| 제목 | [뉴스레터] 7월 4주 : 1. DRM 기술 발전의 그늘: 랜섬웨어의 확산 | ||
|---|---|---|---|
| 담당부서 | 저작권기술팀 이민선 | 등록일 | 2015-07-27 |
|
1. DRM 기술 발전의 그늘: 랜섬웨어의 확산
□ 배경 ○ 인터넷은 이미 PC, 노트북뿐만 아니라 스마트폰이나 태블릿PC와 같은 스마트 디바이스를 통해서 널리 활용되고 있다. 이와 동시에 수많은 인터넷 서비스 사업자들이 다양한 인터넷 서비스를 제공 중에 있다. ○ 인터넷의 확산은 네트워크의 확산을 의미하고 이는 수많은 블랙 해커들이 활동할 수 있는 공간이 확장되고 있음을 의미한다. 블랙 해커들은 인터넷 서비스들을 공격하여 변조하고 악성코드를 심어 서비스를 이용하는 사용자들에게 피해를 입히고 있다. 악성코드나 바이러스에 관한 이야기는 하루 이틀의 이야기는 아니지만, 최근 랜섬웨어(Ransomware, 랜섬웨어는 납치된 사람의 몸값을 요구하는 영어 단어인 랜섬(Ransom)과 소프트웨어(Software)의 합성어)의 확산은 저작권 보호를 위한 기술과 관련지어 활용되고 있는 악성 기술이다. ○ 랜섬웨어란 일종의 악성 소프트웨어로 사용자의 동의 없이 해당 컴퓨터에 불법으로 설치되는 소프트웨어다. 불법으로 설치된 랜섬웨어로 해당 컴퓨터를 원격으로 잠글 수 있으며, 팝업 창이 뜨면서 컴퓨터가 잠겼으니 금액을 지불하지 않으면 컴퓨터에 접속할 수 없다는 경고를 나타내기도 한다. ○ 2015년 상반기 국내에 악성코드 관련최대 이슈는 랜섬웨어라 할 수 있다. 지난 4월 국내에 한글판 랜섬웨어가 처음 발견된 이후, 지난 5월 1일 크립토락커(Crypto Locker) 변종으로 파악되는 랜섬웨어에 디도스 (DDoS: Distributed Denial of Service, 분산서비스거부) 공격 기능까지 추가된 소프트웨어가 발견되기도 했다. 이후 5월 6일에는 연휴 동안 국내에 앵글러 EK(Angler Exploit Kit) 형태로 유포된 ‘Threat Finder’ 랜섬웨어도 발견됐으며, 5월 12일에는 워드프레스 취약점을 이용해 유포되는 랜섬웨어까지 등장했다. ○ 최근에는 랜섬웨어 위협이 모바일 안드로이드 (Android) 운영체제로까지 확대되고 있다. 지난 6월에는 안드로이드 스마트폰 사용자가 해외 성인 동영상을 보기 위해 ‘pornvideo.apk’ 파일을 다운로드받아 실행하면 ‘PornPro(Porn Droid)’라는 애플리케이션이 사용자의 스마트폰에 설치되면서 ‘모바일 랜섬웨어 앱’에 감염되는 사례가 발견된 바 있다. 이후 지난 14일에는 어도비 플래시 플레이어를 위장한 ‘스마트폰 랜섬웨어’ 사례가 발견되기도 했다. □ 주요 내용 ○ 지난 7월 14일부터 20일 사이 국내 복수의 매체에서 랜섬웨어의 공격 형태와 피해를 알리는 기사들이 다양하게 게재되었다. 주요 내용을 살펴보면 아래와 같다. ► 7월 14일 IT관련 인터넷 보도 업체인 데이터넷에서는 DRM프로그램을 활용하는 기업에 대한 랜섬웨어 공격관련 기사를 게재했다. 이 기사에서는 랜섬웨어가 사용자 PC의 중요파일을 암호화하여 보지 못하게 하는 수준을 넘어섰다고 지적하면서, DRM을 도입한 기업의 DRM 프로그램 자체를 암호화해 DRM과 관련된 파일을 열어볼 수 없게 만드는 피해를 보도했다. 또한 제품 생산업체의 제조설계 파일을 원격으로 잠가서 생산 공정에 막대한 차질을 빚게 하는 사례와 한 광고기획사의 인쇄 직전의 광고파일 암호화 피해 사례도 보도했다. ► 7월 21일 ZD넷 코리아에서는 노턴 안티바이러스를 제작 공급하고 있는 시만텍 (http://www.symantec.com/index.jsp)의 상반기 조사보고서를 인용하여 다양한 악성 코드와 랜섬웨어의 증가를 보도했다. 시만텍 조사에 따르면, 랜섬웨어의 공격이 2015년 4월 29만 7천 건에서 2015년 6월 47만 7천 건으로 증가하고 있다고 보도했다. ○ 이러한 랜섬웨어의 동작 방식과 특징 등을 살펴보면 아래와 같다. ► 특정 경로를 통해 악성코드에 감염된다. 감염 사실을 인지하고 있건, 인지하지 못하고 있건 문제가 되지 않으나, 갑자기 잘 사용하고 있던 파일들이 암호화되어 안 열리고 해커의 메시지가 보이는데 어디로 돈을 보내주면 암호화를 풀 수 있는 키를 제공해준다는 메시지를 만나게 된다. ► 사용자가 자주 사용하는 중요한 파일을 해커가 해커만 알고 있는 키를 이용해 암호화하여 사용자가 사용할 수 없게 만든 이후, 사용자에게 돈을 요구하여 해커가 금전적 이득을 취하게 만드는 악성코드가 랜섬웨어이다. ► 랜섬웨어는 DRM을 사용하는 경우 더욱 치명적일 수 있다. PC내의 DRM 시스템 자체를 암호화하는 공격을 해서 DRM이 적용된 모든 파일을 활용할 수 없게 만들기도 하기 때문이다. ► 그 동안의 악성코드들은 주로 사용자의 키보드 입력을 가로채서 인터넷뱅킹 등을 사용할 때 입력하는 중요 정보를 가로채거나 해커가 만든 가짜 사이트로 접속하게 만들어서 사용자의 개인 정보를 가로채는 등 중간의 데이터를 변조하거나 경로를 변조하는 방법을 많이 사용했다. ► 하지만 랜섬웨어는 말 그대로 파일을 쓰지 못하게 인질로 잡아놓고 사용자에게 돈을 요구하는 방법을 쓴다. 랜섬웨어, 또는 크립토락커(Cryptolocker) 랜섬웨어, 아니면 그냥 크립토락커라고도 하는데 크립토락커는 실질적으로 파일을 암호화하는 역할을 하는 모듈을 의미한다. 암호와와 DRM은 아이러니 하게도 파일을 보호하는 핵심기술이지만, 랜섬웨어를 통해 공격하기 위한 핵심기술로 활용된다.
□ 평가 ○ 2013년 전 세계적으로 랜섬웨어는 악명을 떨치기 시작한다. DRM 기술 및 암호화 기술이 블랙해커들을 통해 악용되기 시작하면서, 파일을 보호하는 대신 파일을 암호화해 볼모로 잡고 돈을 요구하는 형태의 범죄가 기승을 부리기 시작한 것이다. ○ 저작자의 권리를 보호하고 콘텐츠를 보호하기 위한 핵심요소는 암호화이다. 일반적으로 암호화 기법은 보안 시스템을 구성하는데 있어서 중요한 요소이다. DRM, 보안 통신, 파일 보안 등을 만들 때 암호화 기법을 사용한다. 예를 들어, 사용자가 어떤 웹 서비스에 접속하려고 할 때 그 웹 서비스가 HTTPS와 같은 보안 통신 방식을 제공한다면(대표적으로 페이스북이 HTTPS를 이용합니다) 사용자와 웹 서버 사이에 암호화 및 복호화(암호화된 내용을 푸는 것을 복호화라고 합니다)에 사용할 키를 서로 주고받는다. 그러면 웹 서버 쪽에서 데이터를 암호화하여 사용자에게 보내면 사용자는 복호화 키를 이용하여 암호화된 내용을 복호화해서 인식한다. 또 사용자가 웹 서버로 데이터를 암호화해서 보내면 웹 서버 역시 복호화 키를 이용해서 사용자가 보내온 내용을 해독하여 읽고 처리한다. ○ DRM, 파일 보안의 경우에는 사용자가 자신만이 알고 있는 암호화키를 이용하여 파일을 암호화 시켜둔다. 그러면 사용자 이외의 제 3자가 해당 파일을 가로채더라도 암호화가 되어있기 때문에 복호화 키를 모르는 상황에서는 그 내용을 확인할 수 없다. 사용자는 본인이 암호화를 했기 때문에 복호화해서 그 내용을 읽을 수 있다. ○ 랜섬웨어는 좋은 의도로 개발된 암호화 기법을 악용한 사례이다. 보안과 해킹은 동전의 양면으로 DRM 기술의 발전은 랜섬웨어 기술의 발전을 동시에 가져왔다고도 할 수 있다. DRM에 활용된 기술을 그대로 활용하여 블랙 해커들이 사용한 기술이 크립토락커 랜섬웨어라 할 수 있다. ○ DRM을 통한 보안이 잘 되면 잘 될수록 랜섬웨어를 활용한 공격에 대한 대처방법은 점점 사라져 간다고 할 수 있다. 랜섬웨어를 통한 공격에 대해 복구 프로그램을 활용하기도 하지만, 거의 효과가 없다. 그나마 가장 효과적인 대비책은 독립된 공간에 중요 데이터를 주기적으로 백업하는 것이다. □ 용어 설명 ○ 블랙해커: 일반적으로 해커는 정보보안 전문기술을 이용해서 해킹을 하는 사람들로, 크게 세 부류로 구분한다. 첫째, 화이트 해커는 합법적이고 윤리적으로 해킹을 연구하는 화이트 해커들이다. 두 번째, 블랙해커는 불법적으로 기술을 활용하는 부류를 일컫는다. 중간적인 성격을 띠는 해커들을 흔히 그레이 해커라 부른다. ○ 랜섬웨어(Ransomware)는 컴퓨터 시스템을 감염시켜 접근을 제한하고 일종의 몸값을 요구하는 악성 소프트웨어의 한 종류이다. 컴퓨터로의 접근이 제한되기 때문에 제한을 없애려면 해당 악성 프로그램을 개발한 자에게 값을 지불해야 한다. 시스템의 하드 드라이브에 파일을 암호화하는 랜섬웨어가 있는 반면, 어떤 것은 시스템을 단순하게 잠그고 컴퓨터 사용자가 지불하게 만들기 위한 안내 문구를 띄운다. ○ 크립토 락커: 크립토라커(CryptoLocker)는 마이크로소프트 윈도 운영 체제를 사용하는 x86 컴퓨터를 대상으로 한 랜섬웨어 트로이목마로, 2013년 9월 5일경부터 본격적으로 배포되기 시작한 것으로 여겨진다. 크립토라커는 이메일 첨부 등의 수단으로 감염되며, 감염되었을 경우 로컬 및 연결된 네트워크의 드라이브에 저장된 파일들을 2048비트 RSA 공개키 방식의 공개키로 암호화하며, 복호화하기 위한 개인키는 크립토라커를 조종하는 서버에만 저장한다. 그 뒤 크립토라커는 데이터를 복호화하고 싶으면 특정 시간까지 돈을 지불하라(추적을 피하기 위해 주로 비트코인 등의 수단을 사용한다)고 요구하고, 제한시간이 지나면 암호키를 삭제할 것이라고 협박한다. 크립토라커 프로그램 자체는 쉽게 제거 가능하나, 크립토라커가 행한 암호화를 깨는 것은 현실적으로 불가능하다고 알려져 있다. ○ 디도스: 서비스 거부 공격(Denial of Service attack) 또는 디오에스/도스(DoS)는 시스템을 악의적으로 공격해 해당 시스템의 자원을 부족하게 하여 원래 의도된 용도로 사용하지 못하게 하는 공격이다. 특정 서버에게 수많은 접속 시도를 만들어 다른 이용자가 정상적으로 서비스 이용을 하지 못하게 하거나, 서버의 TCP 연결을 바닥내는 등의 공격이 이 범위에 포함된다. 수단, 동기, 표적은 다양할 수 있지만, 보통 인터넷 사이트 또는 서비스의 기능을 일시적 또는 무기한으로 방해 또는 중단을 초래한다. □ 참고자료 ○ http://www.zdnet.co.kr/news/news_view.asp?artice_id=20150721112455 ○ http://www.datanet.co.kr/news/articleView.html?idxno=86954 ○ http://www.boannews.com/media/view.asp?idx=47088&kind=1 ○ https://www.microsoft.com/ko-kr/security/resources/ransomware-whatis.aspx |
|||