랜섬웨어 (Ransomware)

랜섬웨어 (Ransomware)

피해자의 파일/시스템을 암호화하여 접근을 차단한 후 복호화 키를 대가로 금전을 요구하는 악성코드

특징: 강력한 암호화(RSA/AES), 금전 요구, 피해 즉각적

구성요소: 감염 벡터(피싱/RDP/취약점), 암호화 엔진, C2 서버, 지불 메커니즘(암호화폐)

기술요소: 대칭키 암호화(AES/파일), 비대칭키 암호화(RSA/키 보호), Tor/다크웹, 이중 갈취(데이터 탈취+암호화)

진화: 1세대(암호화만) → 2세대(이중 갈취/데이터 유출 협박) → 3세대(RaaS/랜섬웨어 서비스화) → 4세대(공급망 공격/다중 갈취)

대응: 백업(3-2-1 규칙/오프라인), EDR/XDR(행위 탐지), 네트워크 세그먼테이션, 패치 관리, 사용자 교육

감염 경로 상세

• •피싱 이메일: 악성 첨부파일(매크로 문서/실행파일)/악성 링크, 가장 빈번한 초기 벡터
• •RDP 무차별 대입: 인터넷 노출 RDP(3389포트) 대상 Brute Force/크리덴셜 스터핑
• •취약점 악용: 패치 미적용 시스템(EternalBlue/ProxyLogon/Log4Shell), VPN 장비 취약점
• •공급망 공격: 소프트웨어 업데이트 변조(Kaseya/SolarWinds), MSP(관리 서비스 업체) 경유
• •드라이브바이 다운로드: 악성 웹사이트 방문 시 자동 다운로드

암호화 동작원리

• •파일별 고유 대칭키(AES-256) 생성 → 파일 암호화
• •대칭키를 공격자의 RSA 공개키로 암호화 → 암호화된 키를 파일에 첨부
• •공격자만 RSA 개인키 보유 → 몸값 지불 시 복호화 키 제공(보장 없음)
• •볼륨 섀도 복사본(VSS) 삭제 → 시스템 복원 불가능하게 만듦

복구 가능성 분석

• •복구 가능: 약한 암호화 구현(키 재사용/하드코딩), 보안업체 복호화 도구(No More Ransom 프로젝트), C2 서버 압수로 키 확보
• •복구 불가: 정상적 RSA+AES 구현, 오프라인 암호화(C2 통신 없이), 백업도 암호화된 경우
• •대응 원칙: 몸값 지불 비권장(CISA/FBI), 지불해도 복구 보장 없음(평균 복구율 65%), 재공격 위험

3-2-1 백업 규칙: 3개 복사본, 2개 서로 다른 매체, 1개 오프사이트(+1개 에어갭/오프라인)

적용사례: 기업 시스템 마비, 병원/공공기관 공격, 산업 시설 타겟

비교: Crypto 랜섬웨어(암호화) vs Locker 랜섬웨어(접근 차단) vs RaaS(서비스형)

연관: 악성코드, 침해 대응, 백업, EDR