본문 바로가기

제품 이야기

이메일 보안 비상! 랜섬웨어를 막아라!

 

 

요 근래 부쩍 스팸메일이 늘어난 것 같지 않으세요?


오늘 아침,
무심코 랜섬웨어가 담긴 메일을 클릭하지는 않으셨나요?
얼마 전부터 알 수 없는 영문 제목으로 메일이 계속 왔었는데요.

오늘 포스팅에서는 대한민국을 떨게 하고 있는
신종 랜섬웨어에 대해 집중분석하도록 하겠습니다.
이름하여, <특명! 이메일을 사수하라!>

 

 

■ 록키 랜섬웨어

 

기존 스팸메일은 워드문서의 매크로 형식으로 유포되는데 비해
이번에 온 메일은 자바스크립트 파일을 ZIP파일로 압축해 그 파일이 뭔지 풀지 않으면
파일 내용을 아예 확인할 수 없기 때문에 많은 분들이 피해를 봤는데요.
이게 바로 요즘 회사원들 속을 썩이고 있는 ‘록키(Locky) 랜섬웨어’입니다.

특히, 회사 단체메일로 오는 경우,
1명이라도 열어보면 지속적으로 메일이 대량 발송되고,
감염된 경우는 각종 문서파일을 암호화한 후 사용할 수 없게 만들어 버리는 무서운 랜섬웨어.
금융기관이나 관공서에서도 피해가 지속되고 있다고 하니
“내일이 아니야”라고 생각할 수만은 없겠죠.

‘록키’ 이름만 들어서는 권투(?)와 연관 있는 랜섬웨어인가?라고 생각이 되지만
사실상 록키 랜섬웨어는 그 어떤 랜섬웨어 보다 어마어마한 위력을 지니고 있습니다.

지난 2월, 해외에서 첫 발견된 이후
불과 한 달여 사이에 대한민국에 상륙한 록키 랜섬웨어는
‘나비처럼 날아서 벌처럼 쏴라’는 말 그대로
위장 이메일을 타고 날아올라
불과 며칠 새, 국내 감염 신고건수 300건을 훌쩍 넘기고 있습니다.

특히 기업에서 쉽게 클릭할 수 있을 만한
인보이스(invoice), 계약서(Contract for)등의 단어로 위장하고
수신자의 비즈니스 정보를 함께 포함하고 있기 때문에 자연스레 클릭을 유도하고 있어서

그 피해 규모가 점점 더 확산되고 있죠.

해외 뱅킹 악성코드 전문 조직에서 탄생했기 때문에
금융기관을 중점으로 공격하고 있는데요.
무심코 누른 메일의 첨부파일을 클릭하고, 매크로 실행을 하게 되면,
그 즉시 Wallet, dat 등 주로 금융기관에서 사용하는 파일의 확장자를 암호화시킵니다.
암호화를 해제하려면 금전을 지불해야 하는 상황이고요.
때문에 금융기관들은 더더욱 록키 랜섬웨어를 두려워 할 수 밖에 없습니다.

 

 (자료 : 한국랜섬웨어침해대응센터)

 


록키 랜섬웨어의 피해 사례가 점차 속출함에 따라
한국랜섬웨어침해대응센터에서는 ‘긴급 침해 레포트’를 통해
일반 사용자 스스로 자가진단 및 대응을 할 수 있도록 안내하고 있습니다.

 


그럼에도 불구하고, 다른 랜섬웨어에 비해 파일 암호화의 범위가 더 넓은 점,
기존의 워드 문서가 아닌 ZIP파일 형태로 첨부되는 방식으로 변경된 점 등,
기존과 다른 방식으로 메일이 오기 때문에 피해자가 늘어가고 있습니다.

 


■ 디지털 서명을 포함한 랜섬웨어

 

 

 

이번에는 또 다른 형태의 랜섬웨어입니다.
올해 2월초부터 디지털 서명을 포함한 랜섬웨어가 이메일을 통해 유포되고 있습니다.
‘서명을 포함해?’ 그게 무슨 큰 문제인가 싶으시겠지만,
그 속을 들여다보면 얘기가 달라집니다.
마치 정상파일인 척 하는 폭탄을 넘겨받을 수도 있으니까요.

보통의 백신이나 파일 분류 프로그램에서
랜섬웨어를 구분하는 기준 중 하나가 ‘디지털 서명 정보’ 유효 여부인데요.
‘디지털 서명’은 평소 우리가 문서에 서명을 하듯
파일의 신원을 보증하는 역할을 합니다.

하지만 이번에 유포되고 있는 랜섬웨어는
악성파일에 이 디지털 서명을 추가하여
마치 겉으로 보면 정상적인 파일처럼 보여지도록 하는 것이죠.

게다가 일반 실행프로그램으로 유포되던 랜섬웨어들과는 달리
PDF 문서를 위장한 아이콘으로 나타나기 때문에
파일 분류 시 정상적인 파일로 진단됩니다.
현재 국내 백신에서는 진단되지 않아서
결국, 우리는 또 무방비 상태에서 랜섬웨어에 감염이 되는 것입니다.



 

 

제목 위장부터 디저털 서명 위장, 아이콘 위장까지
위장술의 달인이 되어가는 랜섬웨어들을 보고 있자니
메일을 열어보기가 겁이 날 정도입니다.
더 이상 랜섬웨어는 잘못 클릭해서 감염된다고 표현할 수 없을 것 같습니다.

보안담당자들을 대상으로 랜섬웨어의 감염 경로를 조사한 결과

 

 

 

전체 4,063명 중 3분의 1에 해당하는 응답자가
랜섬웨어에 감염된 적이 있다고 응답했습니다.
감염경로로는 1위로 (스팸)메일을 꼽았고
그 뒤를 이어 웹사이트, 스마트폰 순으로 집계되었죠.

잘못된 링크로의 접속이나 불법다운로드로 감염되던 기존의 방식에서 방식에서
이메일을 통한 눈속임으로 감염되는 랜섬웨어가 늘어남에 따라
이메일은 랜섬웨어의 주된 통로가 되었습니다.


이쯤 되면 랜섬웨어를 아무리 조심하려 한다 한들
이메일을 사용하지 않는 이상, 피할 도리가 없는 것이죠.
악성코드를 중요한 문서로 위장시켜 메일로 오기 때문에
감염 피해자가 나날이 늘어나는 것도 당연한 일일 것입니다.

실제 한 보안업체에서는 국내외 7개 업체를 대상으로
스팸메일 차단 테스트를 실시했는데요.


국내외를 대표하는 메일이라 기대가 너무 컸던 걸까요?
테스트 결과, 대부분의 메일 서비스가
랜섬웨어가 포함된 스팸메일을 차단하지 못한 것으로 드러났습니다.
또한 최신 유행하고 있는 ZIP형태로 메일을 발송했을 때
그 감염성은 일반 첨부파일 보다 훨씬 높았고


100% 차단하는 업체도 7곳 중 단 1곳에 불과했습니다.


여러분들의 메일은 안전한가요?


 

 

 

점점 더 지능적으로 변해가는 랜섬웨어,
어떻게 예방해야 할까요?

그 비밀의 열쇠는, 바로 이메일 보안 솔루션에 있습니다.
이메일을 통해 들어오는 외부유입파일을 관리하는 것이
랜섬웨어를 근본적으로 차단할 수 있는 해결책인 거죠!

 

소프트캠프의 이메일 보안 솔루션, SHIELDEX SaniTrans Mail(실덱스 새니트랜스 메일)
랜섬웨어가 가장 취약한 ‘메일’에 첨부된 파일을 관리하는데 특화된 보안 솔루션입니다.

때문에 이메일에 숨겨진 랜섬웨어를 찾아내는 데

효과적인 시스템을 갖추고 있죠.

 

그렇다면 어떤 점이 타사의 이메일 보안 솔루션과 다른 걸까요?


그 동안의 ‘이메일 보안’은 대부분
스팸메일을 차단하거나, 파일 속 패턴DB 및 Hash 값을 비교하여
악성코드를 탐지하는 방식으로 이루어졌습니다.
그러나 최근의 랜섬웨어는 제목을 위장하고, 확장자명을 숨기는 등
기존의 보안 시스템에서 걸러내지 못하는 방법으로 진화하고 있기 때문에


파일 속 랜섬웨어를 쉽게 걸러낼 수 없었죠.

하지만 SHIELDEX SaniTrans Mail(실덱스 새니트랜스 메일)
차별화된 문서 방화벽기술을 통해 근본적인 해결책을 찾아냈습니다.
쉽게 말해, ‘랜섬웨어가 들어올 수 없는 환경을 만드는 것’입니다.

 

 

 


우선 SHIELDEX SaniTrans Mail(실덱스 새니트랜스 메일)은 메일의 가장 최전방에 설치됩니다.

마치 이메일을 지키는 파수꾼 같다고나 할까요?
이후 메일에 첨부된 파일들이 정상파일인지 구분하기 위해
문서파일이 어떤 구조로 구성되어 있는지 분석의 과정을 거치죠.
이 과정에서 첨부파일 속에 숨겨진 악성코드를 방역한 후
문서 내 안전한 콘텐츠만 추출하여 들어올 수 있도록 하는 것입니다.

그리고, 내부로 들어온 파일도 실덱스 새니트랜스 메일의 감시를 피할 순 없습니다.
1차적 방역이 끝난 파일에도 ‘외부유입’을 식별할 수 있는 표시를 하여
PC내에서 어떤 동작을 하는 지
A부터 Z까지 모든 동작을 모니터링하고 추적합니다.


이러한 과정을 통해 SHIELDEX SaniTrans Mail(실덱스 새니트랜스 메일)
그동안 다른 메일보안 솔루션이 할 수 없었던
랜섬웨어에 대한 선제적 대응이 가능할 뿐만 아니라
APT 및 제로데이 공격에도 거뜬한 것이죠!

 

 

 

SHIELDEX SaniTrans Mail(실덱스 새니트랜스 메일)로 견고한 방어막을 쌓았다면
이제는 주변을 정비해야 하겠죠?
랜섬웨어를 예방하는 기본 수칙을 통해
조금 더 안전한 PC 환경을 만들어보세요!

 

 

1. 지급(Payment), 송장(Invoice), 계약(Contract) 등의 제목을 가진 메일은 클릭 금지
- 앞서 말씀 드린 록키 랜섬웨어의 경우 비즈니스 관련 메일을 사칭하여
첨부파일 실행을 유도하고 있습니다.
계약이나 거래가 없는 발신자, 출처자 불분명한 기관으로부터 온 메일은
파일을 실행하기 전, 메일회신이나 유선을 통해 내용을 먼저 확인하세요.

2. 첨부파일에 자바스크립트(.js) 확인하기
- 스팸메일 내 압축파일 형태의 첨부파일이 있을 경우, 확장자가 자바스크립트(.js)라면
절대 클릭해선 안됩니다.
현재 록키 랜섬웨어 변종의 경우 악성 자바스크립트를 첨부파일에 포함하여,

사용자로 하여금 랜섬웨어를 다운받게 만듭니다.

3. 플래시 설정은 ‘클릭 시에만 재생(Click to play)’으로 변경하기
- 최근 발생한 랜섬웨어들은 어도비 플래시 플레이어의 취약점을 이용해
기승을 부리고 있습니다.
플래시가 자동재생 되지 않도록 ‘클릭 시에만 재생(Click to play)’으로 변경하세요.

 


4. 브라우저 ‘광고차단’ 활성화
- PC나 모바일에서 인터넷을 사용할 경우, 수 많은 광고가 자동으로 팝업 될 때가 있는데요,
이 중 위장 사이트로 연결하여 악성코드를 다운받도록 하는 위장 광고가
숨어 있을 수 있습니다.
브라우저 설정의 광고차단 기능만으로도 멀버타이징 공격의 대부분을 막아낼 수 있습니다.

 


5. 백업은 필수!
- 랜섬웨어의 경우, 결국 두 가지 결과밖에 얻을 수 없습니다.
비트코인을 지불, 또는 소중한 자료의 분실이죠.
완벽한 복구도 불가능할 뿐더러,
복구 가능성도 낮기 때문에 주기적인 백업을 통해 미리 대비 해놓는 것이 좋습니다.

 


생활 속 기본 수칙들만 지킨다면
랜섬웨어의 위협에서 조금 더 안전해질 수 있습니다.
그리고 가장 중요한 것은
랜섬웨어를 근본적으로 차단할 수 있는 이메일 보안 솔루션을 사용하는 것이겠죠!

날마다 신종 랜섬웨어가 기승을 부리고 있는 만큼
정보보안 전문기업 소프트캠프는 경계를 늦추지 않겠습니다.

단결!