랜섬웨어

랜섬웨어(영어: ransomware)는 몸값이 지불될 때까지 피해자의 개인정보를 암호화하는 악성 소프트웨어의 한 유형이다.^{[1][2][3][4][5]} 일반적으로 페이세이프카드 또는 비트코인과 같은 추적하기 어려운 디지털 통화 및 기타 암호화폐가 몸값으로 사용되어 가해자를 추적하고 기소하기 어렵게 만든다. 때로는 구현 실수, 유출된 암호화 키 또는 랜섬웨어에 암호화가 전혀 없어 몸값 지불 없이 원래 파일을 검색할 수 있다.

WannaCry 랜섬웨어에 감염된 모습

랜섬웨어 공격은 일반적으로 사용자가 이메일 첨부파일로 도착했을 때 다운로드하거나 열도록 속이는 합법적인 파일로 위장한 트로이 목마를 사용하여 수행된다. 그러나 워너크라이는 사용자 상호 작용 없이 컴퓨터 간에 자동으로 전파된 주목할 만한 사례이다.^[6]

1989년 에이즈 트로이 목마로 알려진 최초의 문서화된 랜섬웨어부터 랜섬웨어 사기가 국제적으로 확산되었다.^[7][8][9] 2018년 상반기에 전 세계적으로 1억 8,150만 건의 랜섬웨어 공격이 발생했으며, 이는 2017년 상반기보다 229% 증가한 수치이다.^[10] 2014년 6월, 보안 소프트웨어 회사인 맥아피는 해당 분기에 전년 동기 대비 두 배 이상 많은 랜섬웨어 샘플을 수집했다고 발표했다.^[11] 특히 크립토락커는 당국에 의해 제거되기 전까지 약 300만 미국 달러를 벌어들였으며,^[12] 크립토월은 연방수사국 (FBI)에 의해 2015년 6월까지 1,800만 미국 달러 이상을 벌어들인 것으로 추정된다.^[13] 2020년, 인터넷범죄신고센터 (IC3)는 랜섬웨어로 식별된 2,474건의 불만을 접수했으며, 조정된 손실액은 2,910만 달러 이상이다. FBI에 따르면 손실액은 이 금액을 초과할 수 있다.^[14] 전 세계적으로 스타티스타에 따르면 2021년에 약 6억 2,300만 건의 랜섬웨어 공격이 있었고, 2022년에는 4억 9,300만 건이 발생했다.^[15]

랜섬웨어 지불액은 2019년에 11억 달러,^[16] 2020년에 9억 9,900만 달러, 2023년에 사상 최고치인 12억 5,000만 달러, 2024년에는 8억 1,300만 달러로 급격히 감소했다.^[17] 이는 피해자의 미지급과 법 집행 기관의 조치에 기인한다.

작동 방식

파일 암호화 랜섬웨어의 개념은 컬럼비아 대학교의 영과 모티 융이 발명하고 구현하여 1996년 IEEE 보안 및 개인 정보 보호 컨퍼런스에서 발표했다. 이는 에이리언 영화에 나오는 가상의 페이스허거에서 영감을 받은 암호바이러스 협박이라고 불린다.^[18] 암호바이러스 협박은 공격자와 피해자 사이에 수행되는 다음 세 단계 프로토콜이다.^[1]

1. [공격자→피해자] 공격자는 키 쌍을 생성하고 해당 공개 키를 악성 소프트웨어에 넣는다. 악성 소프트웨어는 배포된다.
2. [피해자→공격자] 암호바이러스 협박 공격을 수행하기 위해 악성 소프트웨어는 무작위 대칭 키 암호를 생성하고 이를 사용하여 피해자의 데이터를 암호화한다. 악성 소프트웨어에 있는 공개 키를 사용하여 대칭 키를 암호화한다. 이는 하이브리드 암호화로 알려져 있으며, 작은 비대칭 암호문과 피해자 데이터의 대칭 암호문을 생성한다. 복구를 방지하기 위해 대칭 키와 원본 평문 데이터를 제로화한다. 사용자에게 비대칭 암호문과 몸값 지불 방법을 포함하는 메시지를 표시한다. 피해자는 비대칭 암호문과 전자 화폐를 공격자에게 보낸다.
3. [공격자→피해자] 공격자는 지불을 받고 공격자의 개인 키로 비대칭 암호문을 해독하여 피해자에게 대칭 키를 보낸다. 피해자는 필요한 대칭 키로 암호화된 데이터를 해독하여 암호바이러스 공격을 완료한다.

대칭 키 암호는 무작위로 생성되며 다른 피해자에게는 도움이 되지 않는다. 공격자의 개인 키가 피해자에게 노출되는 일은 없으며, 피해자는 공격자에게 매우 작은 암호문(암호화된 대칭 암호 키)만 보내면 된다.

랜섬웨어 공격은 일반적으로 트로이 목마를 사용하여 수행되며, 예를 들어 악성 첨부파일, 피싱 이메일에 포함된 링크 또는 네트워크 서비스의 보안 취약점을 통해 시스템에 침입한다. 그런 다음 프로그램은 시스템을 어떤 방식으로든 잠그거나 시스템을 잠그는 것처럼 주장하지만 실제로는 잠그지 않는 페이로드를 실행한다(예: 스케어웨어 프로그램). 페이로드는 법집행기관과 같은 주체가 보낸 것처럼 위장한 가짜 경고를 표시할 수 있으며, 시스템이 불법 활동에 사용되었거나 포르노그래피 및 "불법 복제된" 미디어와 같은 콘텐츠를 포함하고 있다고 거짓 주장할 수 있다.^[19][20][21]

일부 페이로드는 단순히 결제가 이루어질 때까지 시스템을 잠그거나 제한하도록 설계된 애플리케이션으로 구성되며, 일반적으로 윈도우 셸을 자체적으로 설정하거나,^[22] 심지어 운영 체제가 복구될 때까지 부팅되지 않도록 마스터 부트 레코드 및 파티션 테이블을 수정하기도 한다.^[23] 가장 정교한 페이로드는 파일을 암호화하며, 많은 경우 강력한 암호화를 사용하여 피해자의 파일을 암호화하여 악성 소프트웨어 작성자만이 필요한 암호 해독 키를 갖도록 한다.^[1][24][25]

결제는 거의 항상 목표이며, 피해자는 파일을 해독할 수 있는 프로그램을 제공하거나 페이로드의 변경 사항을 되돌리는 잠금 해제 코드를 보내 랜섬웨어를 제거하기 위해 돈을 지불하도록 강제된다. 공격자가 단순히 피해자의 파일을 돌려주지 않고 돈을 가져갈 수도 있지만, 랜섬웨어가 아무런 목적이 없다는 것이 알려지면 피해자들이 지불을 중단할 것이므로, 합의된 대로 해독을 수행하는 것이 공격자에게 최선의 이익이다. 공격자에게 랜섬웨어가 작동하도록 하는 핵심 요소는 추적하기 어려운 편리한 지불 시스템이다. 전신 송금, 프리미엄 요금 문자 메시지,^[26] 페이세이프카드와 같은 선불 바우처 서비스,^[7][27][28] 및 비트코인 암호화폐를 포함한 다양한 지불 방법이 사용되었다.^[29][30][31]

2020년 5월, Sophos는 랜섬웨어 공격을 복구하는 데 드는 전 세계 평균 비용(가동 중지 시간, 인력 시간, 장치 비용, 네트워크 비용, 기회 손실 및 지불된 몸값 포함)이 761,106달러라고 보고했다. 몸값을 지불한 조직의 95%가 데이터를 복원했다.^[32]

역사

 컴퓨터 바이러스의 역사 및 악성 소프트웨어의 역사 문서를 참고하십시오.

암호화 랜섬웨어

1989년 조지프 팝(Joseph Popp)이 작성한 "에이즈 트로이 목마"로 알려진 최초의 악성코드 협박 공격은 디자인 결함이 너무 심각하여 협박자에게 돈을 전혀 지불할 필요가 없었다. 페이로드는 하드 드라이브의 파일을 숨기고 파일 이름만 암호화했으며, 특정 소프트웨어 사용 라이선스가 만료되었다는 메시지를 표시했다. 사용자는 트로이 목마 코드에서 암호 해독 키를 추출할 수 있었음에도 불구하고 복구 도구를 얻기 위해 "PC 사이보그 코퍼레이션"에 189 미국 달러를 지불하라는 요청을 받았다. 이 트로이 목마는 "PC 사이보그"로도 알려져 있었다. 팝은 그의 행동에 대해 재판을 받을 정신적으로 부적합하다고 선언되었지만, 그는 악성코드 수익을 에이즈 연구 기금으로 기부하겠다고 약속했다.^[33]

익명 현금 시스템을 악용하여 인간 납치로부터 안전하게 몸값을 징수하는 아이디어는 1992년 세바스티안 폰 졸름스와 데이비드 나카슈에 의해 도입되었다.^[34] 이 전자화폐 징수 방법은 암호바이러스 협박 공격에도 제안되었다.^[1] 폰 졸름스-나카슈 시나리오에서는 신문 발행물이 사용되었다(비트코인 장부가 당시에는 존재하지 않았기 때문에).

데이터 납치 공격에 공개 키 암호화를 사용하는 개념은 1996년 애덤 L. 영과 모티 융에 의해 도입되었다. 영과 융은 복호화 키가 트로이 목마에서 추출될 수 있다는 치명적인 결함이 있는 대칭 키 암호에만 의존했던 실패한 AIDS 정보 트로이 목마를 비판하며, 매킨토시 SE/30에서 RSA와 Tiny Encryption Algorithm(TEA)을 사용하여 피해자의 데이터를 하이브리드 암호화하는 실험적인 개념 증명 암호바이러스를 구현했다. 공개 키 암호 방식이 사용되므로 바이러스에는 암호화 키만 포함된다. 공격자는 해당 개인 복호화 키를 비공개로 유지한다. 영과 융의 원래 실험적인 암호바이러스는 피해자가 비대칭 암호문을 공격자에게 보내면 공격자가 이를 해독하고 포함된 대칭 복호화 키를 수수료를 받고 피해자에게 반환하는 방식이었다. 전자화폐가 존재하기 훨씬 전 영과 융은 암호화를 통해 전자화폐를 갈취할 수 있다고 제안하며, "바이러스 작성자는 돈의 절반이 자신에게 주어질 때까지 모든 돈을 몸값으로 효과적으로 보관할 수 있다. 심지어 전자화폐가 이전에 사용자에 의해 암호화되었더라도, 암호바이러스에 의해 암호화되면 사용자에게는 쓸모가 없다"고 언급했다.^[1] 그들은 이러한 공격을 "암호바이러스 협박"이라고 불렀는데, 이는 명시적인 공격으로, 명시적 및 암시적 공격을 모두 포함하는 암호바이러스학이라는 더 큰 범위의 공격에 속한다.^[1] 암호바이러스 협박 프로토콜은 H. R. 기거의 페이스허거와 영화 에이리언에 나오는 숙주 사이의 기생 관계에서 영감을 받았다.^[1][18]

협박성 랜섬웨어 사례는 2005년 5월에 두드러지게 나타났다.^[35] 2006년 중반까지 Gpcode, TROJ.RANSOM.A, Archiveus, Krotten, Cryzip, MayArchive와 같은 트로이 목마들은 점점 더 커지는 키 크기를 가진 더욱 정교한 RSA 암호화 방식을 사용하기 시작했다. 2006년 6월에 감지된 Gpcode.AG는 660비트 RSA 공개 키로 암호화되었다.^[36] 2008년 6월에는 Gpcode.AK로 알려진 변종이 감지되었다. 1024비트 RSA 키를 사용하여, 집중적인 분산 컴퓨팅 노력 없이는 해독하기 계산적으로 불가능할 정도로 크다고 여겨졌다.^{[37][38][39][40]}

암호화 랜섬웨어는 2013년 말 비트코인 디지털 통화 플랫폼을 사용하여 몸값을 모금하는 크립토락커의 확산과 함께 다시 두드러졌다. 2013년 12월, ZDNet은 비트코인 거래 정보를 기반으로 크립토락커 운영자들이 10월 15일부터 12월 18일까지 감염된 사용자로부터 약 2,700만 미국 달러를 벌어들인 것으로 추정했다.^[41] 크립토락커 기술은 이후 몇 달 동안 광범위하게 복사되었으며, 크립토락커 2.0(크립토락커와 관련이 없는 것으로 여겨짐), CryptoDefense(초기에 Windows의 내장 암호화 API 사용으로 인해 사용자가 검색할 수 있는 위치에 개인 키를 저장하는 주요 설계 결함이 있었음),^{[30][42][43][44]} 및 2014년 8월 시놀로지에서 생산한 네트워크 결합 스토리지 장치를 특별히 표적으로 하는 트로이 목마가 발견되었다.^[45] 2015년 1월, 해킹을 통해 개별 웹사이트를 대상으로 한 랜섬웨어 공격과 리눅스 기반 웹 서버를 대상으로 설계된 랜섬웨어 공격이 발생한 것으로 보고되었다.^[46][47][48]

2022년, 코스타리카는 정부, 의료 및 산업에 영향을 미치는 광범위한 콘티 랜섬웨어 공격을 받았다.^[49] 이로 인해 로드리고 차베스 대통령은 국가 비상사태를 선포하고 코스타리카가 랜섬웨어 해커들과 "전쟁 중"이라고 발표했다.^[50]

일부 감염에서는 많은 악성코드 시스템에서 흔히 볼 수 있는 2단계 페이로드가 존재한다. 사용자는 스크립트를 실행하도록 속고, 이 스크립트는 주요 바이러스를 다운로드하여 실행한다. 이중 페이로드 시스템의 초기 버전에서는 스크립트가 VBScript 매크로가 첨부된 Microsoft Office 문서 또는 Windows 스크립팅 기능(WSF) 파일에 포함되어 있었다. 탐지 시스템이 이러한 1단계 페이로드를 차단하기 시작하면서 Microsoft 악성코드 보호 센터는 자체 포함된 Microsoft Windows 파워셸 스크립트가 있는 LNK 파일로 전환하는 추세를 확인했다.^[51] 2016년에는 PowerShell이 엔드포인트 보안 사고의 거의 40%와 관련되어 있었다.^[52]

일부 랜섬웨어 변종은 C&C 서버에 연결하기 위해 토르 숨겨진 서비스와 연결된 프록시 서버를 사용하여 범죄자의 정확한 위치를 추적하기 어렵게 만들었다.^[53][54] 또한, 다크 웹 공급업체들은 점점 더 이 기술을 서비스형으로 제공하기 시작했으며, 어도비 크리에이티브 클라우드나 오피스 365처럼 구독 방식으로 피해자 컴퓨터에 배포할 준비가 된 랜섬웨어를 판매한다.^[54][55][56]

시만텍은 랜섬웨어를 가장 위험한 사이버 위협으로 분류했다.^[57]

비암호화 랜섬웨어

2010년 8월, 러시아 당국은 WinLock으로 알려진 랜섬웨어 트로이 목마와 관련된 9명의 개인을 체포했다. 이전 Gpcode 트로이 목마와 달리 WinLock은 암호화를 사용하지 않았다. 대신 WinLock은 음란 이미지를 표시하여 시스템 접근을 사소하게 제한하고 사용자에게 프리미엄 요금 SMS(약 10 미국 달러)를 보내 컴퓨터를 잠금 해제하는 데 사용할 수 있는 코드를 받도록 요청했다. 이 사기는 러시아와 인근 국가의 수많은 사용자에게 영향을 미쳤으며, 그룹은 1,600만 미국 달러 이상을 벌어들인 것으로 보고되었다.^[21][58]

2011년, 윈도우 제품 활성화 알림을 모방한 랜섬웨어 트로이 목마가 등장하여 사용자에게 "[사기] 피해자"이기 때문에 시스템의 윈도우 설치를 다시 활성화해야 한다고 알렸다. 실제 윈도우 활성화 프로세스와 유사하게 온라인 활성화 옵션이 제공되었지만 사용할 수 없었으며, 사용자가 6자리 코드를 입력하기 위해 6개의 국제전화 번호 중 하나로 전화해야 했다. 악성코드는 이 통화가 무료라고 주장했지만, 높은 국제 전화 요금이 부과되는 국가의 불량 통신사를 통해 연결되었고, 통화를 보류하여 사용자에게 많은 국제 장거리 요금을 발생시켰다.^[19]

2012년, 시만텍은 동유럽에서 법 집행 기관을 사칭하여 불법 활동에 대한 대가를 요구하는 잠금 화면을 가진 랜섬웨어의 확산을 보고했다.^[59]

2013년 2월, Stamp.EK 취약점 공격 도구를 기반으로 한 랜섬웨어 트로이 목마가 등장했다. 이 악성코드는 유명인의 "가짜 누드 사진"을 제공한다고 주장하는 소스포지 및 깃허브 프로젝트 호스팅 서비스에 호스팅된 사이트를 통해 배포되었다.^[60] 2013년 7월, OS X 전용 랜섬웨어 트로이 목마가 등장했으며, 이 악성코드는 사용자에게 포르노를 다운로드했다고 비난하는 웹 페이지를 표시한다. 윈도우 기반 악성코드와 달리 컴퓨터 전체를 차단하지 않고, 웹 브라우저 자체의 동작을 클릭재킹하여 일반적인 방법으로 페이지를 닫으려는 시도를 방해한다.^[61]

2013년 7월, 버지니아 출신의 21세 남성이 우연히 미성년자 소녀들의 포르노 사진을 소지하고 있었는데, FBI 머니팩 랜섬웨어가 아동 포르노 소지 혐의로 그를 고발하자 이를 믿고 경찰에 자수했다. 수사를 통해 유죄 증거 파일이 발견되었고, 그 남성은 아동 성학대 및 아동 포르노 소지 혐의로 기소되었다.^[62]

데이터 유출 (유출웨어 / 독스웨어)

랜섬웨어의 반대는 피해자에게 접근을 거부하는 대신 피해자의 컴퓨터 시스템에서 도난당한 정보를 공개하겠다고 위협하는 애덤 L. 영이 발명한 암호바이러스학 공격이다.^[63] 유출웨어 공격에서는 악성코드가 민감한 호스트 데이터를 공격자에게 또는 악성코드의 원격 인스턴스로 데이터 유출시키고, 공격자는 몸값이 지불되지 않으면 피해자의 데이터를 공개하겠다고 위협한다. 이 공격은 2003년 웨스트 포인트에서 발표되었으며, 악성 암호화(Malicious Cryptography) 책에 다음과 같이 요약되어 있다. "이 공격은 갈취 공격과 다음과 같은 점에서 다르다. 갈취 공격에서는 피해자가 자신의 가치 있는 정보에 대한 접근을 거부당하고 이를 되찾기 위해 돈을 지불해야 하지만, 여기서 제시된 공격에서는 피해자가 정보에 대한 접근을 유지하지만 그 공개는 컴퓨터 바이러스의 재량에 달려 있다."^[64] 이 공격은 게임 이론에 뿌리를 두고 있으며 원래는 "비제로섬 게임과 생존 가능한 악성코드"라고 불렸다. 이 공격은 악성코드가 피해 사용자나 조직에 피해를 줄 수 있는 정보(예: 공격 자체가 성공했다는 증거를 공개함으로써 발생할 수 있는 명예 훼손)에 접근하는 경우 금전적 이득을 얻을 수 있다.

유출의 일반적인 대상은 다음과 같다.

• 기본 피해자가 저장한 제3자 정보(예: 고객 계정 정보 또는 건강 기록)
• 피해자에게 독점적인 정보(예: 기업 비밀 및 제품 정보)
• 당황스러운 정보(예: 피해자의 건강 정보 또는 피해자의 개인 과거 정보)

유출 공격은 일반적으로 대상이 정해져 있고, 선별된 피해자 목록이 있으며, 잠재적인 데이터 대상과 취약점을 찾기 위해 피해자 시스템에 대한 예비 감시가 이루어지는 경우가 많다.^[65][66]

모바일 랜섬웨어

PC 플랫폼에서 랜섬웨어의 인기가 높아짐에 따라 모바일 운영체제를 대상으로 하는 랜섬웨어도 확산되었다. 일반적으로 모바일 랜섬웨어 페이로드는 차단기이며, 온라인 동기화를 통해 데이터를 쉽게 복원할 수 있으므로 데이터를 암호화할 유인이 거의 없다.^[67] 모바일 랜섬웨어는 일반적으로 안드로이드 플랫폼을 대상으로 하는데, 이는 타사 소스에서 애플리케이션을 설치할 수 있기 때문이다.^[67][68] 페이로드는 일반적으로 의심하지 않는 사용자가 설치하는 APK 파일 형태로 배포된다. 모든 다른 애플리케이션 위에 차단 메시지를 표시하려고 시도할 수 있으며,^[68] 다른 형태는 클릭재킹을 사용하여 사용자가 시스템에 더 깊이 접근할 수 있도록 "기기 관리자" 권한을 부여하도록 유도했다.^[69]

iOS 기기에는 아이클라우드 계정을 악용하고 나의 아이폰 찾기 시스템을 사용하여 기기 접근을 잠그는 등 다른 전술이 사용되었다.^[70] iOS 10.3에서는 애플이 사파리의 JavaScript 팝업 창 처리 버그를 패치했으며, 이 버그는 랜섬웨어 웹사이트에 의해 악용되었었다.^[71] 최근 랜섬웨어가 산업용 사물 인터넷(IoT) 엣지 장치와 같은 다양한 사물 인터넷(IoT) 장치에서 발견되는 ARM 아키텍처도 공격할 수 있다는 것이 밝혀졌다.^[72]

2019년 8월, 연구원들은 DSLR 카메라를 랜섬웨어에 감염시키는 것이 가능함을 시연했다.^[73] 디지털 카메라는 종종 사진 전송 프로토콜(PTP - 파일 전송에 사용되는 표준 프로토콜)을 사용한다. 연구원들은 이 프로토콜의 보안 취약점을 악용하여 대상 카메라에 랜섬웨어(또는 임의의 코드)를 감염시킬 수 있음을 발견했다. 이 공격은 라스베이거스에서 열린 Defcon 보안 컨퍼런스에서 개념 증명 공격(실제 무장 악성코드가 아닌)으로 발표되었다.

공격의 진행

초기 공격은 무작위 사용자에게 이루어졌으며, 일반적으로 소규모 범죄 집단이 보낸 이메일 첨부파일을 통해 감염되었고, 랜섬웨어가 암호화한 파일(일반적으로 개인의 사진 및 문서)을 잠금 해제하기 위해 수백 달러의 암호화폐를 요구했다. 랜섬웨어가 사업으로 성숙해지면서 조직적인 갱단이 이 분야에 진출하여 다크 웹에서 전문가를 모집하고 기능을 아웃소싱했다. 이는 랜섬웨어의 품질과 성공률을 향상시켰다. 무작위 이메일 대신 갱단은 자격 증명을 훔치고 대상 네트워크의 보안 취약점을 찾아 안티 악성코드 스캐너에 의해 탐지되는 것을 피하기 위해 악성코드를 개선했다. 요구되는 몸값은 개인이 문서(수백 달러)를 위해 지불하는 것보다 기업이 데이터를 복구하기 위해 지불하는 훨씬 더 큰 금액(수백만 달러)으로 증가했다.

2016년, 병원에 대한 랜섬웨어 공격이 크게 증가했다. 시만텍 코퍼레이션의 2017년 인터넷 보안 위협 보고서에 따르면, 랜섬웨어는 IT 시스템뿐만 아니라 환자 치료, 임상 운영 및 청구에도 영향을 미쳤다. 온라인 범죄자들은 의료 시스템 내에서 이용 가능한 돈과 긴박감에 동기를 부여받을 수 있다.^[74]

랜섬웨어는 인터넷 사용자뿐만 아니라 사물 인터넷(IoT) 환경에서도 빠르게 성장하고 있다.^[59] 가장 큰 문제는 할리우드 프레스비테리안 메디컬 센터와 메드스타 헬스처럼 돈을 지불하기로 결정한 일부 조직과 산업에서 수백만 달러의 손실이 발생한다는 것이다.^[75]

시만텍 2019 ISTR 보고서에 따르면, 2013년 이후 처음으로 2018년에 랜섬웨어 활동이 20% 감소했다. 2017년 이전에는 소비자가 선호하는 피해자였지만, 2017년에는 기업으로 크게 바뀌었다. 2018년에는 이러한 추세가 가속화되어 81%의 감염률을 기록했으며, 이는 12% 증가한 수치이다.^[76] 오늘날의 일반적인 배포 방법은 이메일 캠페인에 기반을 둔다.

2019년 말 랜섬웨어 그룹 Maze는 기업의 민감한 파일을 잠그기 전에 다운로드하여 몸값이 지불되지 않으면 데이터를 공개적으로 유출하겠다고 위협했으며, 최소 한 건의 사례에서 실제로 그렇게 했다. 다른 많은 갱단이 뒤를 따랐고, 도난당한 데이터에 접근할 수 있는 "유출 사이트"가 다크 웹에 생성되었다. 이후의 공격은 반드시 데이터를 잠그지 않고 데이터 유출 위협에 초점을 맞췄는데, 이는 강력한 백업 절차로 피해자에게 제공되는 보호를 무효화했다. 2023년 기준^[update] 현재 적대적인 정부가 실제로 정보 수집을 은폐하기 위해 랜섬웨어를 사용하는 위험이 존재한다.^[77]

랜섬웨어 공격으로 인한 첫 사망자는 2020년 10월 독일 병원에서 보고되었다.^[78]

2020년 코로나19 범유행 기간 동안 랜섬웨어 공격이 크게 증가했다. 이러한 공격의 표적 기관에는 정부, 금융, 의료가 포함되었다는 증거가 발견되었다. 연구자들은 이 기간 동안 공격이 증가한 여러 가지 요인이 있을 수 있다고 주장했다. 그러나 주요 요인은 2020년 많은 산업에서 표준이 된 리모트 워크가 기존 작업 환경에 비해 보안이 부족하여 공격이 급증했다는 것이다.^[79]

랜섬웨어 공격으로 인한 지불액은 2019년에 총 11억 달러, 2020년에 9억 9,900만 달러, 2023년에 사상 최고치인 12억 5,000만 달러로 추정된다. 이는 체인애널리시스 연구 회사에 따르면 2024년에는 8억 1,300만 달러로 감소했으며, 특히 하반기에 급격히 감소했는데, 이는 피해자들이 지불을 거부하고 법 집행 기관의 조치에 기인한다. 그러나 체인애널리시스는 지불액 감소 추세가 취약하며 랜섬웨어 공격은 여전히 만연하다고 말했다.^[80] 2024년 2월의 국제 협력 작전으로 록비트 갱단이 해체되었고, 블랙캣/ALPHV 갱단도 사라졌다.^[80]

2025년 초 기준으로, 영국은 학교, 국민 보건 서비스 및 지방 의회의 랜섬웨어 지불을 금지하고, 민간 기업에 제안된 지불액 보고를 의무화하며, 랜섬웨어 공격 보고를 의무화하는 방안을 고려하고 있다.^[80]

주목할 만한 공격 대상

 사이버 공격 목록 § 랜섬웨어 공격 문서에 이 부분의 추가 정보가 있습니다.

주목할 만한 소프트웨어 패키지

레베톤

 이 부분의 본문은 FBI 머니팩 랜섬웨어입니다.

2012년 Reveton으로 알려진 주요 랜섬웨어 트로이 목마가 확산되기 시작했다. 시타델 트로이 목마(제우스 트로이 목마에 기반을 둠)에 기반을 둔 이 페이로드는 법 집행 기관이 보낸 것처럼 위장한 경고를 표시하며, 컴퓨터가 "불법 복제 소프트웨어" 또는 아동 포르노 다운로드와 같은 불법 활동에 사용되었다고 주장한다. 이러한 행동 때문에 일반적으로 "경찰 트로이 목마"라고 불린다.^[81][82][83] 이 경고는 사용자에게 시스템 잠금 해제를 위해 유캐시 또는 페이세이프카드와 같은 익명 선불 현금 서비스의 바우처를 사용하여 벌금을 지불해야 한다고 알린다. 컴퓨터가 법 집행 기관에 의해 추적되고 있다는 환상을 더하기 위해 화면에는 컴퓨터의 IP 주소도 표시되며, 일부 버전은 피해자의 웹캠에서 촬영된 영상을 표시하여 사용자가 녹화되고 있다는 환상을 준다.^[7][84]

Reveton은 2012년 초부터 유럽 여러 국가에서 확산되기 시작했다.^[7] 사용자 국가에 따라 다른 법 집행 기관 로고가 새겨진 템플릿으로 변형이 현지화되었다. 예를 들어, 영국에서 사용된 변형에는 런던광역경찰청 및 경찰청 국가 e-범죄 부서와 같은 조직의 브랜드가 포함되었다. 또 다른 버전에는 PRS for Music 저작권료 징수 단체의 로고가 포함되어 있었는데, 특히 사용자가 불법적으로 음악을 다운로드했다고 비난했다.^[85] 대중에 대한 악성코드 경고 성명에서 런던광역경찰청은 수사의 일환으로 그러한 방식으로 컴퓨터를 잠그지 않을 것이라고 밝혔다.^[7][20]

2012년 5월, 트렌드 마이크로 위협 연구원들은 미국 및 캐나다 변형 템플릿을 발견하여, 그 저자들이 북아메리카 사용자들을 목표로 삼을 계획이었을 수 있음을 시사했다.^[86] 2012년 8월까지 Reveton의 새로운 변형이 미국에서 확산되기 시작했으며, 머니팩 카드를 사용하여 FBI에 200 $의 벌금을 지불해야 한다고 주장했다.^[8][9][84] 2013년 2월, 러시아 시민 한 명이 두바이에서 스페인 당국에 의해 Reveton을 사용한 범죄 조직과 연관되어 체포되었으며, 다른 10명은 돈세탁 혐의로 체포되었다.^[87] 2014년 8월, 아바스트 소프트웨어는 Reveton의 새로운 변종이 페이로드의 일부로 비밀번호를 훔치는 악성코드도 배포한다는 것을 발견했다고 보고했다.^[88]

크립토락커

 이 부분의 본문은 크립토락커입니다.

암호화 랜섬웨어는 2013년 9월에 크립토락커로 알려진 트로이 목마와 함께 다시 나타났다. 이 트로이 목마는 2048비트 RSA 키 쌍을 생성하여 C&C 서버에 업로드하고, 특정 파일 확장자의 화이트리스트를 사용하여 파일을 암호화했다. 이 악성코드는 감염 후 3일 이내에 비트코인 또는 선불 현금 바우처로 결제하지 않으면 개인 키를 삭제하겠다고 위협했다. 극히 큰 키 크기를 사용하기 때문에 분석가들과 트로이 목마에 영향을 받은 사람들은 크립토락커를 복구하기 매우 어렵다고 여겼다.^{[29][89][90][91]} 기한이 지난 후에도 온라인 도구를 사용하여 개인 키를 얻을 수 있었지만, 가격은 10 BTC로 인상되었으며, 2013년 11월 기준 약 2300 미국 달러에 해당한다.^[92][93]

크립토락커는 2014년 6월 2일 미국 법무부가 공식 발표한 토바 작전의 일환으로 게임오버 제우스 봇넷 압수를 통해 고립되었다. 법무부는 또한 공소 (법)를 공개적으로 발행하여 러시아 해커 예브게니 보가체프(Evgeniy Bogachev)가 봇넷에 연루된 혐의로 기소했다.^[94][95] 폐쇄 전까지 악성코드로는 최소 300만 미국 달러가 갈취된 것으로 추정된다.^[12]

크립토락커.F 및 토렌트락커

2014년 9월, 오스트레일리아 사용자를 처음으로 표적으로 삼은 CryptoWall과 CryptoLocker(CryptoLocker 2.0과 마찬가지로 원래 CryptoLocker와는 관련이 없음)라는 이름의 랜섬웨어 트로이 목마들이 등장했다. 이 트로이 목마들은 오스트레일리아 우정공사의 배달 실패 알림을 사칭하는 사기성 이메일을 통해 확산되었다. 악성코드를 스캔하기 위해 페이지의 모든 링크를 따라가는 자동 이메일 스캐너의 탐지를 피하기 위해, 이 변종은 사용자가 웹 페이지를 방문하여 CAPTCHA 코드를 입력해야만 페이로드가 실제로 다운로드되도록 설계되어, 그러한 자동 프로세스가 페이로드를 스캔할 수 없도록 했다. 시만텍은 CryptoLocker.F로 식별된 이러한 새로운 변종들이 작동 방식의 차이로 인해 원래 CryptoLocker와는 관련이 없다고 판단했다.^[96][97] 이 트로이 목마의 주목할 만한 피해자는 오스트레일리아 방송 협회였다. 시드니 스튜디오의 컴퓨터에 CryptoWall이 감염되어 TV 뉴스 채널 ABC 뉴스 24의 생방송이 30분 동안 중단되었고 멜버른 스튜디오로 전환되었다.^{[98][99][100]}

이 시기 또 다른 트로이 목마인 토렌트락커는 처음에는 CryptoDefense와 유사한 설계 결함이 있었다. 즉, 모든 감염된 컴퓨터에 동일한 키스트림을 사용하여 암호화를 쉽게 극복할 수 있었다. 그러나 이 결함은 나중에 수정되었다.^[42] 2014년 11월 말까지 토렌트락커에 감염된 사용자는 오스트레일리아에서만 9,000명 이상으로 추정되었으며, 11,700명의 감염자를 기록한 튀르키예에 이어 두 번째였다.^[101]

크립토월

윈도우를 대상으로 하는 또 다른 주요 랜섬웨어 트로이 목마인 크립토월은 2014년에 처음 나타났다. 크립토월의 한 변종은 2014년 9월 말 제도 광고 네트워크에서 여러 주요 웹사이트를 대상으로 한 악성 광고 캠페인의 일부로 배포되었다. 이 광고는 브라우저 플러그인 익스플로잇을 사용하여^[102] 페이로드를 다운로드하는 악성 웹사이트로 리디렉션되었다. 바라쿠다 네트워크의 한 연구원도 페이로드가 보안 소프트웨어에 신뢰할 수 있는 것처럼 보이기 위해 디지털 서명으로 서명되었다고 언급했다.^[103] 크립토월 3.0은 이메일 첨부파일의 일부로 자바스크립트로 작성된 페이로드를 사용했으며, 이는 JPG 이미지로 위장한 실행 파일을 다운로드한다. 탐지를 더욱 회피하기 위해 악성코드는 서버와 통신하기 위해 explorer.exe 및 Svchost.exe의 새 인스턴스를 생성한다. 파일을 암호화할 때 악성코드는 볼륨 섀도 복사본도 삭제하고 비밀번호와 비트코인 지갑을 훔치는 스파이웨어를 설치한다.^[104]

FBI는 2015년 6월, 거의 1,000명의 피해자가 CryptoWall 감염을 보고하기 위해 FBI의 인터넷범죄신고센터에 연락했으며, 최소 1,800만 달러의 손실이 발생한 것으로 추정된다고 보고했다.^[13]

최신 버전인 CryptoWall 4.0은 안티바이러스 탐지를 피하기 위해 코드를 강화했으며, 파일 내 데이터뿐만 아니라 파일 이름까지 암호화한다.^[105]

푸소브

Fusob는 주요 모바일 랜섬웨어 계열이다. 2015년 4월부터 2016년 3월까지, 확인된 모바일 랜섬웨어의 약 56%가 Fusob였다.^[106]

대부분의 다른 랜섬웨어와 마찬가지로, 사용자로부터 상당한 금액을 갈취하기 위해 공포 전술을 사용한다.^[107] 이 앱은 경찰의 공지인 것처럼 행동하여, 피해자에게 100~200 미국 달러의 벌금을 지불하지 않으면 가상의 형사 고발을 당할 것이라고 요구한다. Fusob는 대부분의 암호화폐 중심 랜섬웨어와 달리 지불을 위해 아이튠즈 기프트 카드를 요청한다.

장치를 감염시키기 위해 Fusob는 트로이 목마처럼 포르노 비디오 플레이어로 위장한다.^[108] 설치되면 먼저 장치의 시스템 언어를 확인한다. 언어가 러시아어 또는 동유럽어이면 Fusob는 휴면 상태로 유지된다. 그렇지 않으면 장치를 잠그고 몸값을 요구한다. 피해자의 약 40%는 독일에 있으며, 영국은 14.5%, 미국은 11.4%를 차지한다. Fusob와 Small(또 다른 랜섬웨어 계열)은 2015년에서 2016년 사이에 모바일 랜섬웨어의 93% 이상을 차지했다.

워너크라이

 이 부분의 본문은 워너크라이입니다.

2017년 5월, 워너크라이 랜섬웨어 공격이 이터널블루라는 익스플로잇 벡터를 사용하여 인터넷을 통해 확산되었는데, 이는 미국 국가안보국에서 유출된 것으로 알려져 있다. 전례 없는 규모의^[109] 이 랜섬웨어 공격은 150개 이상의 국가에서 230,000대 이상의 컴퓨터를 감염시켰으며,^[110] 20개 언어를 사용하여 비트코인 암호화폐로 사용자에게 돈을 요구했다. 워너크라이는 컴퓨터당 300 미국 달러를 요구했다.^[111] 이 공격은 텔레포니카 및 스페인의 여러 다른 대기업뿐만 아니라 영국 국민 보건 서비스 (NHS)의 일부에도 영향을 미쳤으며, 최소 16개 병원이 환자를 돌려보내거나 예정된 수술을 취소해야 했다,^[112] 페덱스, 독일철도, 혼다,^[113] 르노, 그리고 러시아 내무부와 러시아 통신사 메가폰에도 영향을 미쳤다.^[114] 공격자들은 컴퓨터 감염일로부터 7일의 기한을 주었으며, 그 이후에는 암호화된 파일이 삭제될 것이라고 했다.^[115]

페트야

 이 부분의 본문은 페트야 (악성코드)입니다.

 2017년 우크라이나 사이버 공격 문서를 참고하십시오.

Petya는 2016년 3월에 처음 발견되었다. 다른 형태의 암호화 랜섬웨어와 달리 이 악성코드는 마스터 부트 레코드를 감염시키는 것을 목표로 삼았으며, 감염된 시스템이 다음에 부팅될 때 NTFS 파일 시스템의 파일 테이블을 암호화하는 페이로드를 설치하여, 몸값이 지불될 때까지 시스템이 윈도우로 전혀 부팅되지 못하도록 했다. 체크 포인트 (기업)는 랜섬웨어 설계의 혁신적인 진화라고 믿었음에도 불구하고, 같은 시기에 활동하는 다른 랜섬웨어보다 상대적으로 감염률이 낮았다고 보고했다.^[116]

2017년 6월 27일, Petya의 크게 수정된 버전이 주로 우크라이나를 대상으로 한 전 세계 사이버 공격에 사용되었지만(많은 국가에 영향을 미쳤다^[117]). 이 버전은 WannaCry가 사용한 것과 동일한 EternalBlue 익스플로잇을 사용하여 전파되도록 수정되었다. 또 다른 설계 변경으로 인해 몸값이 지불된 후에도 실제로 시스템을 잠금 해제할 수 없다. 이로 인해 보안 분석가들은 이 공격이 불법적인 이익을 창출하기 위한 것이 아니라 단순히 혼란을 야기하기 위한 것이었다고 추측하게 되었다.^[118][119]

배드 래빗

2017년 10월 24일, 러시아와 우크라이나의 일부 사용자들은 "배드 래빗(Bad Rabbit)"이라는 새로운 랜섬웨어 공격을 보고했다. 이 공격은 WannaCry 및 Petya와 유사한 패턴을 따르며, 사용자의 파일 테이블을 암호화한 다음 이를 해독하기 위해 비트코인 지불을 요구한다. ESET은 이 랜섬웨어가 어도비 플래시 소프트웨어의 가짜 업데이트를 통해 배포된 것으로 추정했다.^[120] 랜섬웨어의 영향을 받은 기관으로는 인테르팍스, 오데사 국제공항, 키이우 지하철, 그리고 우크라이나 인프라부 등이 있었다.^[121] 기업 네트워크 구조를 통해 확산되었기 때문에 이 랜섬웨어는 튀르키예, 독일, 폴란드, 일본, 대한민국, 미국 등 다른 국가에서도 발견되었다.^[122] 전문가들은 이 랜섬웨어 공격이 우크라이나의 Petya 공격과 관련이 있다고 믿었다(특히 배드 래빗의 코드가 Petya/NotPetya의 코드와 많은 중복 및 유사 요소를 가지고 있기 때문이며,^[123] 크라우드스트라이크(CrowdStrike)에 따르면 배드 래빗과 NotPetya의 DLL(dynamic link library)은 67%의 동일한 코드를 공유한다^[124]). 하지만 범인의 신원은 코드에 삽입된 왕좌의 게임 (드라마) 시리즈 캐릭터 이름뿐이다.^[122]

보안 전문가들은 이 랜섬웨어가 EternalBlue 익스플로잇을 사용하여 확산되지 않았으며, 2017년 10월 24일까지 오래된 윈도우 버전을 실행하는 영향을 받지 않은 컴퓨터를 예방하는 간단한 방법이 발견되었다는 것을 확인했다.^[125][126] 또한, 가짜 플래시 업데이트를 배포하는 데 사용되었던 사이트들은 발견된 지 며칠 만에 오프라인 상태가 되거나 문제가 되는 파일을 제거하여 배드 래빗의 확산을 효과적으로 막았다.^[122]

샘샘

2016년, JBoss 서버를 표적으로 하는 새로운 랜섬웨어 변종이 등장했다.^[127] "SamSam"이라고 명명된 이 변종은 피싱이나 불법 다운로드 과정을 우회하고 취약한 서버의 보안 취약점을 악용하는 방식을 사용하는 것으로 밝혀졌다.^[128] 이 악성코드는 원격 데스크톱 프로토콜 무차별 대입 공격을 사용하여 약한 비밀번호를 추측하여 하나를 뚫는다. 이 바이러스는 정부 및 의료 부문 목표에 대한 공격의 배후에 있었으며, 뉴멕시코주 파밍턴, 콜로라도 교통부, 데이비드슨군 (노스캐롤라이나주), 그리고 가장 최근에는 애틀랜타 인프라에 대한 랜섬웨어 공격이 발생했다.^[128]

모하마드 메흐디 샤 만수리(1991년 이란 곰 출생)와 파라마르즈 샤히 사반디(1984년 이란 시라즈 출생)는 SamSam 랜섬웨어를 배포한 혐의로 연방수사국에 의해 수배 중이다.^[129] 이 두 사람은 갈취를 통해 600만 달러를 벌어들였고, 이 악성코드를 사용하여 3,000만 달러 이상의 피해를 입힌 것으로 알려져 있다.^[130]

다크사이드

2021년 5월 7일, 미국 콜로니얼 파이프라인에 대한 사이버 공격이 실행되었다. 연방수사국은 DarkSide를 콜로니얼 파이프라인 사이버 공격의 가해자로 지목했으며, 악성 코드에 의해 자행된 이 공격은 미국 동해안에 연료의 45%를 공급하는 주요 파이프라인의 자발적 폐쇄로 이어졌다. 이 공격은 미국 중요 기반 시설에 대한 최악의 사이버 공격으로 묘사되었다. DarkSide는 콜로니얼 파이프라인으로부터 약 75 비트코인(거의 500만 미국 달러)을 성공적으로 갈취했다. 미국 관계자들은 이 공격이 순전히 범죄적인 목적이었는지, 아니면 러시아 정부 또는 다른 국가 후원자의 개입이 있었는지 조사 중이다. 공격 후 DarkSide는 "우리는 비정치적이며, 지정학에 참여하지 않는다... 우리의 목표는 돈을 버는 것이지 사회에 문제를 일으키는 것이 아니다"라는 성명을 발표했다.

2021년 5월, FBI와 사이버보안 및 인프라 보안국 (CISA)은 중요 기반 시설 소유주 및 운영자에게 DarkSide 랜섬웨어 및 일반적인 랜섬웨어에 대한 취약성을 줄이기 위한 특정 조치를 취하도록 촉구하는 공동 경고를 발행했다.

시스키

Syskey는 윈도우 NT 기반 운영체제에 포함된 유틸리티로, 선택적으로 비밀번호를 사용하여 사용자 계정 데이터베이스를 암호화한다. 이 도구는 때때로 기술 지원 사기에서 랜섬웨어로 효과적으로 사용되었다. 이 경우 컴퓨터에 원격 접근 권한이 있는 발신자가 이 도구를 사용하여 자신만이 아는 비밀번호로 사용자를 컴퓨터에서 잠글 수 있었다.^[131] Syskey는 구식이고 "해커들이 랜섬웨어 사기의 일부로 사용하는 것으로 알려져" 있기 때문에 2017년에 윈도우 10 및 윈도우 서버의 이후 버전에서 제거되었다.^[132][133]

서비스형 랜섬웨어

서비스형 랜섬웨어(RaaS)는 러시아에 기반을 둔^[134] 또는 러시아어를 사용하는^[135] 그룹 레빌이 2021년 5월 브라질 기반의 JBS S.A.와 2021년 7월 미국 기반의 카세야 리미티드를 포함한 여러 대상을 상대로 작전을 벌인 후 주목할 만한 방법이 되었다.^[136] 2021년 7월 9일 조 바이든 미국 대통령과 블라디미르 푸틴 러시아 대통령 간의 통화 후, 바이든은 기자들에게 "나는 그에게 랜섬웨어 작전이 그의 영토에서 발생하더라도 국가가 후원하는 것이 아니더라도, 우리가 그들에게 누가 그런 짓을 했는지 충분한 정보를 제공하면 그들이 행동할 것을 기대한다고 매우 분명히 말했다"고 말했다. 바이든은 나중에 푸틴이 그렇게 하지 않으면 미국이 그 그룹의 서버를 폐쇄할 것이라고 덧붙였다.^[137][138] 4일 후, REvil 웹사이트와 기타 인프라가 인터넷에서 사라졌다.^[139]

완화

초기 단계에서 공격이 의심되거나 감지되면 암호화가 완료되는 데 시간이 걸린다. 악성코드가 완료되기 전에 즉시 제거(비교적 간단한 과정)하면 이미 손실된 데이터를 복구하지는 못하지만 추가적인 데이터 손상을 막을 수 있다.^[140][141]

보안 전문가들은 랜섬웨어에 대처하기 위한 예방 조치를 제안했다. 알려진 페이로드의 실행을 차단하기 위해 소프트웨어 또는 기타 보안 정책을 사용하는 것은 감염을 예방하는 데 도움이 되지만, 모든 공격으로부터 보호하지는 못한다.^[29][142] 따라서 적절한 백업 솔루션을 갖추는 것이 랜섬웨어 방어의 중요한 구성 요소이다. 많은 랜섬웨어 공격자들은 피해자의 라이브 컴퓨터를 암호화할 뿐만 아니라 로컬에 저장되거나 NAS를 통해 네트워크에 접근 가능한 모든 핫 백업을 삭제하려고 시도하므로, 외부 저장 장치나 어떤 네트워크(인터넷 포함)에도 접근할 수 없는 장치와 같이 잠재적으로 감염된 컴퓨터에서 접근할 수 없는 위치에 "오프라인" 백업을 유지하는 것이 중요하다. 또한 NAS 또는 클라우드 스토리지를 사용하는 경우, 컴퓨터는 이전 백업을 삭제하거나 덮어쓰지 않도록 대상 저장소에 추가 전용 권한을 가져야 한다. 코모도에 따르면, 운영체제/커널에 두 가지 공격 표면 축소를 적용하면 물질적으로 감소된 공격 표면이 확보되어 보안 태세가 강화된다.^{[143][144][145]}

소프트웨어 공급업체가 발행한 보안 업데이트를 설치하면 특정 변종이 전파하는 데 악용하는 보안 취약점을 완화할 수 있다.^{[146][147][148][149][150]} 다른 조치로는 사이버 위생 − 이메일 첨부파일 및 링크를 열 때 주의를 기울이고, 네트워크 분할, 그리고 중요한 컴퓨터를 네트워크에서 격리하는 것이 포함된다.^[151][152] 또한, 랜섬웨어 확산을 완화하기 위해 감염 관리 조치를 적용할 수 있다.^[153] 이는 감염된 컴퓨터를 모든 네트워크에서 분리하고, 교육 프로그램,^[154] 효과적인 통신 채널, 악성코드 감시 및 집단 참여 방식을 포함할 수 있다.^[153]

2021년 8월, 사이버보안 및 인프라 보안국 (CISA)은 랜섬웨어 공격을 완화하는 방법에 대한 지침을 제공하는 보고서를 발표했다. 이는 랜섬웨어 관련 최근 공격이 크게 증가했기 때문이다. 이러한 공격에는 미국 파이프라인 회사 및 소프트웨어 회사에 대한 공격이 포함되었으며, 이는 MSP의 하위 고객에게 영향을 미쳤다.^[155]

많은 광학 디스크 포맷과 같은 기록 시 한 번 쓰기, 여러 번 읽기(WORM) 스토리지는 랜섬웨어에 거의 면역되어 있으며, 그 내용은 변경하거나 삭제할 수 없다. 그러나 프라이버시 법률 및 기타 콘텐츠 법률로 인해 데이터를 어떤 방식으로든 삭제할 수 없어 많은 스토리지에 비실용적이다. 유일한 방법은 원치 않는 파일을 제외하고 새 WORM 디스크에 복사한 다음 원본 복사본을 파괴하는 것이다.

파일 시스템의 랜섬웨어 방어

많은 파일 시스템은 자신이 보유한 데이터의 스냅샷을 보관하며, 랜섬웨어가 이를 비활성화하지 않는 경우 랜섬웨어 공격 이전 시점의 파일 내용을 복구하는 데 사용할 수 있다.

• 윈도우에서 볼륨 섀도 복사본(VSS)은 종종 데이터 백업을 저장하는 데 사용된다. 랜섬웨어는 이러한 스냅샷을 대상으로 복구를 방지하는 경우가 많으므로, 랜섬웨어가 이전 복사본을 비활성화하거나 삭제할 위험을 줄이기 위해 사용자 도구인 VSSadmin.exe에 대한 사용자 접근을 비활성화하는 것이 종종 권장된다.
• 윈도우 10에서 사용자는 윈도우 디펜더의 제어된 폴더 접근(Controlled Folder Access)에 특정 디렉터리나 파일을 추가하여 랜섬웨어로부터 보호할 수 있다.^[156] 백업 및 기타 중요한 디렉터리를 제어된 폴더 접근에 추가하는 것이 좋다.
• 악성코드가 ZFS 호스트 시스템에 루트 권한을 얻어 ZFS 관리 명령을 발행하도록 코딩된 공격을 배포하지 않는 한, ZFS를 실행하는 파일 서버는 랜섬웨어에 대해 광범위하게 면역된다. ZFS는 한 시간에 여러 번 대용량 파일 시스템조차 스냅샷할 수 있으며, 이러한 스냅샷은 변경 불가능하며(읽기 전용) 데이터 손상 시 쉽게 롤백하거나 파일을 복구할 수 있기 때문이다.^[157] 일반적으로 관리자만 스냅샷을 삭제(수정은 불가능)할 수 있다.

파일 암호 해독 및 복구

랜섬웨어에 의해 잠긴 파일을 해독하기 위한 여러 도구가 있지만, 성공적인 복구는 불가능할 수 있다.^[2][158] 모든 파일에 동일한 암호화 키가 사용되는 경우, 해독 도구는 손상되지 않은 백업과 암호화된 복사본이 모두 있는 파일( 암호 해독의 전문 용어로 기지 평문 공격)을 사용한다. 그러나 이는 공격자가 사용한 암호가 처음부터 약하여 알려진 평문 공격에 취약한 경우에만 작동한다. 키 복구가 가능한 경우 며칠이 걸릴 수 있다.^[159] 무료 랜섬웨어 해독 도구는 다음 형태의 랜섬웨어에 의해 암호화된 파일을 해독하는 데 도움이 될 수 있다: AES_NI, Alcatraz Locker, Apocalypse, BadBlock, Bart, BTCWare, Crypt888, CryptoMix, CrySiS, EncrypTile, FindZip, Globe, 히든 테어, Jigsaw, LambdaLocker, Legion, NoobCrypt, Stampado, SZFLocker, 테슬라크립트, XData.^[160] 보안 연구원들에 의해 해독된 랜섬웨어 암호화는 일반적으로 범죄 목적을 위해 폐기된다. 따라서 실제로는 대부분의 공격이 암호화를 해독하여 되돌릴 수 없다.^[161]

노 모어 랜섬 프로젝트(No More Ransom Project)는 네덜란드 경찰청의 국립 첨단 범죄 수사대, 유로폴의 유럽 사이버범죄 센터, 카스퍼스키 랩, 맥아피가 랜섬웨어 피해자들이 몸값을 지불하지 않고 데이터를 복구할 수 있도록 돕기 위한 이니셔티브이다.^[162] 이들은 암호화된 파일을 분석하고 해독 도구를 검색하는 무료 CryptoSheriff 도구를 제공한다.^[163]

또한, 디스크에 이미 삭제된 파일의 이전 복사본이 존재할 수 있다. 경우에 따라 이러한 삭제된 버전은 해당 목적을 위해 설계된 소프트웨어를 사용하여 여전히 복구될 수 있다.

2019년 프로퍼블리카의 조사에 따르면, 랜섬웨어 없는 해독 서비스를 광고하는 사이버 보안 업체 Proven Data Recovery와 Monstercloud는 일반적으로 랜섬웨어를 지불하고 피해자에게 더 높은 가격을 청구하는 것으로 나타났다.^[161] SamSam 해커들은 Proven Data와 너무 자주 거래하여 기술적인 문제로 인해 지불할 수 없는 피해자들에게 이 회사를 추천하기도 했다.^[161] Coveware와 같은 다른 회사들은 해커들에게 비용을 지불하고 불안정한 시스템을 패치하는 서비스를 제공하는 데 더 투명했다.^[161] 많은 미국인 피해자들은 랜섬웨어 금액이 연방 개입을 위한 미국 법무부의 기준치를 충족하기에는 너무 낮지만, 지역 경찰은 기술적 능력이 부족하고 종종 스스로 피해자가 된다는 것을 발견했다.^[161]

범죄자 체포 및 유죄 판결

자인 카이저

영국 런던 바킹 출신의 영국인 학생 자인 카이저(Zain Qaiser)는 2019년 랜섬웨어 공격으로 킹스턴 어폰 템스 왕립 법원에서 6년 이상의 징역형을 선고받았다.^[164] 그는 "영국에서 선고받은 가장 악명 높은 사이버 범죄자"로 알려져 있다. 그는 17세에 활동을 시작했다. 그는 Lurk 악성코드 갱단으로 추정되는 가장 강력한 공격 중 하나의 러시아인 통제자와 연락하여 수익 분할을 협의했다. 그는 또한 중국과 미국의 온라인 범죄자들과 연락하여 돈을 옮겼다.^[164] 약 1년 반 동안 그는 세계에서 가장 많이 방문하는 합법적인 포르노 웹사이트에서 도서 광고 온라인 프로모션의 합법적인 공급업체로 가장했다. 웹사이트에서 홍보된 각 광고에는 기기를 장악한 악성 Angler Exploit Kit (AEK)의 Reveton 랜섬웨어 변종이 포함되어 있었다.^[165] 수사관들은 약 70만 파운드의 수익을 발견했지만, 그의 네트워크는 400만 파운드 이상을 벌어들였을 수도 있다. 그는 암호화폐를 사용하여 일부 돈을 숨겼을 수도 있다. 랜섬웨어는 피해자들에게 그린닷 머니팩 바우처를 구매하고 화면에 표시된 Reveton 패널에 코드를 입력하도록 지시했다. 이 돈은 카이저가 관리하는 머니팩 계정으로 들어갔고, 카이저는 이 바우처 결제액을 그의 미국인 공범인 레이몬드 오디지 우아디알레(Raymond Odigie Uadiale)의 직불카드 계정으로 입금했다. 우아디알레는 2012년과 2013년에 플로리다 국제 대학교 학생이었으며 나중에 마이크로소프트에서 일했다. 우아디알레는 돈을 리버티 리저브 디지털 통화로 전환하여 카이저의 리버티 리저브 계정에 입금했다.^[166]

이 사건의 돌파구는 2013년 5월 여러 국가의 당국이 리버티 리저브 서버를 압수하여 모든 거래 및 계정 기록에 접근하면서 발생했다. 카이저는 맥북 프로에 맥과 윈도우 운영체제를 모두 사용하여 암호화된 가상 머신을 실행하고 있었다.^[167] 그는 굿메이스 병원에서 영국 1983년 정신 건강법에 따라 (비자발적으로) 강제 입원되었을 때 병원 와이파이를 사용하여 광고 사이트에 접근하는 것이 발견되었기 때문에 더 일찍 재판을 받을 수 없었다. 그의 변호사는 카이저가 정신 질환을 앓고 있었다고 주장했다.^[164] 러시아 경찰은 2016년 6월 Lurk 악성코드 갱단원 50명을 체포했다.^[168] 나이지리아계 미국 시민인 우아디알레는 18개월 징역형을 선고받았다.^[169]

법적 측면

개념 증명 공격 코드의 공개는 학술 연구자 및 취약성 연구자들 사이에서 흔한 일이다. 이는 위협의 본질을 가르치고 문제의 심각성을 전달하며 대책을 고안하고 마련할 수 있게 한다. 그러나 법 집행 기관의 지원을 받는 입법자들은 랜섬웨어 생성을 불법화하는 것을 고려하고 있다. 메릴랜드주에서는 원래 HB 340 초안이 랜섬웨어 생성을 중죄로 규정하고 최대 10년의 징역형에 처할 수 있도록 했다.^[170] 일본에서는 미성년자가 랜섬웨어 코드를 생성하고 배포한 혐의로 체포되었다.^[171]

오스트레일리아는 일부 경우 랜섬웨어 피해자가 지불 내역을 오스트레일리아 통신 국장에게 보고하도록 요구한다.^[172]

같이 보기

• 피싱