악성코드 랜섬웨어 공격, 작년보다 4배 증가

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.08.23 14:17 / 카테고리 : 랜섬웨어 예방 솔루션


랜섬웨어란?

랜섬웨어(Ransomware)는 개인이나 기업의 컴퓨터를 장악한 후에 문서나 중요 파일들을 암호화하여 열지 못하게 한 뒤 이를 인질로 삼아 몸값을 요구하는 악성코드를 말합니다. 이러한 악성코드의 공격이 미국에서 급증한 것으로 나타났습니다. 


랜섬웨어는 주로 이메일이나 소셜네트워크, 파일 전송 서비스 등을 이용하여 유포되고 있으며 랜섬웨어를 통해 파일을 암호화시켜 열지 못하게 한뒤에 몸값(Ransom)을 요구하는 방법으로 협박합니다. 특히, 기밀파일이나 사생활 관련 파일이 암호화 된 경우에는 당국 수사기관에 신고하지 못하고 몸값을 지불하는 경우가 많아서 실제 피해 건 수는 더 많은 것으로 추정되고 있습니다. 




더욱 무서운 점은 이러한 악성코드는 컴퓨터에 침입시키는 방법이 매우 간단하고 이러한 프로그램 자체도 유통되고 있어서 다른 해킹 방법보다 간단하고 돈을 벌기도 쉽기 때문입니다.


그리고, 당국의 수사를 피하기 위한 전자화폐인 비트코인도 이러한 범죄에 큰 역할을 하고 있습니다. 랜섬웨어 덕분에 비트코인의 거래량이 늘어나서 시세가 오른 점도 이를 증명하고 있습니다. 


월스트리트저널은 하루 평균 4천 건의 랜섬웨어 공격으로 인한 피해가 발생하고 있다고 미국 법무부의 자료를 인용하여 보도자료를 발표하였습니다. 이는 1년 전과 비교할 때보다 4배나 많은 것으로 나타났습니다. 


기업을 노리는 랜섬웨어

그리고, 이러한 랜섬웨어 타겟은 더 지갑을 열기 쉽고, 더 많은 지불할 능력이 되는 기업을 노리는 형태로 진화하고 있어서 개인보다는 기업에 있어서 랜섬웨어 방어는 특히 더 중요해졌습니다. 





2015년에는 몸값이 1건당 평균 1만달러 정도 였다면, 2016년 올해는 1건 당 33만 3000달러로써 33배 이상 증가하였습니다. 그리고 한번 랜섬웨어의 감염된 PC는 추후에도 랜섬웨어에 감염될 확률이 높은 것으로 나타났습니다. 


국내에서는 대형 커뮤니티에 서비스되는 광고 서버를 통해서 Cryptxxx 랜섬웨어가 유포되는 사고가 발생하여 웹페이지를 방문하는 것만으로도 감염이 되는 Cryptxxx 랜섬웨어를 통해서 많은 사용자 피해가 발생하였습니다. 특히, 해당 커뮤니티를 방문하는 기업의 직원이 이 사이트에 접속하는 순간 감염되어 사내 네트워크를 타고 사내 PC가 전부 감염되는 사례도 있었습니다. 





바이러스 백신이 아닌 랜섬웨어 전용 백신이 필요

랜섬웨어 전용 백신, 방어 솔루션을 이용해야 랜섬웨어 사건 사고를 막을 수 있습니다. 하지만 가장 많은 수를 차지하는 기존 콘텐츠 기반 탐지 기술은 악성코드를 구분하기 위해서 URL, 파일이름, 레지스트리 값, 경로 등의 콘텐츠를 활용해야 합니다. 


이는, 기존의 악성코드 패턴을 알아야지 탐지가 가능하다는 점이 약점이며, 기존 DB를 참조해야 되기 때문에 새로운 랜섬웨어 출현시에는 탐지가 불가능 하다는 한계를 나타내고 있습니다. 



[기존 콘텐츠 기반 탐지 기술]

- Signature based : 주로 파일내의 특정 부분을 해시로 변환하여 참조하는 방법

- Behavior based : 악성코드가 수행하는 특정 행위를 패턴화시켜 탐지하는 방법

- Sandbox : 가상환경안에서 악성코드를 실행시켜 행위 등을 보고 탐지하는 방법

- Network : 네트워크상의 통신 정보를 기반으로 악성코드를 탐지하는 방법




랜섬웨어 토탈 솔루션 앱체크

랜섬웨어 전용 백신인 체크멀 앱체크(Checkmal AppCheck)는 기존의 랜섬웨어 백신의 약점을 모두 보완한 랜섬웨어 전용 백신으로 상황 인식 탐지 기법을 통해서 랜섬웨어를 탐지합니다. 




상황인식 탐지 기법이란 주변 패턴이나 환경 등, 모든 정보를 종합하여 상황을 인지하고, 그 상황에 맞도록 최적의 대응 행동을 수행하는 기법을 말합니다. 


상황 인식 기반 랜섬웨어 탐지 기술은 기존의 탐지 방식처럼 랜섬웨어의 콘텐츠를 통해서 탐지하는 것이 아니고 파일의 변조시점에 정상적인 변경과 악의적 상황을 판단하기 때문에 별도의 업데이트 없이도 신종 랜섬웨어의 사전 탐지가 가능하다는 장점을 가지고 있습니다. 



파일이 변경되었을 때의 확인 할 수 있는 정보는 생각보다 다양하고 많습니다. 체크멀 앱체크는 이를 추적하여 정상적인 파일의 변경과 비정상적 변경 구분이 가능합니다.  이 기술은 캅(CARB) 엔진을 통해서 구현하고 있습니다.




CARB 엔진은 상황 인식 기반의 행위 탐지 기술로 파일 변조 시점의 상황을 판단하며 변조 전후 시점을 파악하므로 기존 솔루션에서 불가능했던 파일의 변화를 실시간으로 분석, 알려지지 않은 랜섬웨어의 탐지가 가능합니다.


CARB 엔진은 3개월간 업데이트 없이 30종의 신종 랜섬웨어 중 27개를 사전 방어에 성공하여 90%의 사전 방어율을 보였습니다. (시그니처 방식의 엔진은 0%). 이는 시그니처 방식 엔진의 약 400회 업데이트에 해당하는 기간입니다.






앱체크 랜섬웨어 차단 시연 영상




[앱체크 악성코드 차단 영상]

- 악성코드명 : 포켓몬고 (Pocketmon GO)

특징 : 오프라인 암호화(Offline Encryption), Hidden-Tear 오픈 소스 기반 랜섬웨어, Hack3r 윈도우 로컬 사용자 계정 추가, 아랍어(Arabic) 사용자 표적, 다른 파티션/드라이브/네트워크 공유 폴더에 PokemonGo.exe 파일 생성을 통해 유포 확장




[앱체크 프로 (기업용) 기능 요약]

- 국내 유일 사전 방어 : 캅(CARB) 엔진을 이용한 랜섬웨어 행위 탐지 시 자동으로 악성 프로세스 차단 및 훼손된 파일 자동 복구 기능

- 랜섬웨어 대피소 : 파일 훼손 행위 발생 시 자동으로 랜섬웨어 대피소 백업 폴더에 원본 파일 저장을 통한 데이터 보호 기능

- 자동 백업 : 주기적으로 지정된 폴더 내의 파일을 파일 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 2중 보호 기능

- 자동 치료 : 랜섬웨어 행위 탐지를 통해 차단 및 생성된 관련 파일에 대한 선별적 자동 치료(삭제) 기능

- 폴더 보호 : 랜섬웨어 대피소와 자동 백업 폴더 내에 저장된 파일에 대한 변경 및 삭제를 원천 차단하는 폴더 보호 기능

- 상세 내역 : 시스템 검사 결과, 검역소, 위협 로그, 일반 로그 세분화 및 세부적인 복원/제거 로그 제공




상황 인식 기반 랜섬웨어 전용 백신인 앱체크의 견적 및 프로모션 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다. (기관/기업 대량 구매 견적 가능)




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

방문자 통계

  • 전체 : 359,690
  • 오늘 : 4
  • 어제 : 70
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.