웃음 넘치는 하루^^

최근 사용자 PC에 있는 문서 파일과 이미지 파일들을 암호화하고, 파일 복구의 대가로 금전을 요구하는 랜섬웨어에 의한 감염 사례가 증가하고 있다. 초기 랜섬웨어는 주로 이메일의 첨부 파일을 이용해 유포되었지만 최근에는 보안이 취약한 웹사이트를 통한 드라이브바이다운로드(Drive-by-download) 방식을 통한 유포도 증가하고 있다. 이러한 웹사이트를 방문한 사용자들은 자신도 모르는 사이에 랜섬웨어에 감염되어 피해를 입게 된다. 이 글에서는 드라이브바이다운로드 등 랜섬웨어에 감염되는 주요 경로를 알아본다.

1. 취약한 웹사이트를 통한 악성코드 감염

공격자가 드라이브바이다운로드 방식을 이용해 웹 사이트를 통해 악성코드를 유포하는 과정은 대략 다음과 같다.

1. 공격자는 보안이 취약한 웹사이트에 악성 스크립트를 삽입한다.

[그림 1] 악성 스크립트 삽입

2. 사용자가 해당 웹사이트 접속하면 악성 스크립트가 동작한다.

3. 악성 스크립트는 사용자 PC에 설치 된 프로그램의 버전을 확인하여 취약점이 존재하는지 살핀다. 주로 자바, 인터넷익스플로러, 플래시플레이어 등의 프로그램 취약점이 자주 악용된다.

[그림 2] 자주 악용되는 프로그램 예시 (왼쪽부터 JAVA, IE, Flash Player)

4. 사용자가 사용하는 프로그램이 취약한 버전일 경우 취약점을 유발시키는 코드를 실행한다.

5. 4번과 같은 과정을 통해 악성코드를 다운로드(Dropper)하고 실행하여 사용자의 PC를 감염시킨다.

드라이브바이다운로드 방식은 랜섬웨어 뿐만 아니라 예전부터 온라인게임핵 악성코드나 파밍 악성코드 유포에도 사용되었던 방식이다. 동일한 과정을 통해 사용자 PC에 접근하되 최종적으로 사용자 PC에 다운로드되는 악성코드가 랜섬웨어이냐 파밍 악성코드이냐의 차이일 뿐이다.

2. 취약한 프로그램을 이용한 악성코드 감염

그렇다면 온라인게임핵 악성코드나 파밍 악성코드를 겪었음에도 불구하고 유사한 방식으로 유포되고 있는 랜섬웨어를 피할 수 없는 것일까? 가장 큰 원인은 바로 ‘취약한 애플리케이션의 사용’이다.

위에서 살펴본 바와 같이 보안이 취약한 웹사이트에 숨어있던 악성코드가 사용자 PC에 다운로드되면 사용자가 취약한 프로그램을 이용하고 있을 경우 이를 이용해 악성코드 감염을 비롯해 악의적인 행위를 수행한다.

안랩이 최근 3개월간 랜섬웨어의 변형 및 감염 PC 현황을 조사한 결과, 여전히 취약한 프로그램을 사용하는 사용자들이 많다는 것이 확인되었다. 공격자들은 주로 인터넷 익스플로러(Internet Explorer, IE)나 Java, 플래시플레이어(Flash Player)와 같은 프로그램의 취약점을 이용하고 있다. 윈도우 보안 업데이트를 비롯한 주요 프로그램의 최신 버전 업데이트 적용이 강조되는 이유다.

또한 취약한 웹사이트 이용도 문제다. 특히 일부 소규모 쇼핑몰 사이트나 커뮤니티 사이트 등은 보안에 취약한 경우가 많아 악성코드 유포에 자주 악용되고 있다. 실제로 지난 4월에 대규모 랜섬웨어 감염 피해가 발생했던 사고 역시 유명 커뮤니티 사이트를 통해 다수의 사용자들이 감염되었다. 특히 다음과 같은 사이트의 경우 보안 관리가 미흡한 경우가 대부분이므로 이용을 자제하는 것이 바람직하다.

– 토렌트 관련 사이트

– 음란물 관련 사이트

– 무료 게임 사이트 등

3. 이메일 첨부 파일을 통한 악성코드 감염

이메일 첨부 파일 확인 시에도 주의가 필요하다. 낯선 이메일 또는 의심스러운 메일임에도 불구하고 발신자나 제목, 내용 등을 확인하지 않고 첨부 파일부터 클릭하고 보는 사용자들이 여전히 많다. 출처를 알 수 없거나 이상한 제목의 이메일은 가급적 즉시 삭제하는 것이 바람직하다. 특히 낯익은 발신자가 보낸 첨부 파일이라도 바로 실행하는 것이 아니라 일단 PC에 저장 후 백신으로 검사하는 습관을 갖는 것이 좋다.

이와 함께 랜섬웨어 피해를 예방하기 위해서는 평소 중요한 데이터를 백업해두는 것이 바람직하다. 또한 회사에서 사용하는 업무용 PC는 가급적 업무 목적 외에는 사용하지 않는 노력이 필요하다.

한편 안랩은 ‘랜섬웨어 보안센터’ 웹사이트를 개설하고 최신 랜섬웨어 정보를 비롯해 랜섬웨어 예방을 위한 보안 수칙과 이를 쉽게 수행할 수 있는 가이드를 제공하고 있다.

출처 : AhnLab

계속해서 변종이 등장한다고 하네요.. 바이러스에 감염되지 않게 늘 대비하여야 하겠습니다.