And Brain said,

랜섬웨어(Ransomware) 공격, 원리와 그 방어 본문

IT/보안

랜섬웨어(Ransomware) 공격, 원리와 그 방어

The Man 2025. 2. 24. 15:15
반응형

랜섬웨어(Ransomware) ?

랜섬웨어(Ransomware)란 몸값(Ransom)과 소프트웨어(Software)의 합성어로, 공격자가 사용자의 파일을 인질로 잡고 몸값을 요구하는 악성코드입니다.

 

파일을 암호화하여 접근 차단 → 피해자는 중요한 파일을 열 수 없음

몸값(비트코인, 모네로 등)을 지불해야 복호화 키 제공

기업, 개인, 공공기관 등 모든 대상이 피해자가 될 수 있음

 

랜섬웨어 감염 후 공격자 요구 예시

"귀하의 파일이 암호화되었습니다. 복구를 원하시면 48시간 내에 1 비트코인을 송금하세요."

랜섬웨어 감염 방식

랜섬웨어는 다양한 경로로 감염될 수 있으며, 공격자는 주로 사회공학적 기법(Social Engineering)과 보안 취약점을 이용합니다.

1. 피싱 이메일 (Phishing Email)

 

악성 첨부파일 또는 링크를 포함한 이메일을 발송

사용자가 무심코 클릭하면 감염됨

 

2. 드라이브 바이 다운로드 (Drive-By Download)

 

악성코드가 포함된 웹사이트 방문 시 자동으로 랜섬웨어 다운로드됨

취약한 브라우저, 플러그인(Flash, Java) 이용

 

3. 원격 데스크톱 프로토콜(RDP) 공격

 

RDP(3389포트)를 이용해 공격자가 원격으로 시스템에 접근

취약한 비밀번호 또는 보안이 취약한 RDP 설정을 이용

 

4. 소프트웨어 취약점(Exploit) 이용

 

업데이트되지 않은 OS 및 소프트웨어의 보안 취약점 공격

예: SMB 취약점(WannaCry 공격에 사용된 EternalBlue)

 

5. USB 및 외부 저장장치

감염된 USB 또는 외부 저장장치를 통해 확산

랜섬웨어의 동작 방식

 

랜섬웨어는 감염되면 다음과 같은 과정을 거쳐 피해자의 데이터를 인질로 잡습니다.

 

파일 암호화 : 문서, 사진, 데이터베이스 파일 등을 강력한 암호화 알고리즘(AES, RSA)으로 암호화

 

몸값 요구 메시지 생성 : 사용자가 파일에 접근하려 하면 랜섬노트(Ransom Note) 표시

 

네트워크 확산 (일부 랜섬웨어는 스스로 확산 가능) : 같은 네트워크의 다른 PC, 서버로 전파

 

복호화 키 제공(또는 제공하지 않음) : 공격자가 암호 해독 키를 돈을 받고 제공 (일부는 제공하지 않고 사라짐)

대표적인 랜섬웨어 공격 사례

1. WannaCry (2017)

  • SMB 프로토콜 취약점(EternalBlue) 이용

  • 전 세계 150여 개국 30만 대 이상의 PC 감염

  • 영국 NHS(국민보건서비스) 시스템 마비

2. NotPetya (2017)

  • 우크라이나 정부 시스템을 공격하기 위해 개발됨

  • WannaCry와 비슷하지만, 복호화 불가능한 파괴형 랜섬웨어

  • 글로벌 기업(마스크, 제약사, 물류업체) 수십억 달러 피해

3. Ryuk (2018~현재)

  • 대기업과 공공기관을 표적으로 한 맞춤형 공격

  • 감염 후 네트워크 내 확산 및 데이터 유출 기능 포함

  • 비트코인 몸값 요구 (수백만 달러 요구 사례도 있음)

4. LockBit (2020~현재)

  • Ransomware-as-a-Service (RaaS) 모델

  • 사이버 범죄 조직이 랜섬웨어를 임대하여 공격

  • 자동화된 스크립트를 사용해 빠른 암호화 진행

랜섬웨어 감염 예방 방법

 

1. 최신 OS 및 소프트웨어 업데이트 (Windows, Linux, Adobe, Java 등)

2. 신뢰할 수 없는 이메일 및 링크 클릭 금지

3. 중요 데이터 정기 백업 (3-2-1 백업 원칙)

4. 보안 소프트웨어 및 방화벽 사용

5. 원격 데스크톱(RDP) 보안 강화 (3389포트 비활성화, 다중인증 적용)

6. 랜섬웨어 탐지 및 차단 솔루션 사용 (EDR, XDR, UTM 솔루션 활용)

랜섬웨어 감염 시 대응 방법

 

몸값을 지불하지 말 것 → 몸값을 지급해도 복호화 키를 제공하지 않는 사례 多

 

감염된 기기를 네트워크에서 즉시 분리 (랜섬웨어 확산 방지)

 

파일 복구 시도 (No More Ransom 프로젝트 활용)

 

보안 기관 및 CERT 신고 (국가별 사이버 보안 센터 활용)

 

백업 데이터로 시스템 복구

 

No More Ransom – 무료 복호화 도구 제공

반응형

'IT > 보안' 카테고리의 다른 글

전자금융기반시설 보안 취약점 평가 가이드 - Linux 서버(SRV-073~174) - [2]  (0) 2025.02.24
패킷 스니핑(Packet Sniffing) 공격, 원리와 그 방어  (0) 2025.02.24
전자금융기반시설 보안 취약점 평가 가이드 - Linux 서버(SRV-001~070) - [1]  (0) 2025.02.20
Nessus, 사이버 보안 탐정의 수사 노트  (1) 2025.02.18
AWS로 배우는 IAM, 넌 지나갈 수 없다. (+Spring boot 연동 예제)  (1) 2025.02.12
'IT/보안' Related Articles more
Comments