본문 바로가기 주메뉴 바로가기 검색 바로가기
새로 등장한 랜섬웨어의 위험한 속임수, 피해자 데이터에 이중 암호화
상태바
more #랜섬웨어 #이중 암호화 #사이버 공격 #사이버 보안 #암호화 해제
새로 등장한 랜섬웨어의 위험한 속임수, 피해자 데이터에 이중 암호화
암호화 해제 키 비용을 내더라도 랜섬웨어 공격을 당한 파일이 또 다른 변종 멀웨어 때문에 암호화된 것을 발견할 수도 있다.
By LILY HAY NEWMAN, WIRED US

랜섬웨어 집단은 항상 최대한 많은 공격이 더 많은 금전적 이익을 취할 수 있는 방법이라는 태도를 지닌 접근 방식을 취해왔다. 피해자가 데이터값을 건네면, 평소와 같은 정상적인 활동으로 돌아간다. 그리고, 피해자에게 다시 타격을 준다. 혹은 피해자의 시스템을 단순히 암호화하는 것에서 끝나지 않는다. 가장 최근 심각해진 문제는 무엇일까? 바로 피해자의 데이터 이중 암호화이다.

데이터 이중 암호화 공격은 이전에도 발생한 적이 있다. 주로 두 가지 별도의 랜섬웨어 집단이 같은 피해자의 시스템을 동시에 공격할 때, 발생했다. 그러나 바이러스 방지 기업 엠시소프트(Emsisoft)는 같은 공격자나 랜섬웨어 집단이 의도적으로 두 가지 유형의 랜섬웨어를 동시에 적용한 채로 공격을 개시한 사례 수십 가지를 발견했다고 말한다.
 
[사진=Freepik]
[사진=Freepik]

엠시소프트 위협 애널리스트 브렛 칼로우(Brett Callow)는 “랜섬웨어 공격 집단은 끊임없이 최소한의 공격 노력으로 최대한의 금전적 이익을 취할 최상의 공격 전략을 고안한다. 따라서 이중 암호화 공격 수법에서는 단 한 명의 공격자 혹은 랜섬웨어 세력이 두 가지 유형의 랜섬웨어 공격 수법을 적용한 것을 볼 수 있다. 피해자는 자신의 데이터 암호화를 해제하고는 제대로 데이터 암호화가 해제되지 않은 사실을 알게 된다”라고 말했다.

칼로우의 설명에 따르면, 일부 피해자는 두 가지 랜섬웨어 공격 발생 사실을 즉시 알아차린다. 이는 랜섬웨어 공격 세력이 이중 암호화 공격을 개시했다는 사실을 피해자가 알아채는 것을 원한다는 의미이다. 그러나 피해자가 단 한 가지 랜섬웨어 공격이 개시된 것만 알아내고, 첫 번째 암호화 해제를 위한 데이터값을 건네고 나서 두 번째 암호화가 적용된 사실을 알게 되는 사례도 있다.

칼로우는 “표준 단일 암호화 랜섬웨어 사례에서도 데이터 복구는 종종 완전한 악몽이 된다. 그러나 이중 암호화 수법을 자주 발견하고 있다. 이 때문에 여러 기관에서 랜섬웨어 대응 방식을 고려해야 할 때, 이중 암호화 문제를 인지해야 한다고 생각한다”라고 말했다.

엠시소프트는 이중 암호화 수법이 다른 두 가지 유형으로 존재한다는 사실을 발견했다. 첫 번째 수법은 해커가 랜섬웨어 A로 데이터를 암호화한 뒤, 랜섬웨어 B로 데이터를 다시 암호화하는 것이다. 두 번째 수법은 엠시소프트 연구팀이 ‘함께 이루어지는 암호화’라고 칭하는 공격 수법으로, 랜섬웨어 A로 기관 시스템의 일부를 암호화하고, 랜섬웨어 B로 다른 시스템을 암호화한다. 이때, 데이터는 단 한 번만 암호화되지만, 피해자는 모든 시스템의 암호화 해제를 위해 두 가지 공격의 암호화 해독 키를 확보해야 한다. 엠시소프트 연구팀은 함께 이루어지는 암호화 공격에서 해커가 몇 가지 단계를 거쳐 두 가지 다른 랜섬웨어 공격을 가능한 비슷한 것처럼 보이도록 해, 사건 대응 당사자가 어떤 일이 발생했는지 알아내기 더 어렵게 만든다.

랜섬웨어 조직은 종종 한 조직이 랜섬웨어 변종을 구축하고 유지한 뒤, 특정 공격 개시 세력을 대상으로 공격 기반을 대여하는 수익 공유 모델을 운영한다. 칼로우는 이중 암호화 공격은 수익 공유 모델에 부합하다고 말한다. 공격을 개시하려는 클라이언트 조직이 다른 악성 프로그램을 제공하는 두 조직과 수익 분할 협상을 하도록 하기 때문이다.

데이터값 지불을 둘러싼 의문점은 답을 찾기 까다로우면서도 중요한 문제이다. 이미 데이터값을 건넨 랜섬웨어 피해자는 해커가 실제로 암호화 키를 제공하지 않을 수 있다는 가능성을 경계해야 한다. 그러나 이중 암호화 공격이 증가하면, 피해자가 파일 암호화 해제 비용을 건네고 두 번째 암호화 키 비용을 다시 건네야 한다는 추가적인 위험이 제기된다. 결과적으로 이중 암호화 공격의 위협은 그 어느 때보다 백업 능력을 더 중요하게 만들고 있다.

칼로우는 “백업으로 해결책을 찾는 것은 길고 복잡한 과정이다. 그러나 이중 암호화 공격은 백업을 더 복잡하게 만들지는 않는다. 백업을 통해 시스템을 새로 재구축하기로 했다면, 기존 데이터 암호화 설정 횟수는 중요하지 않다”라고 설명했다.

처음 제대로 백업을 하지 않았거나 시스템을 처음부터 재구성하는 데 시간을 투자하는 것을 원하지 않는 랜섬웨어 피해자에게 이중 암호화 공격은 추가적인 위협을 제기한다. 그러나 이중 암호화 공격에 대한 두려움으로 피해자가 전반적으로 데이터값을 건네는 경우가 적다면, 랜섬웨어 공격 집단은 이중 암호화 공격 수법 악용을 중단할 수 있다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Ransomware's Dangerous New Trick Is Double-Encrypting Your Data
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
와이어드 코리아=Wired Staff Reporter iufcsol0122@spotv.net
저작권자 © WIRED Korea 무단전재 및 재배포 금지
이 기사를 공유합니다
RECOMMENDED
와이어드 뉴스레터 신청
  • 서울시 마포구 월드컵북로 56길 12 상암동 Trutec 빌딩 6층
  • 대표 전화 : 1833-8910 (평일 오전 9:30~18:30)
  • 팩스 : 02)539 -3968
  • 대표 메일 : wiredkorea@wired.kr
  • 회사명 : ㈜스포티비와이어드
  • 제호 : 와이어드코리아 WIRED Korea
  • 정기간행물 등록번호 : 서울 아 52627
  • 등록일 : 2019-09-30
  • 발행일 : 2019-12-12
  • 청소년보호책임자 : 이상현
  • 청소년보호책임자 : 이상현
  • WIRED Korea의 모든 콘텐츠는 저작권법의 보호를 받는 바, 무단 전재와 복사, 배포 등을 금합니다.
  • Copyright © 2024 와이어드코리아 Wired Korea. All rights reserved.
ND소프트
WIRED Korea 공식 SNS
WIRED Korea Newsletter 구독신청