랜섬웨어의 뒤를 잇는 랜섬웹(RansomWeb)

랜섬웨어의 뒤를 잇는 랜섬웹(RansomWeb)

최근 파일을 인질로 삼고 돈을 요구하는 랜섬웨어가 성행하는 가운데, 새로운 개념의 랜섬웹(RansomWeb)이 등장했습니다. 

 

사용자 로컬 PC 파일들을 인질로 삼고 돈을 요구하는 랜섬웨어와는 다르게 랜섬웹은 웹 서버에 저장된 DB를 암호화하고, 백업 데이터 역시 암호화된 DB들로 가득 채운 후 해당 정보를 인질로 삼아 돈을 요구하는 공격기법 입니다.

랜섬웹의 원리는 이러합니다. 먼저 공격하고자 하는 웹 서버에 침투한 공격자는 관리자 몰래 서버 스크립트를 조작하여 암호화 할 때 사용하는 암호화 키(비밀키)를 공격자의 암호화 키로 변경합니다. 그 후 공격자의 암호화 키를 공격자 서버에 저장하고, 원격으로 통신할 수 있도록 합니다.

정상 데이터 흐름도

변조 후 데이터 흐름도

이 때, 암호화 로직은 웹 서버의 데이터가 DB에 저장하기 전에 공격자의 암호화 키로 암호화되어 저장됩니다. 그리고 DB에 저장된 암호화 데이터가 서버에 전달되기 전에 공격자의 복호화 키로 복호화 하도록 수정하는 것입니다. 

이후 일정시간이 지나면 공격자의 암호화 키로 암호화 된 DB들로 백업서버들이 가득 채워지며, 이 때 공격자가 원격 서버에 저장된 암호화 키를 삭제해 버립니다. 

 

공격자의 암호화 키가 없는 데이터들은 복호화할 수 없기 때문에 정상적인 웹 서비스를 제공할 수 없습니다.

※ 랜섬웹 감염 사례 :

어느 웹페이지 관리자는 'DB 복호화'라는 이메일 한 통을 받았다. 내용은 즉 암호화된 서버들의 자료들을 복호화시키고 싶으면 돈을 내놓으라는 것이었다.

이 웹 페이지의 DB는 6개월 전 랜섬웹 공격을 받아, DB가 모두 공격자의 암호화 키로 암호화되었다. 웹 페이지 관리자는 복호화 키를 갖고 있지 않아 DB를 정상적으로 복호화 할 수 없었다. 결과적으로 사용자들에게 정상적인 서비스를 제공할 수 없게 된 것이다.

 

확인 결과, 서버에 침투한 공격자들이 자신들의 암호화 키로 DB에 데이터를 암호화하여 저장하고, 암호화된 DB를 복호화하여 가져올 때 자신들의 암호화 키를 사용하도록 서버 스크립트의 일부를 수정해 놓았다. 

또한 사용자와 관리자를 속이기 위해 가장 중요한 데이터필드들만 암호화를 진행하여 서비스 속도저하를 최소화 하였으며, 암호화 키는 HTTPS로 접속이 가능한 원격 웹 서버에 저장해 놓았다. 

공격자들은 백업 서버의 DB들이 자신들의 암호화 키로 암호화 된 DB들로 채워질 때까지 기다린 후, 자신들의 원격 서버에서 암호화 키를 삭제해 버렸다. 암호화 키가 없는 DB들은 복호화가 불가능했으며, 결국 해당 웹사이트는 정상적인 서비스를 할 수 없게 되었다. 

랜섬웹은 랜섬웨어와 비교했을 때 암호화하는 데이터의 규모가 크고 가치가 높으며, 준비기간이 길다는 특징이 있습니다. 그렇기 때문에 피해자가 공격자의 요구에 응할 가능성이 더 높습니다. 하지만 랜섬웹 공격을 당하기 전에 먼저 공격 대상 서버가 공격자에게 뚫려야 한다는 전제조건이 있습니다. 

이러한 랜섬웹 공격을 방지하기 위해서는 서버 보안을 철저히 하여, 임의의 사용자가 서버의 권한을 탈취하지 못하도록 충분히 조치를 취해야 합니다.