네트워크 보안 기초부터 실전까지 8편: 악성코드와 랜섬웨어 대응
Network Security Series Part 8: Malware and Ransomware Response
서론: 악성코드 위협의 진화
악성코드(Malware)는 악의적인 목적으로 제작된 소프트웨어를 총칭하며, 현대 사이버 보안에서 가장 심각한 위협 중 하나입니다. 특히 랜섬웨어는 기업과 기관에 막대한 피해를 입히며 전 세계적으로 수십억 달러의 손실을 초래하고 있습니다.
악성코드는 단순한 장난 수준의 바이러스에서 시작하여, 이제는 국가 수준의 사이버 무기로 진화했습니다. 공격자들은 더욱 정교한 기술과 전략을 사용하여 기존의 보안 솔루션을 우회하고 있으며, 이에 대응하기 위한 보안 기술도 함께 발전하고 있습니다.
이번 8편에서는 악성코드의 종류와 특징, 감염 경로, 그리고 최신 엔드포인트 보안 솔루션과 대응 전략에 대해 상세히 알아보겠습니다.
1. 악성코드의 종류
1.1 바이러스(Virus)
바이러스는 가장 오래된 형태의 악성코드로, 정상적인 파일이나 프로그램에 자신의 코드를 삽입하여 감염시킵니다.
특징:
- 자기 복제: 다른 파일에 자신을 복사하여 전파
- 숙주 의존: 실행 파일에 기생하여 활성화
- 사용자 행동 필요: 감염된 파일을 실행해야 동작
주요 유형:
- 파일 감염 바이러스: 실행 파일(.exe, .com)에 감염
- 매크로 바이러스: Office 문서의 매크로 기능 악용
- 부트 섹터 바이러스: 디스크의 부트 영역 감염
- 다형성 바이러스: 복제 시마다 코드 변형으로 탐지 회피
1.2 웜(Worm)
웜은 네트워크를 통해 자기 자신을 복제하고 전파하는 악성코드입니다.
특징:
- 독립적 전파: 숙주 파일 없이 자체적으로 복제 및 전파
- 네트워크 이용: 이메일, 네트워크 공유, 취약점 등을 통해 확산
- 빠른 전파 속도: 자동화된 확산으로 단시간 내 대규모 감염
역사적 사례:
- Morris Worm (1988): 최초의 인터넷 웜으로 약 6,000대 시스템 감염
- ILOVEYOU (2000): 이메일로 전파된 웜, 수백억 달러 피해
- Conficker (2008): Windows 취약점 악용, 수백만 대 감염
- WannaCry (2017): EternalBlue 취약점 악용, 랜섬웨어와 결합
1.3 트로이목마(Trojan Horse)
트로이목마는 정상적인 프로그램으로 위장하여 사용자를 속여 설치를 유도하는 악성코드입니다.
특징:
- 위장: 유용한 프로그램, 게임, 유틸리티로 가장
- 비복제: 자기 복제 기능 없음, 사회공학적 기법으로 전파
- 백도어 기능: 원격 접근 경로 제공
주요 유형:
- RAT(Remote Access Trojan): 원격 제어 기능 제공
- 뱅킹 트로이목마: 금융 정보 탈취 목적
- 다운로더: 추가 악성코드 다운로드
- 드롭퍼: 내장된 악성코드 설치
1.4 랜섬웨어(Ransomware)
랜섬웨어는 시스템이나 데이터를 암호화하거나 잠그고 금전을 요구하는 악성코드입니다.
특징:
- 암호화: 강력한 암호화 알고리즘으로 파일 암호화
- 금전 요구: 암호화폐(주로 비트코인)로 몸값 요구
- 시간 압박: 기한 내 미지불 시 금액 인상 또는 데이터 삭제 협박
- 이중 협박: 암호화 + 데이터 유출 협박
랜섬웨어 진화 과정:
| 세대 | 특징 | 대표 사례 |
|---|---|---|
| 1세대 | 화면 잠금, 허위 경고 | Police Locker |
| 2세대 | 파일 암호화 | CryptoLocker |
| 3세대 | 웜 기능 결합, 대량 전파 | WannaCry, NotPetya |
| 4세대 | RaaS(Ransomware as a Service) | REvil, LockBit |
| 5세대 | 이중/삼중 협박, 데이터 유출 | Maze, Conti, BlackCat |
1.5 스파이웨어(Spyware)
스파이웨어는 사용자의 활동을 몰래 감시하고 정보를 수집하는 악성코드입니다.
수집 대상:
- 키보드 입력 (키로거)
- 화면 캡처
- 브라우저 히스토리
- 로그인 자격 증명
- 금융 정보
- 개인 문서
1.6 기타 악성코드 유형
- 애드웨어(Adware): 원치 않는 광고 표시, 일부는 스파이웨어 기능 포함
- 루트킷(Rootkit): 시스템 깊숙이 숨어 탐지를 회피하며 지속적 접근 유지
- 봇넷(Botnet): 감염된 시스템을 원격 제어하여 DDoS, 스팸 발송 등에 활용
- 크립토마이너(Cryptominer): 피해자의 컴퓨팅 자원을 무단 사용하여 암호화폐 채굴
- 파일리스 악성코드(Fileless Malware): 파일 시스템에 흔적을 남기지 않고 메모리에서 실행
2. 악성코드 감염 경로
2.1 이메일 기반 감염
이메일은 여전히 가장 흔한 악성코드 배포 채널입니다.
공격 기법:
- 피싱 이메일: 신뢰할 수 있는 발신자로 위장
- 악성 첨부파일: Office 문서, PDF, 실행 파일 등
- 악성 링크: 드라이브 바이 다운로드 사이트로 유도
- HTML 스머글링: HTML 이메일 내 악성 JavaScript 삽입
# 의심스러운 이메일 첨부파일 확장자
.exe, .com, .bat, .cmd, .scr, .pif, .js, .vbs, .wsf
.doc, .docm, .xls, .xlsm (매크로 포함 문서)
.zip, .rar, .7z (압축 파일 내 악성코드)
.iso, .img (디스크 이미지)
.lnk (바로가기 파일)2.2 웹 기반 감염
감염 방식:
- 드라이브 바이 다운로드: 취약한 브라우저/플러그인을 통한 자동 다운로드
- 악성 광고(Malvertising): 정상 웹사이트의 광고를 통한 감염
- 워터링 홀 공격: 타겟이 자주 방문하는 사이트 감염
- 가짜 소프트웨어 업데이트: 정상 업데이트로 위장한 악성코드
2.3 이동식 미디어
USB 드라이브 등 이동식 저장장치를 통한 감염도 여전히 위협입니다.
- Autorun 악용: 자동 실행 기능 악용 (현재 대부분 비활성화)
- 바로가기 파일: 정상 파일로 위장한 .lnk 파일
- BadUSB: 펌웨어 수정된 USB 장치가 키보드로 위장
2.4 네트워크 기반 감염
- 취약점 익스플로잇: 패치되지 않은 시스템 공격
- 측면 이동(Lateral Movement): 내부 네트워크 내 확산
- 공급망 공격: 소프트웨어 업데이트 채널 감염
- RDP 무차별 대입: 원격 데스크톱 프로토콜 공격
3. 랜섬웨어 동작 원리
3.1 감염 단계
- 초기 접근: 피싱 이메일, 취약점, RDP 등을 통한 침투
- 지속성 확보: 레지스트리 수정, 서비스 등록, 스케줄된 작업 생성
- 권한 상승: 관리자 권한 획득 시도
- 내부 정찰: 네트워크 구조 파악, 중요 데이터 위치 확인
- 보안 우회: 백업 삭제, 보안 소프트웨어 비활성화
- 측면 이동: 네트워크 내 다른 시스템으로 확산
- 데이터 유출: 협박용 데이터 사전 탈취 (이중 협박)
- 암호화 실행: 파일 암호화 및 몸값 요구
3.2 암호화 기술
현대 랜섬웨어는 강력한 암호화 기술을 사용합니다.
일반적인 암호화 방식:
- 하이브리드 암호화: 대칭키 + 비대칭키 조합
- 파일별로 고유한 AES-256 키 생성
- AES 키를 RSA-2048 공개키로 암호화
- 개인키는 공격자 서버에 보관
# 랜섬웨어 암호화 흐름 (개념적)
1. RSA 키 쌍 생성 또는 공격자 서버에서 공개키 수신
2. 각 파일에 대해:
a. 랜덤 AES-256 키 생성
b. AES 키로 파일 암호화
c. AES 키를 RSA 공개키로 암호화
d. 암호화된 AES 키를 파일에 첨부
3. 원본 파일 삭제
4. 랜섬 노트 표시3.3 RaaS(Ransomware as a Service)
RaaS는 랜섬웨어 생태계를 서비스 모델로 운영하는 비즈니스 형태입니다.
구성 요소:
- 개발자(Developer): 랜섬웨어 코드 개발 및 유지보수
- 운영자(Operator): 인프라 운영, 협상, 결제 처리
- 제휴자(Affiliate): 실제 공격 수행, 수익 분배
- 초기 접근 브로커(IAB): 기업 네트워크 접근 권한 판매
수익 분배:
- 개발자/운영자: 20-40%
- 제휴자: 60-80%
4. 엔드포인트 보안 솔루션
4.1 전통적인 안티바이러스의 한계
시그니처 기반 안티바이러스는 현대 위협에 대응하기 어렵습니다.
한계점:
- 알려진 위협만 탐지: 시그니처 데이터베이스에 없는 신종 악성코드 탐지 불가
- 다형성 악성코드: 코드 변형으로 시그니처 우회
- 파일리스 악성코드: 파일 기반 스캔으로 탐지 불가
- 제로데이 공격: 알려지지 않은 취약점 활용 공격 대응 어려움
- 고급 회피 기술: 난독화, 패킹, 암호화된 페이로드
4.2 EDR(Endpoint Detection and Response)
EDR은 엔드포인트에서 발생하는 활동을 지속적으로 모니터링하고 위협을 탐지, 분석, 대응하는 솔루션입니다.
핵심 기능:
- 연속 모니터링: 프로세스, 파일, 네트워크, 레지스트리 활동 추적
- 행위 분석: 악성 패턴 및 비정상 행위 탐지
- 위협 헌팅: 선제적 위협 탐색
- 포렌식 데이터 수집: 사고 조사를 위한 상세 로그
- 자동화된 대응: 위협 차단, 격리, 치료
EDR 데이터 수집 항목:
# EDR이 수집하는 텔레메트리 데이터
- 프로세스 생성/종료
- 파일 생성/수정/삭제
- 레지스트리 변경
- 네트워크 연결
- DNS 쿼리
- 사용자 로그인/로그아웃
- 명령줄 인수
- 모듈 로드
- 스크립트 실행 (PowerShell, WMI 등)4.3 XDR(Extended Detection and Response)
XDR은 EDR을 확장하여 엔드포인트뿐만 아니라 네트워크, 클라우드, 이메일 등 다양한 보안 영역을 통합한 솔루션입니다.
통합 영역:
- 엔드포인트: 워크스테이션, 서버, 모바일
- 네트워크: 방화벽, IDS/IPS, NDR
- 이메일: 이메일 게이트웨이, 피싱 탐지
- 클라우드: CASB, CWPP, 클라우드 로그
- ID: IAM, Active Directory
XDR의 장점:
- 다양한 데이터 소스의 상관 분석
- 공격 체인 전체 가시성 확보
- 알림 피로도 감소 (통합된 경보)
- 자동화된 크로스 도메인 대응
| 구분 | AV | EDR | XDR |
|---|---|---|---|
| 범위 | 엔드포인트 | 엔드포인트 | 전체 IT 환경 |
| 탐지 방식 | 시그니처 | 행위 분석 | 통합 상관 분석 |
| 가시성 | 제한적 | 엔드포인트 상세 | 전체 환경 통합 |
| 대응 | 차단/삭제 | 격리/조사/치료 | 자동화된 크로스 도메인 |
| 포렌식 | 없음 | 있음 | 통합 포렌식 |
5. 행위 기반 탐지
5.1 행위 분석의 원리
행위 기반 탐지는 악성코드의 시그니처가 아닌 실행 시 나타나는 행위 패턴을 분석합니다.
탐지 대상 행위:
- 파일 시스템: 대량 파일 수정, 확장자 변경, 암호화 패턴
- 프로세스: 인젝션, 권한 상승, 이상 부모-자식 관계
- 네트워크: C2 통신, 비콘, 비정상 포트 사용
- 레지스트리: 지속성 확보를 위한 런키 등록
- 메모리: 쉘코드 주입, 프로세스 할로잉
5.2 MITRE ATT&CK 프레임워크
MITRE ATT&CK은 공격자의 전술, 기법, 절차(TTPs)를 체계화한 지식 베이스입니다.
주요 전술(Tactics):
- Initial Access (초기 접근)
- Execution (실행)
- Persistence (지속성)
- Privilege Escalation (권한 상승)
- Defense Evasion (방어 회피)
- Credential Access (자격 증명 접근)
- Discovery (정찰)
- Lateral Movement (측면 이동)
- Collection (수집)
- Command and Control (C2)
- Exfiltration (유출)
- Impact (영향)
# 랜섬웨어 관련 ATT&CK 기법 예시
T1486: Data Encrypted for Impact (영향을 위한 데이터 암호화)
T1490: Inhibit System Recovery (시스템 복구 억제)
T1489: Service Stop (서비스 중지)
T1562: Impair Defenses (방어 기능 손상)
T1070: Indicator Removal on Host (호스트 흔적 제거)5.3 머신러닝 기반 탐지
최신 보안 솔루션은 머신러닝을 활용하여 알려지지 않은 위협을 탐지합니다.
적용 영역:
- 정적 분석: PE 파일 구조, 문자열, 엔트로피 분석
- 동적 분석: 실행 행위 패턴 학습
- 이상 탐지: 정상 행위 기준선 대비 편차 탐지
- 위협 인텔리전스: 위협 정보 자동 분류 및 상관 분석
6. 샌드박스 분석
6.1 샌드박스의 개념
샌드박스는 의심스러운 파일이나 URL을 격리된 가상 환경에서 실행하여 행위를 분석하는 기술입니다.
장점:
- 알려지지 않은 악성코드 탐지 가능
- 실제 시스템 영향 없이 안전한 분석
- 상세한 행위 보고서 생성
- IOC(침해 지표) 추출
6.2 샌드박스 회피 기법
고급 악성코드는 샌드박스 환경을 탐지하고 행위를 숨깁니다.
회피 기법:
- 환경 체크: VM 아티팩트, 프로세스, 레지스트리 검사
- 시간 기반 회피: 일정 시간 후에만 악성 행위 실행
- 사용자 상호작용 요구: 마우스 클릭, 스크롤 등 감지
- 지역 기반 회피: 특정 국가/언어에서만 동작
- 하드웨어 체크: CPU, 메모리, 디스크 크기 확인
# 샌드박스 탐지 기법 예시 (교육 목적)
# VM 탐지 - 프로세스 확인
vm_processes = ['vmtoolsd.exe', 'vmwaretray.exe', 'vboxservice.exe']
# VM 탐지 - 레지스트리 확인
# HKLM\SYSTEM\CurrentControlSet\Services\VBoxGuest
# 시간 기반 회피
import time
time.sleep(300) # 5분 대기 후 실행
# 사용자 상호작용 확인
# 마우스 움직임, 클릭 이벤트 감지 후 동작6.3 샌드박스 솔루션
주요 샌드박스 솔루션:
- 오픈소스: Cuckoo Sandbox, CAPE Sandbox, Any.Run
- 상용: FireEye AX, Palo Alto WildFire, Cisco Threat Grid
- 클라우드: VirusTotal, Hybrid Analysis, Joe Sandbox
7. 악성코드 분석 기초
7.1 정적 분석
정적 분석은 악성코드를 실행하지 않고 코드와 구조를 분석하는 방법입니다.
분석 항목:
- 파일 해시: MD5, SHA-1, SHA-256
- PE 헤더 분석: 섹션, 임포트, 익스포트
- 문자열 추출: URL, IP, 명령어 등
- 패킹 탐지: UPX, Themida 등
- 시그니처 매칭: YARA 룰
# 정적 분석 도구 사용 예시
# 파일 해시 계산
certutil -hashfile malware.exe SHA256
# 문자열 추출
strings malware.exe > strings.txt
# PE 헤더 분석 (pestudio, PEview 등)
# 임포트 함수 확인
# - CreateRemoteThread: 코드 인젝션 가능성
# - VirtualAllocEx: 원격 메모리 할당
# - WriteProcessMemory: 원격 프로세스 메모리 쓰기7.2 동적 분석
동적 분석은 악성코드를 실행하여 실시간 행위를 모니터링하는 방법입니다.
모니터링 항목:
- 프로세스: 생성, 인젝션, 권한
- 파일: 생성, 수정, 삭제
- 레지스트리: 변경 사항
- 네트워크: DNS 쿼리, HTTP/HTTPS 요청, C2 통신
- API 호출: 시스템 호출 추적
동적 분석 도구:
- 프로세스 모니터링: Process Monitor, Process Hacker
- 네트워크 분석: Wireshark, Fiddler
- 시스템 변경 추적: Regshot, Autoruns
- 디버거: x64dbg, OllyDbg
7.3 IOC(Indicators of Compromise)
IOC는 침해 사고를 식별하는 데 사용되는 기술적 지표입니다.
IOC 유형:
- 파일 기반: 해시값, 파일명, 파일 경로
- 네트워크 기반: IP 주소, 도메인, URL
- 호스트 기반: 레지스트리 키, 뮤텍스, 서비스명
- 행위 기반: 프로세스 트리, 명령줄
# YARA 룰 예시 (악성코드 탐지)
rule Ransomware_Generic
{
meta:
description = "Generic ransomware detection"
author = "Security Analyst"
date = "2026-01-22"
strings:
$ransom1 = "Your files have been encrypted" nocase
$ransom2 = "bitcoin" nocase
$ransom3 = ".onion" nocase
$ext1 = ".locked"
$ext2 = ".encrypted"
$ext3 = ".crypted"
condition:
any of ($ransom*) and any of ($ext*)
}8. 랜섬웨어 대응 전략
8.1 예방 전략
기술적 대책:
- 패치 관리: OS 및 소프트웨어 최신 상태 유지
- 백업 전략: 3-2-1 규칙 (3개 사본, 2종류 미디어, 1개 오프사이트)
- 네트워크 분리: 세그멘테이션으로 확산 방지
- 최소 권한 원칙: 사용자/시스템 권한 최소화
- 이메일 보안: 피싱 필터링, 첨부파일 검사
- RDP 보안: VPN 필수, MFA 적용, 포트 변경
관리적 대책:
- 보안 인식 교육: 피싱 인식, 안전한 컴퓨팅 습관
- 사고 대응 계획: 랜섬웨어 전용 대응 절차 수립
- 사이버 보험: 사고 시 재정적 피해 완화
8.2 탐지 및 초기 대응
탐지 지표:
- 대량의 파일 확장자 변경
- 암호화 관련 API 호출 급증
- 볼륨 섀도 복사본 삭제 시도
- 비정상적인 프로세스 동작
- 의심스러운 네트워크 통신
초기 대응:
- 격리: 감염 시스템을 네트워크에서 즉시 분리
- 확산 방지: 네트워크 세그먼트 차단, 공유 폴더 비활성화
- 증거 보존: 메모리 덤프, 로그 백업
- 보고: 경영진, 법무팀, 필요시 법 집행 기관 통보
8.3 복구 전략
복구 옵션:
- 백업 복원: 가장 권장되는 방법, 백업 무결성 사전 확인 필수
- 복호화 도구: No More Ransom 프로젝트 등에서 제공하는 무료 도구
- 볼륨 섀도 복사본: 삭제되지 않았다면 이전 버전 복원
- 데이터 복구 업체: 전문 업체를 통한 복구 시도
주의: 몸값 지불은 권장하지 않습니다. 지불해도 복호화 키를 받지 못할 수 있으며, 범죄 조직에 자금을 지원하게 됩니다. 또한 한 번 지불하면 재공격 대상이 될 가능성이 높습니다.
8.4 사후 분석 및 개선
- 근본 원인 분석: 초기 침투 경로 파악
- 피해 범위 평가: 영향받은 시스템 및 데이터 확인
- 보안 갭 식별: 취약점 및 보안 통제 부재 파악
- 개선 조치: 재발 방지를 위한 보안 강화
- 문서화: 사고 경위 및 대응 과정 기록
9. 악성코드 대응 체크리스트
| 카테고리 | 점검 항목 | 권장 사항 |
|---|---|---|
| 엔드포인트 보호 | 보안 솔루션 | EDR 또는 차세대 AV 도입 |
| 패치 관리 | 업데이트 주기 | 자동 업데이트, 주기적 패치 |
| 백업 | 백업 전략 | 3-2-1 규칙, 정기 테스트 |
| 이메일 보안 | 필터링 | SPF, DKIM, DMARC, 샌드박스 |
| 네트워크 | 세그멘테이션 | 중요 자산 분리, 마이크로세그멘테이션 |
| 권한 관리 | 최소 권한 | PAM 도입, 관리자 권한 제한 |
| 원격 접속 | RDP 보안 | VPN 필수, MFA, NLA 활성화 |
| 보안 인식 | 교육 프로그램 | 정기적 피싱 훈련, 보안 교육 |
| 로깅 | 로그 수집 | 중앙 로그 관리, SIEM 연동 |
| 대응 계획 | IR 절차 | 랜섬웨어 플레이북 수립 및 훈련 |
결론
악성코드와 랜섬웨어는 지속적으로 진화하며 더욱 정교해지고 있습니다. 이번 8편에서 다룬 내용을 요약하면 다음과 같습니다:
- 악성코드 종류: 바이러스, 웜, 트로이목마, 랜섬웨어, 스파이웨어 등 다양한 유형이 존재하며 각각 다른 특성과 목적을 가집니다.
- 감염 경로: 이메일, 웹, 이동식 미디어, 네트워크 취약점 등 다양한 경로로 침투하므로 다층 방어가 필요합니다.
- 엔드포인트 보안: 전통적인 안티바이러스의 한계를 극복하기 위해 EDR/XDR 솔루션 도입이 중요합니다.
- 행위 기반 탐지: 시그니처에 의존하지 않는 행위 분석과 머신러닝 기반 탐지가 핵심입니다.
- 대응 전략: 예방, 탐지, 대응, 복구의 전 단계에 걸친 체계적인 전략이 필요합니다.
효과적인 악성코드 대응을 위해서는 기술적 솔루션뿐만 아니라 프로세스와 사람에 대한 투자도 함께 이루어져야 합니다. 정기적인 보안 교육, 사고 대응 훈련, 그리고 최신 위협 동향 파악을 통해 조직의 보안 수준을 지속적으로 향상시켜 나가야 합니다.
다음 편에서는 네트워크 보안 시리즈의 또 다른 중요한 주제를 다룰 예정입니다. 보안은 목적지가 아닌 여정이므로, 지속적인 학습과 개선이 필요합니다.