과정: Mutex 체크 → 워커풀 생성 → 병렬 처리 → 파일 암호화 → 후처리(마커 파일, 재부팅, 프로세스 종료)
• 암호화 방식: 난수 개인키 + 하드코딩된 공개키, CURVE 키 교환 → AES 대칭키로 파일 암호화
• 특징:
  • 스트라이프 방식 적용, 파일 크기별 전략적 암호화
  • 분석 및 복구 방해 기능 내장, 자기 삭제 루틴 포함

---

4. 랜섬웨어 진화 및 유형

• 초기형: CryptoLocker – 개별 PC 파일 암호화, 단순 금전 요구
• 네트워크 전파형: WannaCry – 자동 감염, 산업 규모 피해
• 유형별 특징:
  • Crypto Ransomware: 파일/DB 암호화
  • Locker Ransomware: 화면 잠금, 심리적 압박
  • Hybrid Ransomware: 파일 암호화 + 부팅 차단
  • Double Extortion: 데이터 암호화 + 외부 유출 협박
  • RaaS(Ransomware-as-a-Service): 툴 임대/판매, 범죄 산업화

---

5. 고급 공격 전략

• 복원 지점 제거
• 예약 백업/메타데이터 삭제
• WinRE 비활성화, 부팅 복구 차단
• 주요 이벤트 로그 삭제
• 백업/DB 운영/윈도우 업데이트/가상화 서비스 종료 → 모니터링·보안 무력화

---

6. 대응 전략 (KISA 기준)

1. 외부 접속 관리 강화
2. 계정 관리 철저
3. 공용 NAS (Network Attached Storage) 보안 강화
4. 체계적 백업 및 복구 훈련

---

7. 결론

“데이터를 지키는 것이 곧 생존을 지키는 것”
랜섬웨어는 단순 파일 암호화를 넘어 기업 시스템 전체와 민감 정보까지 위협한다.
사전 예방, 백업, 계정·접속 관리, 보안 모니터링, 복구 훈련이 유일한 생존 전략이다.

 

참고 자료

• 안랩 시큐리티 레터 제 1078-1079호