랜섬웨어는 오늘날 가장 심각한 사이버 보안 위협 중 하나입니다. 이 악성 소프트웨어는 데이터를 잠그고 데이터 해제를 위해 금전을 요구합니다. 랜섬웨어는 기업, 개인, 심지어 정부 기관까지 표적으로 삼습니다. 디지털 기술이 계속 성장함에 따라 민감한 정보를 보호하고 보안을 유지하려면 이 악성 소프트웨어를 이해하는 것이 필수적입니다.
랜섬웨어란 무엇인가요?
랜섬웨어는 파일이나 컴퓨터 시스템에 대한 액세스를 제한하는 멀웨어의 일종입니다. 해커는 이를 사용하여 액세스를 복원하기 위해 보통 암호화폐로 몸값을 요구합니다. 악성 소프트웨어가 설치되면 데이터를 암호화하여 돈을 지불할 때까지 액세스할 수 없게 만듭니다. 몸값을 지불하지 않으면 데이터가 삭제되거나 유출될 수 있습니다.
이 악성 소프트웨어에는 크게 두 가지 유형이 있습니다. 첫 번째는 암호화 랜섬웨어로, 파일을 잠그고 사용할 수 없게 만듭니다. 두 번째는 락커 랜섬웨어로, 전체 시스템을 잠그고 디바이스의 어떤 부분에도 액세스할 수 없도록 합니다. 두 유형 모두 위험하고 혼란을 야기하며, 큰 금전적 손실이나 민감한 정보의 손상을 초래할 수 있습니다.
배경 랜섬웨어의 작동 방식
랜섬웨어는 일반적으로 피싱 이메일, 악성 링크 또는 손상된 웹사이트를 통해 확산됩니다. 사용자가 무의식적으로 링크를 클릭하거나 감염된 첨부 파일을 다운로드하면 이 멀웨어 공격은 시스템에 스스로 설치됩니다. 일단 설치되면 멀웨어는 파일을 암호화하거나 전체 시스템에 대한 액세스를 잠그기 시작합니다. 그런 다음 피해자에게 몸값을 요구하며, 보통 카운트다운 타이머와 함께 몸값을 빨리 지불하도록 압박합니다.
예를 들어, 2017년에는 전 세계 20만 대 이상의 컴퓨터에 영향을 미친 워너크라이 랜섬웨어 공격이 발생했습니다. 공격자들은 Microsoft Windows의 취약점을 이용해 멀웨어를 확산시켰습니다. 이 공격으로 의료 시스템, 기업, 정부 서비스가 중단되었습니다. 워너크라이 랜섬웨어는 이 악성 소프트웨어가 실제 상황에서 얼마나 위험한지 보여주는 한 가지 예일 뿐입니다.
랜섬웨어의 기원/역사
랜섬웨어의 개념은 1980년대 후반부터 존재해 왔습니다. 최초로 알려진 랜섬웨어 공격은 감염된 플로피 디스크를 통해 확산된 ‘에이즈 트로이목마’였습니다. 공격자는 피해자에게 파일에 다시 액세스하려면 우편으로 189달러를 보내라고 요구했습니다. 최신 파일 암호화 바이러스에 비하면 원시적이었지만, 이는 사이버 보안에 심각한 위협이 될 랜섬웨어의 시작이었습니다.
이 멀웨어는 2000년대 초 인터넷의 발달과 함께 더욱 널리 퍼졌습니다. 공격자들은 이메일과 온라인 플랫폼을 사용하여 이 암호화 바이러스 위협을 더 많은 사람들에게 유포하기 시작했습니다. 시간이 지나면서 이 인질 멀웨어는 더욱 정교한 형태로 진화했습니다. 비트코인과 같은 암호화폐의 도입으로 공격자들은 익명의 지불을 더 쉽게 요구할 수 있게 되었고, 이는 최근 몇 년 동안 랜섬웨어 공격의 증가를 촉진했습니다.
| 연도 | 주목할 만한 랜섬웨어 공격 |
|---|---|
| 1989 | 에이즈 트로이 목마 |
| 2013 | 크립토락커 |
| 2017 | WannaCry |
| 2020 | Maze |
랜섬웨어의 유형
- 암호화 랜섬웨어: 이 유형은 파일을 잠그고 암호 해독 키에 대한 대가를 요구합니다.
- 락커 랜섬웨어: 전체 시스템을 잠그고 파일이나 프로그램에 대한 액세스를 거부합니다.
- 스케어웨어: 이 유형은 합법적인 소프트웨어인 것처럼 가장하여 시스템이 감염되었으며 “위협”을 제거하려면 돈을 지불해야 한다고 주장하는 경우가 많습니다.
- 서비스형 랜섬웨어(RaaS): 공격자가 다른 범죄자에게 랜섬웨어 도구를 제공하여 공격을 수행하고 몸값 수익을 공유하는 방식입니다.
| 랜섬웨어 유형 | 설명 |
|---|---|
| 랜섬웨어 암호화 | 파일을 암호화하고 암호 해독 키에 대한 결제를 요구합니다. |
| 락커 랜섬웨어 | 시스템 액세스를 완전히 잠급니다. |
| 스케어웨어 | 사용자로부터 금전을 갈취하기 위한 가짜 협박입니다. |
| 서비스형 랜섬웨어(RaaS) | 범죄자들이 랜섬웨어 도구와 서비스를 구매할 수 있도록 허용합니다. |
랜섬웨어는 어떻게 작동하나요?
시스템에 액세스하거나 파일을 암호화하거나 디바이스를 잠그는 방식으로 작동합니다. 공격자는 보통 피싱 이메일, 악성 웹사이트 또는 소프트웨어의 취약점을 통해 이 멀웨어 공격을 실행합니다. 멀웨어가 설치되면 중요한 파일을 암호화하거나 시스템을 사용할 수 없게 됩니다.
그런 다음 공격자는 암호 해독 키를 받는 대가로 암호화폐로 몸값을 요구합니다. 때로는 피해자가 몸값을 빨리 지불하도록 압박하기 위해 카운트다운 타이머를 포함하기도 합니다. 몸값을 지불하더라도 공격자가 파일에 대한 액세스 권한을 복원한다는 보장은 없습니다.
장단점(공격자의 경우)
| 공격자를 위한 장점 | 공격자를 위한 단점 |
|---|---|
| 높은 금전적 이득을 얻을 수 있는 잠재력 | 법 집행 기관이 점점 더 이 문제에 집중하고 있습니다. |
| 기업, 개인 또는 정부를 타겟팅할 수 있습니다. | 지급이 항상 보장되는 것은 아닙니다. |
| 암호화폐 결제로 인한 추적 어려움 | 사이버 보안 방어가 개선되고 있습니다. |
| 피싱 또는 멀웨어를 통한 손쉬운 배포 | 공격이 더 빈번해짐에 따라 위험 증가 |
랜섬웨어의 표적이 된 기업
콜로니얼 파이프라인 (2021)
2021년 콜로니얼 파이프라인 랜섬웨어 공격은 미국 연료 공급망에 큰 영향을 미쳤습니다. 해커들은 다크사이드 랜섬웨어를 사용하여 회사의 데이터를 잠그고 운영을 마비시켰으며 연료 부족에 대한 광범위한 공황을 일으켰습니다. 공격자들은 암호화폐로 몸값을 요구했고, 결국 회사는 총 440만 달러의 몸값을 지불했습니다. 이 공격은 사이버 공격에 대한 중요 인프라의 취약성을 부각시켰고, 미국 정부가 필수 서비스에 대한 사이버 보안 조치를 강화하도록 촉구했습니다. 콜로니얼 파이프라인의 경험은 인질 멀웨어로 인한 심각한 재무 및 운영상의 위험을 강조합니다.
JBS USA (2021)
세계 최대 육류 공급업체인 JBS USA는 2021년에 심각한 랜섬웨어 공격을 받아 일시적으로 운영이 중단되었습니다. 공격자들은 REvil 랜섬웨어를 사용하여 회사의 IT 시스템을 표적으로 삼아 식품 생산 및 공급망을 중단시켰습니다. 기능을 신속하게 복구하기 위해 JBS는 1,100만 달러의 몸값을 비트코인으로 지불했습니다. 이 공격으로 육류 가공에 상당한 지연이 발생하여 전 세계 식품 산업에 영향을 미쳤습니다. 이 사건은 주요 부문에 대한 악성 소프트웨어 공격이 어떻게 파급 효과를 일으켜 소비자와 기업 모두에게 영향을 미칠 수 있는지 보여주었습니다.
머스크 (2017)
2017년, 세계 최대 해운 회사 중 하나인 머스크는 NotPetya 멀웨어의 대규모 공격을 받았습니다. 이 공격은 머스크의 전 세계 운영에 영향을 미쳐 IT 시스템을 중단시키고 해운 및 물류 서비스를 중단시켰습니다. 머스크는 복구를 위해 4,000곳에 있는 45,000대의 컴퓨터를 재설치해야 했고, 그 결과 약 3억 달러의 손실을 입었습니다. 머스크는 신속한 대응으로 전체 네트워크를 재구축하여 사이버 보안 복원력을 인정받았지만, 이 사건은 사이버 랜섬 위협이 글로벌 공급망에 얼마나 치명적인 영향을 미칠 수 있는지를 극명하게 보여주었습니다.
트래블엑스 (2020)
글로벌 외환 회사인 Travelex는 2020년에 랜섬웨어 공격을 받아 몇 주 동안 운영을 중단해야 했습니다. 공격자들은 소디노키비 랜섬웨어를 사용하여 트래블엑스의 데이터를 암호화하고 600만 달러의 몸값을 요구했습니다. 결국 트래블엑스는 몸값을 지불하고 시스템에 다시 액세스했지만, 이 공격으로 인해 평판이 심각하게 훼손되고 금전적 손실이 발생했습니다. 이 사건은 파일 암호화 바이러스가 서비스를 중단시킬 뿐만 아니라 기업의 브랜드와 고객 신뢰에 장기적인 손상을 입힐 수 있다는 것을 보여주는 사례입니다.
가민 (2020)
피트니스 트래킹 및 GPS 기술 분야의 선도 기업인 Garmin은 2020년에 전 세계 서비스가 중단되는 심각한 랜섬웨어 공격을 경험했습니다. WastedLocker 랜섬웨어가 원인인 이 공격으로 인해 Garmin의 피트니스 앱, 고객 서비스 및 항공 시스템이 며칠 동안 오프라인 상태가 되었습니다. Garmin은 시스템 복구를 위해 수백만 달러의 몸값을 지불한 것으로 알려졌습니다. 이 공격은 서비스 중단이 고객에게 영향을 미칠 뿐만 아니라 항공 내비게이션 도구와 같은 안전에 중요한 시스템을 위협할 수 있는 기술 기업의 취약성을 강조했습니다.
랜섬웨어의 응용 프로그램
비즈니스 타겟팅
랜섬웨어 공격은 일상적인 운영을 위해 중요한 데이터와 시스템에 의존하기 때문에 기업을 표적으로 삼는 경우가 많습니다. 해커들은 기업들이 장기간의 다운타임을 피하기 위해 거액의 몸값을 지불할 의향이 있다는 사실을 잘 알고 있습니다. 특히 금융, 소매, 물류와 같은 산업에서는 단 몇 시간의 중단으로도 막대한 금전적 손실을 초래할 수 있습니다. 공격자는 피싱 이메일을 사용하거나 비즈니스 소프트웨어의 취약점을 악용하여 공격을 시작합니다. 랜섬웨어가 기업의 시스템을 감염시키면 필수 데이터를 잠그고 기업은 몸값을 지불하거나 중요한 정보를 잃을 위험을 감수해야 합니다.
의료 서비스에 미치는 영향
의료 부문은 랜섬웨어 공격의 주요 표적이 되어 왔으며, 병원과 클리닉은 중요한 환자 데이터에 대한 액세스를 복구하기 위해 몸값을 지불해야 하는 경우가 많습니다. 의료 서비스 제공업체는 민감한 정보를 관리하고 진료의 연속성을 보장해야 하기 때문에 특히 취약합니다. 이 멀웨어의 공격은 병원 시스템을 중단시키고 치료를 지연시키며 심지어 생명을 위협할 수도 있습니다. 예를 들어, 2017년에 발생한 워너크라이 공격은 영국 국민보건서비스(NHS)에 심각한 영향을 미쳐 진료 예약을 취소하고 응급 환자의 경로를 변경해야 했습니다. 이러한 공격은 인질 멀웨어가 금전적 피해뿐만 아니라 공중 보건에 실제적인 결과를 초래할 수 있음을 보여줍니다.
중요 인프라 중단
에너지 그리드, 상수도, 교통 시스템과 같은 중요 인프라에 대한 랜섬웨어 공격은 치명적인 결과를 초래할 수 있습니다. 공격자들은 국가 안보에 중요하고 이러한 서비스에 대한 대중의 의존도가 높기 때문에 이러한 부문을 표적으로 삼습니다. 예를 들어, 2021년 콜로니얼 파이프라인 공격은 미국 동부 전역에 광범위한 연료 부족 사태를 일으켰습니다. 이러한 공격은 일상 생활에 지장을 줄 뿐만 아니라 경제적 손실과 국가 안보 문제로 이어질 수 있습니다. 각국 정부는 이러한 악성 소프트웨어 공격이 국가 전체에 미칠 수 있는 심각한 영향을 인식하고 이러한 공격으로부터 중요 인프라를 보호하는 데 점점 더 집중하고 있습니다.
서비스형 랜섬웨어(RaaS)
공격자가 랜섬웨어 도구를 다른 범죄자에게 판매하거나 임대하는 서비스형 랜섬웨어(RaaS)는 사이버 범죄 세계에서 점점 더 큰 트렌드가 되고 있습니다. 이 모델을 사용하면 숙련도가 낮은 해커도 멀웨어를 직접 개발하지 않고도 쉽게 멀웨어 공격을 시작할 수 있습니다. RaaS 제공업체는 고객 지원 및 결제 포털을 제공하는 경우가 많기 때문에 잘 조직된 범죄 기업입니다. 공격자는 RaaS를 사용하여 한 번에 여러 피해자를 대상으로 공격 규모를 확장할 수 있습니다. 이로 인해 더 많은 사이버 범죄자들이 정교한 사이버 랜섬 위협 도구에 액세스할 수 있게 되면서 이러한 공격이 전 세계적으로 빠르게 증가하고 있습니다.
정부 기관 타겟팅
정부 기관은 민감한 데이터를 저장하고 중요한 서비스를 담당하기 때문에 랜섬웨어 공격의 빈번한 표적이 되고 있습니다. 정부 시스템에 대한 이러한 악성 소프트웨어 공격은 법 집행부터 사회 서비스까지 모든 것을 방해할 수 있습니다. 2019년 볼티모어와 애틀랜타 등 미국의 여러 도시가 인질 악성 소프트웨어 공격을 받아 지자체 서비스가 마비되고 복구에 수백만 달러의 비용이 발생했습니다. 이러한 공격은 종종 오래된 보안 조치를 갖춘 취약한 시스템을 표적으로 삼기 때문에 정부는 더 강력한 사이버 보안 방어에 투자해야 합니다. 정부 기관을 표적으로 삼는 랜섬웨어는 운영 지연을 초래할 뿐만 아니라 이러한 기관의 시민 데이터 보호 능력에 대한 대중의 신뢰도 약화시킵니다.
리소스
- 포티넷 랜섬웨어란 무엇인가요?
- NCSC: 랜섬웨어 개요
- CSO 온라인: 랜섬웨어란 무엇이며 어떻게 작동하는가?
- IBM: 랜섬웨어: 개요
- Malwarebytes: 랜섬웨어 설명
