관리 메뉴


Kinesis´s Open Document

해킹보안 : 랜섬웨어 목적 및 원리 이해하기 #01 본문

기획 시리즈/보안 : 공격원리 이해하기

해킹보안 : 랜섬웨어 목적 및 원리 이해하기 #01

Kinesis 2016. 7. 4. 18:11


# 랜섬웨어(Ransomware)

랜섬웨어의 원리를 이용한 공격은 새로 등장한 방법은 아니다. 그저 공격 가능성이 언급되어 오며 가상시나리오로 테스트 목적으로 만들어지던 것이 실질적인 공격으로 가시화 되어 나타난 것에 불과하다.


대부분의 사람들이 알고 있듯 모든 물질은 어떠한 용도로 쓰이느냐에 따라 약이 되거나 독이 되기도 하는데, 랜섬웨어는 본디 정보를 보호한다는 유익한 용도로 마련된 기술을 독이 되는 기술로 사용한 대표적인 예라고 할 수 있다.


# 핵심 Point

랜섬웨어의 근간을 이루는 핵심기술은 암호화(encryption)와 복호화(decryption)다. 앞서 말했듯 암호화 및 복호화는 원래 어떠한 정보나 자료를 보관하기 위해 사용하는 방법이었지만 랜섬웨어는 이 기능을 전혀 다른 목적으로 이용해 상대방이 가지고 있는 중요한 문서나 자료 등을 확인할 수 없도록 암호화시켜버리고 복호화를 위해서는 금전을 지불하도록 유도하는 양상을 보인다.


랜섬웨어는 파일을 암호화하기 때문에 피해의 정도나 복구 역시 암호화 알고리즘에 영향을 받는다. 기본적으로 컴퓨팅환경에서 다루는 암호화는 알고리즘에 따라 크게 단방향 암호화와 양방향 암호화 2가지 유형으로 나뉜다. 여기서 단방향 암호화란 원래의 문자열로 복호화가 불가능한 암호화 알고리즘으로 주로 패스워드 검증 등에 사용되는 HASH 기반의 암호화 알고리즘을 말하며, 양방향 암호화란 원래의 문자열로 복호화가 가능한 암호화 알고리즘으로 AES, DES 등과 같은 알고리즘을 말한다.


# 공격목적

렌섬웨어의 기본적인 목적은 중요한 정보를 암호화시켜 볼모로 잡아놓고 복호화를 시켜주는 대가로 금전적 이익을 받는데 주로 목적이 있다. 이러한 목적이 주목적이다 보니 랜섬웨어는 보통 양방향 암호화를 기반으로 가능한 많은 중요자료를 감염대상으로 삼는 것을 목표로 하며, 기본적으로는 업무를 보기위해 주로 사용되는 문서들의 확장자인 doc, docx, xls, xlsx, ppt, pptx 같은 파일에서부터 추억 보관이나 이미지 작업을 위해 저장해둔 gif, jpg, jpeg,png 등 다양한 파일이 공격대상이 된다.


다만 목적상 일반적인 악성코드와는 다른 특이한 액션을 취하는 부분이 있는데 일반적인 악성코드는 자신이 감염되었다는 사실을 숨기는 반면 랜섬웨어는 적극적으로 알리기 위한 처리가 병행된다는 부분이 다르다. 예로 파일명 뒤에 enc 또는 다른 특이한 문자가 붙은 형태로 바탕화면에 이동시킨다던지, 요금을 지불하라는 메시지 창을 화면에 띄우는 것이 그에 해당한다고 할 수 있다.


이는 감염된 피해자가 자신의 자료가 공격당했다는 사실을 인지하고 피해 복구를 위한 의지가 발생해야 수익으로 연결이 되기 때문이기에 대부분은 이 범주를 벗어나지 않는다. 그러나 간혹 드물게 악의적인 목적으로 수익여부와는 상관없이 상대방을 골탕 먹이기 위한 목적만으로 만들어지는 랜섬웨어는 액션은 비슷하나 복원이 불가능한 단방향 암호화 방식을 사용하여 일단 감염되면 자료를 복원할 수 없도록 만들어버리기도 한다.


# 피해복구 가능성

만약 랜섬웨어에 의해 피해를 입었을 경우 피해복구 가능성을 가늠해보기 위해서는 몇 가지 요소를 파악해야 할 필요가 있다.


## 양방향 암호화를 이용하고 있는 랜섬웨어인지 파악한다

첫 번째로 감염된 랜섬웨어는 양방향 암호화 알고리즘을 사용하고 있는지 파악하는 것이다. 이를 위해서는 감염된 랜섬웨어를 찾아내어 디버깅이나 리버스엔지니어링을 통한 직접적인 분석을 수행해야 한다. 그러나 컴퓨터와 관련한 전문기술을 가지고 있지 않은 일반인들은 감염된 랜섬웨어가 어떠한 암호화 알고리즘을 사용하는지 알 수가 없으므로 감염 후 화면에 나타난 안내메시지 또는 화면을 스크린샷 또는 스마트폰 카메라 등을 통해 찍어서 전문가에게 복원가능성을 문의하는 것이 좋다. 만약 양방향 암호화로 이루어진 랜섬웨어가 아니라면 복구가 불가능이라 할 수 있으므로 이 이후의 과정은 아무런 의미가 없다.


## 랜섬웨어 내부에 암호화 및 복호화를 위한 키가 존재하는지 파악한다

두 번째로 감염된 랜섬웨어 내부에 암호화 또는 복호화 키(Key)가 내장되어 있는지 파악하는 것이다. 만약 랜섬웨어 내부에 암호화 또는 복호화 키가 내장되어 있다면 해당 악성코드를 만든 공격자에게 비용을 지불하지 않더라도 리버스엔지니어링이 가능한 전문가에게 부탁하거나 백신 회사에서 해당 랜섬웨어에 대한 복원 툴이 공개되는 것을 기다려 자료 복원을 기대해 볼 수 있다. 그러나 만약 암호화키가 고정되어 있지 않고 랜덤으로 만들어져 암호화 하고 있을 경우에는 복원 가능성이 낮아진다.


## 공격자에게 비용을 지불했을 경우 복원시켜준 사례가 있는지 파악한다

세 번째로 공격자에게 비용을 지불했을 경우에 자료를 확실히 복원시켜준 사례가 있는지 파악하는 것이다. 만약 공격자가 비용을 지불해도 자료를 복원해주지 않는다면 금전적 피해라는 2차 피해만 발생하고 자료는 복원하지 못하게 될 가능성이 높다.


결론적으로 단방향 암호화를 이용한 랜섬웨어에는 복구 가능성은 매우 희박하다고 보는것이 맞다. 만약 양방향 암호화를 이용하고 있는 랜섬웨어이며, 랜섬웨어 자체(암호화 처리한 파일포함)에 암호화 및 복호화를 위한 키를 보관하고 있다면 데이터를 복구할 수 있는 가능성이 높아진다. 이 경우 백신제조사 등이 복원을 위한 전용 프로그램을 제작하여 배포할 수 있으므로 해당 배포를 기다릴 경우 무료로 복원을 시도해 볼 수 있는 가능성도 생긴다.


그러나 양방향 암호화를 사용하지만 별도로 키를 보관하지 않고 공격자가 만들어 놓은 서버 등에 전송을 시키는 경우에는 자체적인 복원의 가능성이 낮아지므로 복원을 위해서는 금전적인 비용 지불을 해야 할 경우도 발생될 수 있는데, 이때는 해당 공격자가 비용을 받은 대가로 신뢰 있게 자료를 복원할 수 있게 해주는지 사례를 사전에 확인해 봐야 추가적인 피해 발생으로 이어지지 않고 자료를 복원할 수 있는 가능성을 조금이라도 높일 수 있다. 


# 공격 원리 및 흐름

2부에서


# 기타

☞ 랜섬웨어 원리 글이 마이크로소프트웨어 389(2017.07)호에 실렸습니다.


Comments