2. 랜섬웨어 유형(Ransomware Types)
2.3 잠금(Locker) 랜섬웨어 공격이란? 감염 경로 및 예방 전략
랜섬웨어 유형 중, 잠금(Locker) 랜섬웨어란?
랜섬웨어 공격 유형은 다양한 타입의 패턴을 가지고 있습니다. 첫번째 암호화 랜섬웨어(Crypto Ransomware), 두번째 이중 협박 랜섬웨어(Double Extortion Ransomware), 세번째 잠금 랜섬웨어(Locker Ransomware), 네번째 파일 리스 랜섬웨어(Fileless Ransomware), 다섯번째 랜섬웨어 서비스(Ransomware as a Service, RaaS) 등의 공격 패턴이 있습니다. 앞으로 한 가지씩 랜섬웨어 공격 유형을 소개를 통해 학습해 가는 시간이 되면 좋겠습니다.
.png&blockId=1e5c0137-d027-8071-a8cb-e95e49d8a633)
랜섬웨어 유형 (Ransomware Types)
2.3 잠금 랜섬웨어(Locker Ransomware) 란?
잠금 랜섬웨어는 암호화 랜섬웨어와 달리, 파일 자체를 암호화하지 않고 시스템 전체 또는 사용자의 인터페이스를 잠가 정상적인 컴퓨터 사용을 불가능하게 만드는 랜섬웨어 공격방법입니다. 이 공격 방식은 감염된 시스템의 파일을 변경하거나 암호화는 대신, 화면을 완전히 잠그거나 로그인, 데스크탑, 특정 애플리케이션 접근을 차단하는 등 사용자 인터페이스를 마비시켜, 피해자가 즉각적인 금전적 대가를 지불하도록 유도하는 특징을 가집니다.
▲ 잠금 (Locker) 랜섬웨어 감염 경로 및 동작 원리
잠금 랜섬웨어 감염 경로 및 동작 원리는 비교적 단순하지만, 그 피해는 매우 치명적입니다. 우선, 공격방식은 피싱 이메일, 악성 웹사이트, 혹은 취약한 원격 접속 (RDP) 등을 통해 잠금(Locker) 랜섬웨어를 피해 시스템에 감염시킵니다. 감염 피해 초기에는 사용자에게 별다른 의심을 사지 않도록 설계된 스크립트나 실행 파일이 배포되며, 이 파일은 실행되자마자 시스템의 화면이나 사용자 인터페이스를 제어하는 프로세스를 실행이 됩니다. 이 실행 과정에서 잠금 랜섬웨어는 기존 운영체제의 구성요소나 그래픽 인터페이스를 조작하여, 사용자가 로그인 후에 정상적인 작업 환경을 사용할 수 없도록 만듭니다.
잠금 랜섬웨어는 보통 화면에 "랜섬노트"를 표시하는 방식을 작동합니다. 이 노트는 피해자에게 ▲금전 요구 사항과 함께, 일정 시간 내에 지불하지 않을 경우 ▲시스템 접근이 영구히 차단되거나, 중요한 데이터에 대한 접근 권한이 ▲복구되지 않을 것임을 경고합니다. 메시지 내용은 종종 공격자가 요구하는 암호화폐 결제 정보와 지불 기한, 그리고 지불 후에도 복구가 보장되지 않는다는 불확실성을 포함하여 피해자의 불안을 극대화 합니다.
이와 같은 공격 방식은 파일 암호화 공격보다 상대적으로 빠르게 실행되며, 암호화 과정에서 발생하는 연산 부하가 없기 때문에 감염 후 즉각적인 피해가 나타납니다. 특히, 잠금 랜섬웨어는 시스템 자원이나 저장 공간에 직접적인 흔적을 남기지 않기 때문에, 전통적인 바이러스 백신이나 파일 무결성 검사 도구로는 탐지가 어려운 단점을 보완하고 있습니다. 이 때문에 보안 솔루션은 사용자 인터페이스의 비정상적인 변화나, 시스템 프로세스의 급격한 동작 변화를 감지하는 행위 기반 탐지 기술인 안티랜섬웨어 솔루션 제품으로 함께 보안할 필요가 있습니다.
실제로, 여러 보안 보고서와 실제 사례를 통해 잠금 랜섬웨어가 중소기업이나 공공기관, 심지어 일부 대기업에서도 공격 대상이 되고 있음이 확인이 되고 있습니다. 예를 들어, 원격 데스크톱 프로토콜(RDP) 취약점을 이용한 공격 사례에서는, 공격자가 네트워크 내부에 접속한 후 빠르게 시스템 화면을 잠그고, 피해자에게 금전 요구 메시지를 띄워 업무 중단과 심각한 운영 장애를 초래한 바 있습니다. 이와 같이 잠금 랜섬웨어는 단순한 파일 암호화가 아닌, 사용자 시스템 전체를 마비시키는 방식으로 공격력을 발휘함으로써, 감염 피해 복구에 소용되는 시간과 비용을 더욱 가중 시키는 경향을 보입니다.
또한, 잠금 (Locker) 랜섬웨어는 기존 보안 인프라의 취약점을 공격하는 방식과 결합되어, 사용자의 보안 인식 부재나, 정기적인 시스템 업데이트의 미흡함과 같은 내부 요인을 악용하는 경우가 많습니다. 따라서, 기업 등 조직에서는 정기적으로 보안 패치 적용, 다중체계 인증, 그리고 실시간 안티랜섬웨어 모니터링 시스템을 통해 이상 징후를 조기에 탐지하고, 감염 시 신속하게 시스템을 격리할 수 있는 대응 체계를 마련하는 것이 필수적인 방법입니다.
Q. 잠금 (Locker) 랜섬웨어 공격 피해사례?
1. Reveton 랜섬웨어는 2012년 초 확산된 초기 잠금 랜섬웨어로, 주로 일반 사용자들을 대상으로 경찰이나 정부 기관을 사칭하는 메시지를 통해 공포 분위기를 조성했습니다. 사용자에게 피싱 이메일, 악성 광고, 가짜 웹사이트 등을 통해서 악성링크나 첨부파일이 실행되어 감염되는 랜섬웨어 입니다.
Reveton 공격기법은 사용자가 신뢰할 수 있는 기관의 경고를 가장한 이메일이나 웹사이트를 통해 악성코드를 실행하게 유도합니다. Windows API를 후킹하여 키보드와 마우스 입력을 가로채고, 단축키 (Alt+Tab, Ctrl+Alt+Del 등)를 무력화함으로써 사용자가 비정상적인 방법으로 프로세스를 종료하거나 복구 모드 사용이 불가능하게 만듭니다. 또한 전면 잠금 창(fullscreen overlay)을 생성하여 작업 관리자와 기타 복구 도구의 접근을 차단하며, 화면에 경찰 및 정부 기관을 사칭한 협박 메시지를 지속적으로 보여줍니다. 그리고 레지스트리 수정과 시스템 복원 기능 비활성화 등을 통해 백업 데이터 및 복구 포인트에 대한 접근 권한을 차단하여, 피해자가 스스로 복구할 없는 환경이 됩니다.
잠금 (Locker) 랜섬웨어 - Reveton(레버톤)랜섬웨어 _ Windows API 후킹 공격기법
WinLock 랜섬웨어 공격피해는 WIndows 시스템에서 전혀 작업을 수행할 수 없도록 만듭니다. 풀 스크린 화면이 잠가짐으로 인해 파일 접근, 애플리케이션 실행, 데이터 수저 등 모든 기능이 사용불가되며, 사용자는 금전 요구에 지불 후 시스템 복구를 기대할 수 밖에 없게 됩니다. 이러한 피해는 단순한 사용자의 불편 초래를 넘어, 시스템 재구축 및 긴급 복구 비용 증가로 이어지며 장기적으로는 기업, 기관 등의 평판 손상 및 생산성에 큰 피해를 가져오게 됩니다.이밖에 다양한 사업분야을 타켓으로 한 잠금 랜섬웨어 공격 감염피해 유형의 종류을 간략하게 살펴봅니다. ▲ 의료산업 분야에 발생되는 MediLocker 랜섬웨어는 의료기관의 핵심 시스템을 잠궈 사회 전체의 안전 문제가 발생되고 있으며, ▲ 공장 팩토리 분야에서 발생되는 FactoryLock 랜섬웨어는 생산 시스템을 마비시켜 경제적 손실을 극대화 시키고, ▲ 공공 행정기관 분야에서 발생되는 GovLock 랜섬웨어는 공공 행정 시스템에 타격을 주어 사회적 혼란을 야기시키며, ▲ 일반 개인 사용자에게 발생되는 UserLock 랜섬웨어는 보안 취약점을 통해 컴퓨터 화면 및 제어 통제 불능으로 사용자에게 피해를 주고 있습니다.
이런 잠금 (Locker) 랜섬웨어 공격으로 다양한 산업 분야에는 랜섬웨어 피해가 심각하게 발생되어, 경제적 피해 및 기업, 기관 등이미지 평판 하락으로 신뢰도가 떨어지는 피해도 감당해야 하는 상황입니다.
Q. 잠금(Locker) 랜섬웨어 예방 및 대응 전략 방안?
잠금(Locker) 랜섬웨어 공격은 단순히 화면을 잠그는 데 그치지 않고, 백그라운드에서 시스템에 깊숙이 감염하여 다른 보안 취약점을 악용할 가능성도 내포하고 있습니다. 예를 들어, 원격 데스크탑 프로토콜(RDP)의 취약점을 이용하거나, 취약한 소프트웨어를 통해 자동으로 감염되는 사례도 보도되고 있습니다. 실제로 '레버톤(Reveton)'과 같이 경찰이나 FBI를 사칭하여 벌금을 요구하는 사례가 있었으며, 이로 인해 사용자들은 불필요한 공포에 휩싸여 금전을 지불하는 경우가 많았습니다.
잠금(Locker) 랜섬웨어 예방을 위해서는 정기적인 백업, 최신 보안 패치 적용, 강력한 비밀번호 설정 및 다단계 인증 등의 보안 조치를 취해야 하며, 특히 의심스러운 이베일이나 링크, 광고 등을 접할 경우 각별한 주의가 필요해 보입니다. 또한 신뢰할 수 있는 레거시 안티바이러스 백신 및 랜섬웨어를 행위로 탐지, 차단하는 안티랜섬웨어 솔루션 제품을 필수적으로 설치하고 실시간 모니터링을 통해 시스템 이상 징후를 사전에 탐지하는 것이 최근에 보안 트랜드이며 효과적인 예방 및 대응책이 되고 있습니다.
▷ 정기적 보안 패치 및 최신 업데이트 : 운영체제, 애플리케이션, 네트워크 장비 등 모든 IT 자산에 대해 최신 보안 패치를 적용하고 업데이트를 통해 알려진 취약점을 사전에 예방합니다. 특히, 원격 데스트톱 프로토콜(RDP)과 같이 외부에 노출된 서비스는 신속한 패치와 취약점 관리가 필수적입니다.
▷ 안전한 백업 및 복구 체계 구축 : 정기적으로 데이터를 백업하고, 백업 파일은 네트워크와 물리적으로 분리된 오프라인 또는 클라우드 저장소에 보관을 해야합니다. 백업 데이터의 무결성과 복구 가능성을 주기적으로 테스트해, 감염 시 신속하게 시스템을 원상 복구 할 수 있도록 해야 합니다.
▷ 사용자 교육 및 보안 인식 강화 : 기업, 공공 행정기관 등 모든 전사 보안 교육과 모의 피싱 훈련을 통해 직원들이 랜섬웨어 공격에서 악성 첨부파일, 의심스러운 링크 등을 인지하고 주의할 수 있도록 해야 합니다. 그래서 보안 정책 준수와 또한 내부 위협 관리에도 철저하게 주의를 기울여야 합니다.
결론적으로, 잠금 (Locker) 랜섬웨어는 화면이나 시스템 전체를 잠가버려 사용자가 정상적으로 시스템 접근이 불가능하며, 또한 이를 통해 해커의 금전 요구로 사용자에게는 심리적으로 위협이 느껴지게 됩니다. 그래서 이 랜섬웨어 감염 피해는 단순한 파일 암호화보다 더욱 심각하고 불안하게 됩니다. 감염 피해를 최소화하기 위해서는 평소에 랜섬웨어 보안에 대한 경각심을 가지고, 사용자와 기업 기관 모두가 사전에 기본적으로 지켜야 하는 랜섬웨어 보안 예방대책 및 교육을 통해 잠금 랜섬웨어의 위협에 능동적으로 대응하는 것이 매우 중요한 요소임을 인식해야 합니다.
