1. 개요

얼마전 광풍처럼 몰아친 비트코인 많이 사용하고 계신가요? 기존 화폐의 대안으로 새롭게 떠오르고 있는 “가상화폐”, 관심이 많은 만큼 사회적으로 많은 부작용도 낳고 있습니다.

본편에서는 검찰청과 금감원의 수사사례를 통해 범죄유형을 알아보고 이를 통해 어떤점을 주의해야하는지 알아보겠습니다.

 

2. 범죄사례

1) 비트코인을 요구하는 대출사기

➀ 사기범은 고금리대출로 어려움을 겪는 대출수요자(피해자)에게 햇살론 등 정부정책상품으로 대환대출을 안내해 준다고 접근

- 대출을 받기 위해서는 과거 연체기록을 삭제해야 하다며 수수료 명목으로 편의점에서 비트코인을 구매하여 보낼 것을 요구

➁ 대출수요자는 시중 편의점에서 240만원 상당의 비트코인 선불카드를 구매한 후, 휴대폰 카메라로 영수증(선불카드와 동일)을 찍어 사기범에게 전송

 

< 대출 사기 흐름도 >

 

➂ 사기범은 전송받은 영수증에 기재되어 있는 비밀번호(PIN)를 이용하여 해당 거래소에서 비트코인을 현금화하여 잠적

- 영문과 숫자를 혼용한 20자리의 PIN번호가 기재

 

<비트코인 구매 영수증 (선불카드)>

 

2) 가상화폐를 내세운 유사수신

➀<가상화폐 사이트 운영자 A씨>는 강남, 대전 등지에서 1,000명이상 대규모 투자 설명회 및 12개 하부 거래소를 통해 자신들이 판매한 가상 화폐는 세계 최초로 일련번호가 있고, 시세가 절대 떨어지지 않고 오직 상승만 하여 원금 손실이 없으며, 한국은행· 금감원·공정거래위원회에서 인증받은 전자화폐로서 은행, 쇼핑몰, 게임사 등에서 현금처럼 사용할 수 있고, 인터넷 포털사 *** 등 대기업에서 투자를 하고 있다 라며 속여 투자자를 모집

➁<사이트 개발자 B씨>는 자신이 개발한 한국형 블록체인은 “보안 프로그램이 24시간, 360도 회전하는 방식으로 구동되며 약 1양 9천 100해개의 암호를 생성하여 해킹이 절대 불가능한 전자보안지갑”이고, 전세계 126개국에 특허 출원된 전문 기술이며, ‘다른 가상화폐와는 달리 시중 은행과 연계되어 있어 언제든지 현금처럼 사용이 가능하다’라고 피해자들을 속여 피해자 5,704명으로부터 약191억원 상당을 교부

➂ 가상화폐 채굴기 투자 사기조직 적발

- 미국에 본사를 설립하고 국내에 수개의 계열사를 만든 후 54개국 피해자 18,000여명을 대상으로 가상화폐 채굴기 판매 등으로 고수익을 보장한다고 속여 2,700억원을 편취한 사기조직 36명 적발, 18명 구속기소 ['17. 인천지검]

➃ 가짜 가상화폐 이용 370억원대 사기 업체 적발

- 비트코인을 모방한 가짜 가상화폐를 구입하면 7개월 만에 2배 이상의 고수익을 낼 수 있다고 속여 다단계 방식으로 피해자 약 12,000명으로부터 370억원을 편취한 가상화폐 판매업체 대표이사 구속 ['16. 수원지검]

➄ (B업체) ’○○회사‘는 해외에 서버를 둔 비트코인 구매 대행업체를 설립하고 투자자들에게 고수익을 주겠다며 투자자를 호도하여 피해자 3,916명으로부터 387억원의 투자자금을 편취

- 혐의업체는 ○○트레이딩 시스템으로 1계좌당 130만원을 투자하면 300일 뒤 원금의 180% 수익을 약속

- 피해자들은 대부분 가상통화에 대해 잘 모르는 중장년층으로, 혐의업체는 다단계 방식으로 투자자들을 모집하고 피해자들이 비트코인을 팔려고 하면 재투자를 유도

➅ 해외스포츠 도박을 가장

- (C업체) 투자설명회를 개최하여 남미에 본사를 두고 있는 스포츠 도박업체에 투자시 고수익을 얻을 수 있다고 투자자를 호도하여 35억원 상당을 편취

- 혐의업체는 해당 스포츠 도박업체가 배팅전문가 수백명을 통해 스포츠게임을 분석하고 있어 절대 손실이 발생하지 않는다고 주장

- 특히 이들은 비트코인을 사서 300만원을 투자하면 52주동안 매주 20만원의 배당을 받을 수 있다며 속이고 비트코인을 받아 자금추적 회피

※ 국내법에서 허용하지 않는 사이트나 배팅업체에 투자 또는 배팅하는 것은 불법

 

3. 주의사항

1) 대출사기

① (대출사기에 주의) 대출을 해 준다고 하면서 비트코인을 요구하는 것은 대출사기에 해당

- 금융회사는 대출시 소비자로부터 수수료 등 어떠한 명목으로도 현금이나 비트코인 등을 요구하지 않으며, 수수료를 받는 것은 불법

※ 소비자로부터 대출중개수수료를 받는 경우 3년이하의 징역 또는 3천만원 이하의 벌금에 해당 (『대부업 등의 등록 및 금융이용자보호에 관한 법률』 제19조(벌칙))

② (핀번호 노출에 유의) 비트코인 구매후 받은 영수증에 기재된 20자리의 PIN번호*는 비밀번호에 해당되므로 타인에게 노출되지 않도록 유의

※ 비트코인을 구매하거나 곧바로 현금화하는데 사용

③ (정상적인 대출업체 확인) 대출권유 전화를 받는 경우 『금융소비자정보포털』 파인(http://fine.fss.or.kr)에서 등록금융회사인지 여부를 먼저 확인*

※ 인터넷에서 파인 두 글자를 치고 “제도권 금융회사 조회/등록대부업체 통합조회” 메뉴에서 확인

④ (적극적으로 신고) 대출을 해 준다는 명목으로 수수료를 요구하는 대출사기 등 불법사금융 관련 문의나 신고사항은 금감원의「불법사금융피해신고센터(☏ 1332)」를 적극 활용

- 신고시 휴대폰 녹취, 사진, 목격자 진술 등 관련 증거자료를 함께 제출하면 수사당국의 수사진행에 도움

2) 유사수신

① (투자시 절대유의) 유사수신 업체는 사실상 수익모델이 없음에도 높은 수익과 원금을 보장한다고 하면서 배당수익 등을 지급하는 경우가 대부분

- 신규 투자자금을 기존 투자자에게 지급하는 소위 “돌려막기” 방식과 다단계 수법을 활용

- 특히 최근에는 가상화폐나 금융회사를 가장하면서 가격하락이나 손실없이 수익을 올리고 있는 것처럼 거짓 주장

② 금융감독원 '서민금융1332' 홈페이지를 통해 등록업체 여부 확인하고, 원금보장 내지 고수익을 약속하는 경우 사기 의심 필요

③ (제도권 금융회사 여부를 확인) 정상적인 금융회사는 주식이나 선물거래 등 특수한 매매기법을 통해 안정적인 고수익과 원금을 보장한다고 하면서 투자를 권유하지 않음

※ 투자대상 회사가 제도권 금융회사인지 여부를 『금융소비자정보포털』 파인에서 반드시 확인

④ (적극적 신고) 유사수신, 보이스피싱, 불법사금융 등 불법금융 행위로 인해 피해를 입거나 관련 내용을 알고 있는 경우에는 즉시 경찰서나 금융감독원의 「불법사금융피해신고센터(☏ 1332)」에 신고

※ 인터넷에서 파인 두 글자를 치고 “불법금융SOS” 메뉴에서 신고 가능

- 신고내용의 중요도 등에 따라 포상금 2백만원〜1천만원 차등 지급 예정

※ ‘17.7.12.부터 “가상화폐 등을 이용한 유사수신 행위”를 무기한 단속중

 

이와 같이 가상화폐와 관련된 투자나 거래를 할 경우 계약조건과 수익구조를 꼼꼼히 살펴보고, 가상화폐를 다단계로 판매하거나 고수익 및 원금을 보장한다며 투자금을 모집하는 경우 사기일 가능성이 높으니 각별히 주의하시기 바랍니다.

Posted by 대검찰청 사이버수사과

인터넷이 우리 생활의 중요한 요소가 되어가면서 해킹으로 인한 개인 정보 유출 등의 해킹 사고가 지속적으로 발생하고 있습니다. 많은 기업들에서 매년 보안을 위해 엄청난 돈을 투자하고 있지만 이러한 해킹 사고는 끊이지 않고 발생하고 있습니다. 그럼 어떻게 해야 이러한 해킹 사고를 줄일 수 있을까요?


해킹 사고가 발생하는 원인은 크게 2가지로 구분이 가능합니다. 이미 널리 알려진 보안취약점으로 인한 해킹, 알려지지 않은 취약점(제로데이 취약점)으로 인한 해킹이 그것입니다.

 

제로데이 취약점으로 인한 해킹 사고도 많이 발생하고 있지만, 대다수의 해킹 사고가 이미 알려진 보안 취약점을 악용한 공격에 의해 발생하고 있습니다. 2003년 1월 25일 발생했던 인터넷 대란(인터넷이 마비됨)이 이미 알려진 보안취약점에 의해 발생했던 해킹 사고의 대표적인 예입니다.

 

2003년 1월 25일에 발생했던 인터넷 대란은 마이크로소프트사의 데이터베이스 프로그램의 취약점을 악용한 공격이었습니다. 그 당시 해당 프로그램의 취약점으로 인해 IT강국을 자부하던 한국의 인터넷 망이 순식간에 전국적으로 마비되었으며 복구에 하루 정도의 시간이 소요되었습니다. 엄청난 피해를 입힌 해당 보안취약점은 사고가 발생하기 전인 2002년 7월과 12월에 2차례에 걸쳐 보안업데이트가 배포되었습니다. 배포된 보안 업데이트만 정상적으로 적용이 되었더라면 1.25 인터넷 대란과 같은 엄청난 피해는 발생하지 않았을 것입니다.

 

위의 사례를 통해서도 확인되었지만, 보안 업데이트를 적용하는 것만으로도 많은 보안적 이득을 얻을 수 있습니다.

 

그럼 보안 업데이트에는 어떤 것들이 있을까요? 일반적인 사용자들이 가장 먼저 떠올릴 보안 업데이트는 아마도 윈도우 보안 업데이트 일 것입니다. 하지만 보안 업데이트는 윈도우에만 있는 것이 아닙니다. 그 외에도 MS 오피스, 한컴 오피스, 여러 백신프로그램 등 많은 응용 프로그램들도 보안 업데이트를 진행하고 있습니다. 요즘은 오피스 같은 응용프로그램을 대상으로 하는 악성코드들이 많이 유포되고 있기 때문에 응용프로그램에 대한 보안업데이트도 필수입니다. 


보안 취약점들은 비정기적으로 발견되고 있습니다. 일반 사용자들이 이러한 취약점을 일일이 찾아서 보안 업데이트를 적용한다는 것은 결코 쉬운 일이 아닙니다. 그렇기 때문에 각 프로그램에서 제공하는 자동 업데이트 기능을 잘 활용하여야 합니다. 아래는 윈도우에서 제공하는 자동 업데이트 기능을 설정한 모습입니다.

 

 
자동 업데이트 기능을 잘 활용하여 정기적으로 보안 업데이트를 적용하여 좀 더 안전한 환경에서 인터넷을 사용하시기 바랍니다.

 

보안 업데이트는 몇 번을 강조해도 부족함이 없는 가장 중요한 보안 조치이자 기본이 되는 보안 조치입니다. 큰 돈 안들이고 해킹에 효과적으로 대응할 수 있는 가성비가 가장 좋은 보안 조치입니다.

Posted by 대검찰청 사이버수사과

근래 우리가 많이 쓰고 있는 클라우드 저장소는 2009년 7월 네이버에서 n드라이브란 이름으로 오픈베타 서비스를 시작하였으며 2012년 구글이 "구글드라이브"를 국내 런칭하였습니다. 이외 다음이나 SK, KT 등 많은 업체에서 클라우드 저장소 서비스를 제공하고 있으며 스마트폰의 대중화와 함께 많은 사람들이 사용 중입니다.

'클라우드 저장소'라는 용어가 생소한 분들도 이미 서비스를 쓰고 계신 경우가 많습니다. 일례로 휴대폰 기기를 변경해도 아이디 패스워드를 통해 이전 휴대폰에서 사용하던 사진, 앱, 문자 등이 그대로 옮겨지는 것도 클라우드 저장소를 통해 가능한 일입니다. 이 뿐만이 아닙니다. 지인들과 사진들을 공유할 때나 회사가 아닌 외부에서 업무를 볼 때 등 일상적으로 사용하고 있습니다.

 

2014년 초 영화 헝거게임의 주인공으로 유명한 제니퍼 로렌스 등 헐리우드 유명인들의 애플 아이클라우드에 저장한 개인적인 사진들이 인터넷에 유출된 사건이 있었습니다. 분석가들은 아이폰의 "내 아이폰 위치찾기" 기능의 패스워드 입력실패 제한이 없어 brute-force 공격에 의해 유출되었다고 하였지만 애플에서는 타겟형 공격으로 비밀번호 찾기 질문 등을 해커가 추측하여 계정이 유출되었다고 발표하였습니다.

 

그렇다면 애플의 문제이든 아니든 사용자가 유출을 막을 수 있는 방법은 없을까요?

 

<모바일 기기의 공유 설정 세분화>

모바일 기기를 처음 사용할 때 안드로이드 기기는 구글드라이브, 아이폰은 iCloud를 활성화 하도록 되어 있습니다.

두 기기 모두 아래 화면과 같이 사진이나 연락처, 앱 데이터 등 클라우드 업로드 여부를 세분화하여 설정 가능하므로 필요한 기능만 활성화 할 수 있습니다.

 

 

또한 평상시에는 기능을 꺼두고 기기 변경으로 인한 백업 등 필요한 경우에만 활성화 하는 방법이 있습니다.

운영체제와 연동된 클라우드 계정 뿐만 아니라 네이버드라이브와 같은 서비스도 자동업로드 설정 여부를 확인하여 필요하지 않은 것은 설정을 끕니다.

 

<공개용 계정과 인증용 계정의 분리>

많은 사용자 들이 SNS 등에 공개된 연락용 이메일 주소나 아이디를 그대로 모바일 기기 로그인 등에 사용합니다. 이를 분리하여 모바일 기기 인증용 계정을 따로 생성할 경우 공격자는 패스워드 뿐만 아니라 아이디도 알아내야 하므로 위 사례와 같은 brute-force 공격은 어렵습니다.

뿐만 아니라 만약에 여러 곳에서 같은 계정을 사용한다면 한 서비스에서 계정과 패스워드가 유출되었을 경우 공격자는 쉽게 다른 곳도 로그인할 수 있습니다.

 

<2차 인증 사용>

구글이나 마이크로소프트 뿐만 아니라 국내 네이버와 다음 등 인터넷 서비스 회사들은 대부분 모바일 OTP 앱 등을 사용한 2차 인증 기능을 제공합니다. 이를 활성화 할 경우 아이디 패스워드가 유출되어도 계정을 보호 할 수 있습니다.

 

< 네이버의 OTP 설정 화면>

 

< 다음카카오의 OTP 설정 화면>

 

<개인정보의 중요성 인식>

간혹 "내 계정을 털어가서 뭘 하겠어" 라며 대수롭지 않게 여기시는 분들도 있습니다. 주민등록번호나 휴대폰 번호가 아니더라도 이렇게 유출된 사진이나 문서 등은 누군가에게 유용하게 쓰일 수 있습니다. 직업이나 가족구성원 등을 파악하여 보이스 피싱에 활용한다거나 주변사람들에게 피해자의 지인인 것처럼 접근하여 다른 범죄에 사용할 수 있습니다.

또한, 개인적인 자료 뿐만 아니라 회사나 다른 기관의 문서들은 클라우드에 업로드 하는 것 만으로도 사내 규정이나 법을 위반하게 될 수 있습니다. 더욱이 중요한 자료일 경우 유출사고 발생 시 해당 회사는 큰 피해를 입게 됩니다.

 

위에 따로 언급하지는 않았지만 주기적인 비밀번호 변경이나 운영체제의 업데이트 등은 모두 기본적으로 알고 계실거라 생각합니다. 편리한 클라우드저장소 서비스, 모두 안전하게 사용하시기 바랍니다.

Posted by 대검찰청 사이버수사과

랜섬웨어에 감염 되었다면,

이번 편에서는 랜섬웨어에 감염된 경우 피해자 입장에서 어떻게 대응 하는게 가장 현명한 것인지 알아보겠습니다.

 

피해자는 우선 피해 자료를 산정하는 것이 필요합니다. 암호화된 파일 중 백업장치, 동기화된 다른 기기, 이메일, 제3자(협업대상) 등에서 대체할 수 있는 파일을 확인할 수 있는 것이 있는지 검토합니다. 중요 파일을 이 과정에서 살릴 수 있다면, 가장 좋습니다.

다음으로 해볼 수 있는 것은 공개된 랜섬웨어 복구 정보를 이용하는 것 입니다. 랜섬웨어의 복호키를 재사용하는 경우나 복호키 관리에 허점이 있어, 보안 전문업체에서 복호키를 공개한 경우 등의 일부 랜섬웨어는 복호화 방안이 공개되어 있습니다. 대표적인 사이트가 No More Ransomware(NMR, www.nomoreransom.org)입니다. 이 사이트는 2016. 7. 세계 각국 사법기관과 민간 보안기업에서 공동 파트너로 참여하여 랜섬웨어 피해 확산 방지를 위한 프로젝트 차원에서 만들어졌습니다. 전 세계적으로 가장 많은 양의 복구 방안을 제공하고 있습니다.

 

그 외 보안기업도 아래와 같이 랜섬웨어 전용 페이지를 생성하여 대응하고 있습니다.

- 이스트소프트 : http://www.estsecurity.com/ransomware#decryption

- 안랩 : http://www.ahnlab.com/kr/site/securityinfo/ransomware/index.do

- 한국랜섬웨어침해대응센터 : https://www.rancert.com/bbs/bbs.php?bbs_id=rest

- 카스퍼스키 : http://support.kaspersky.com/viruses/utility

- 트렌드마이크로 : http://www.trendmicro.co.kr/kr/tools/index.html

 

위 방법으로 충분치 않다면, 조금 고통스러운 결정을 내려야 합니다. 앞서 살펴본 바대로 몸값을 지불 하더라도 약 20%의 피해자는 파일을 정상적으로 복구하지 못합니다. 하지만 피해자 입장에서 그럼에도 불구하고 몸값을 지불할지 선택해야 합니다.

여기서 몸값을 지불하기로 선택했다면, 다시 직접 복구를 할지 대행업체의 도움을 받을 것인지 선택해야 합니다. 양심 있는 랜섬웨어 전문 대행업체의 경우 자신들이 이미 확보한 복호키로 암호가 해제가 될 경우 저렴하게 복구를 해주기도 하지만, 일부 대행업체는 피해자들의 간절한 심정을 빌미로 추가 피해를 입히기도 합니다. 본 글에서는 몸값을 지불하는 방법에 대해서는 기술하지 않습니다.

그 이후에 할 수 있는 일

우선 복구가 된 파일이 있다면, 다른 저장장치에 백업을 진행하고, 감염되었던 시스템은 공장초기화 등을 통해 새로이 해야 합니다. 감염된 시스템에서의 사용 여부와 상관없이 사용하던 모든 서비스의 계정정보도 모두 갱신합니다. 암호화 되었던 자료는 유출 가능성도 있는 자료이기 때문에, 모두 외부에 노출되었다는 가정 하에 후속 조치를 대응해야 합니다. 그 이후의 사항은 이전 편에서 말씀 드린 ‘사이버 위생 수칙’에 따릅니다. 또한, 피해상황을 수사기관에 신고하여 추가 피해자를 방지하고, 공격자를 추적하도록 합니다.

수사기관의 대응현황

랜섬웨어 피해가 급증함에 따라, 우리과를 비롯한 다양한 수사기관이 대응 방안을 고심하고 있습니다. 앞서 살펴본 바와 같이 유로폴, 네덜란드 경찰청 등에서 노모어랜섬(NMR) 프로젝트를 전 세계적으로 열어두고 공개 대응하고 있으며, 최근 벌어진 워너크라이 사태의 수사를 위해 인터폴에서 전 세계 수사기관들의 공조 회의를 추진하여 사후 대책을 마련하고 있습니다.

첫 회에서 살펴본 바와 같이 랜섬웨어는 익명인터넷(TOR)과 가상화폐가 결합되지 않는다면, 위협적인 사이버 공격이 아닙니다. 우리 과는 일반 사이버공격의 대응 능력을 강화하는 한편, 블록체인 기반의 가상화폐 악용에 대응하기 위해 블록체인 기반 수사 기법을 연구하여 대응하고 있습니다. 최근에는 범죄에 이용된 가상화폐 추적을 위해 필요한 정책 연구과제 또한 수행하고 있습니다.

다른 사이버공격에 비해 랜섬웨어는 공격 성공과 수익이 직접적으로 연결된 공격입니다. 일부 사이버공격에서 테러형으로 맞춰 사용되기도 하지만, 대부분의 랜섬웨어는 금전을 노린 공격일 수밖에 없습니다. 우리과에서는 블록체인 분석을 통해 다양한 형태의 가상화폐 추적 회피 대응 기술을 연구하여 수사를 지원하고 있으며, 국내에서 제작하거나 유통시키는 랜섬웨어 관련 채널 역시 적극 수사 지원하고 있습니다.

 

본 특집에서 3편에 걸쳐 살펴본 바와 같이 랜섬웨어의 위험은 매우 심각하고, 이미 우리 실생활에 깊숙이 영향을 끼치고 있습니다. 하지만, 이와 같은 위험의 이면에는 사이버 보안의 중요성을 간과하고, 사이버 위생 생활을 게을리 했던 작은 습관이 있었습니다. 최근에 대유행하고 있는 랜섬웨어 사태를 교훈삼아 사용자 스스로 자신의 자산을 보호하기 위해 사이버 위생 습관의 중요성을 느끼는 계기로 삼으면 좋겠습니다.

Posted by 대검찰청 사이버수사과

랜섬웨어의 주요 감염경로

앞에서 살펴본 바와 같이 랜섬웨어에 감염되면, 인생에 아주 안 좋은 경험을 하게 됩니다. 이번 편에서는 랜섬웨어의 일반적인 감염 방법을 알아보고, 예방할 수 있는 방법을 알아보겠습니다.

우선 가장 위협적인 방법이 취약한 웹사이트를 해킹해서, 방문자들을 랜섬웨어에 감염시키는 것입니다. 우리나라에서는 작년(`16. 6.), 인기 인터넷커뮤니티의 광고채널을 해킹하고, 이를 통해 랜섬웨어가 유포되었던 사건이 대표적입니다.

이와 같은 공격은 사용자가 해당 사이트를 방문하는 것만으로도 랜섬웨어에 감염될 수 있어 매우 효과적인 공격입니다. 다만, 프로그램 취약점을 이용하기 때문에, 방문자가 사용하는 운영체제와 인터넷 브라우저 등에서 취약점이 유효해야만 감염되는 제한이 있습니다.

다음 방법은 웹하드, P2P사이트, 토렌트 등의 파일 공유사이트에서 랜섬웨어를 묶은 파일을 유통시켜 감염시키는 방법입니다. 대부분 불법 영화나 야동을 다운로드 받고 시청하려다가 감염됩니다.

문자, 카카오톡, 페이스 북 등과 같은 소셜네트워크 서비스(SNS)를 통해 지인으로 위장하여 랜섬웨어 감염 링크를 전송하는 것으로 유도하는 것도 주요 감염방법 중에 하나입니다. 이러한 감염은 주로 모바일 기기를 노릴 때 자주 사용됩니다.

사용자의 이메일을 통해 ‘회식’, ‘이력서’, ‘영수증’, ‘보안자료’ 등의 키워드를 포함하는 피싱 메일에 랜섬웨어 악성코드를 첨부하여 공격하는 스피어피싱(Spear Phishing) 기법도 널리 사용되는 방법입니다.

마지막으로 사용자PC가 있는 주변 네트워크 환경에 먼저 침투한 후 신뢰된 기기의 이점을 활용하여 공격하는 방법이 있습니다. 즉, 스스로 아무리 조심하여도, 일반적으로 같은 직원의 PC는 믿고 열어주기 때문에 옆자리 직원이 감염되면, 그 직원의 기기를 발판 삼아 나머지 직원 공격이 용이하다는 것입니다.

크게 5가지 감염 경로에 대해 알아보았는데, 대부분 최종적으로는 사용자의 실행을 유도하는 방법으로 공격을 하는 점이 특징입니다. 따라서 사용자가 충분히 주의한다면, 랜섬웨어를 비롯한 다양한 바이러스(악성코드)의 감염을 상당 부분 예방할 수 있습니다.

 

감염경로별 대응 방안

1. 취약한 웹사이트를 해킹하고, 방문자들을 랜섬웨어에 감염

이 경우는 방문자 입장에서 속수무책인 것 같지만, 운영체제, 브라우저, 그리고 주요 인터넷 모듈 관련 업체들에서 꾸준히 알려진 취약점을 패치하고 있습니다. 따라서 기본인 것이 지속적이고 신속한 패치입니다.

알려지지 않은 취약점을 공격하는 ‘제로데이(0-Day)’ 공격은 매우 위협적이지만, 공격자 입장에서는 많은 비용과 시간이 소비되고 안정화되어 있지 않으므로, 실제 사이버공간에서 공격이 빈번하게 발생한 것은 이미 취약점 패치가 공개된 상태에서, 패치가 적용되지 않은, 시스템을 공격하는 ‘원데이(1-Day)’, ‘올드데이(Old-Day)’ 공격입니다.

그럼에도 불구하고, 취약한 웹사이트를 통한 공격이 있을 수 있기 때문에 위험해 보이는 웹사이트 방문은 자제할 필요가 있습니다.

2. 파일 공유사이트에서 랜섬웨어를 묶은 파일을 유통시켜 감염

디지털컨텐츠가 정상유통 채널이 아닌 곳에서 유통되고 있다면 해당 파일은 대부분 높은 위험성을 내포하고 있기 때문에, 파일 공유사이트 등을 아예 이용하지 않는 것이 좋습니다.

3. 소셜네트워크 서비스(SNS)를 통해 지인으로 위장하여 랜섬웨어 감염 링크를 전송

지인이 보낸 링크라고 하여도, 열람하지 마시고 열람이 반드시 필요한 사항인 경우 전화나 대면 등의 다른 채널을 통해 확인 후 열람하는 것이 좋습니다.

4. 피싱 메일에 랜섬웨어 악성코드를 첨부하여 공격하는 스피어피싱(Spear Phishing)

스피어피싱을 방지하는 것은 현실적으로 매우 어렵습니다. 다만, 기본적으로는 외부에서 수신되는 메일은 독립된 환경에서만 열람해야 합니다. 또한, 첨부파일이 있는 경우 웹브라우저나 메일클라이언트를 통해 직접 열람하지 마시고, 다운로드 이 후 백신소프트웨어 사전검사를 한 후에 열람하시길 권장합니다.

5. 신뢰된 기기의 이점을 활용한 공격

가급적 같은 직원이 연결을 요청하더라도 차단하고, 사용자의 접속 계정, 비밀번호를 위임하지 말고 관리하여야 합니다. 또 1항과 마찬가지로 운영체제 패치를 지속적이고 신속하게 하면 원하지 않는 악성프로그램 감염을 예방할 수 있습니다.

 

사이버 위생 수칙

사실, 위에서 살펴 본 ‘랜섬웨어 주요 감염경로’는 비단 랜섬웨어에 국한된 내용이 아니고 대부분의 악성프로그램에도 해당되는 내용입니다. 따라서 아래 정리한 행동수칙을 지키며 인터넷 서비스를 사용한다면, 대부분의 사이버위협에 면역이 생길 것입니다.

1. 운영체제, 브라우저, 백신 등 주요 프로그램의 패치를 지속적이고 신속하게 한다.

2. 정상 유통 채널이 아닌 파일 공유사이트 등을 사용하지 않는다.

3. SNS, 이메일로 송부된 링크는 송부한 사람에게 다른 채널로 확인하기 전에 열람하지 않는다.

4. 첨부파일은 반드시 백신으로 검사한 후 열람한다.

5. 사용자의 비밀번호는 복잡하게 설정하고, 잘 관리한다.

6. 중요 자료는 정기적으로 분리된 저장매체에 백업한다.

랜섬웨어에 감염되어, 파일이 납치되면 그 복구가 매우 어려울 뿐만 아니라, 현실 세계에 매우 심각한 영향으로 돌아올 수 있습니다. 인터넷서비스를 사용할 때에는 위생 수칙을 습관화하여, 랜섬웨어 등의 사이버위협을 멀리 하실 수 있길 바랍니다.

Posted by 대검찰청 사이버수사과

랜섬웨어에 대하여,

"이대로 가다간 막대한 피해로 이어질 수 있다"...카보나이트(IT월드, `16. 9. 22.)

지구촌 '랜섬웨어' 피해 속출...국내 기업 7곳도 '공격당해'(경향신문, `17. 5. 14.)

전세계 랜섬웨어 '사이버 쇼크'…"피해 최소 7만5000건"(조선일보, `17. 5. 17)

 

최근에 자주 들려오는 랜섬웨어 사고 소식은 더 이상 ‘컴퓨터 덕후(?)’에게만 한정되는 뉴스가 아닌 것이 되었습니다. 랜섬웨어는 무료 소프트웨어를 찾거나, 야동 혹은 불법 영화를 다운로드 받아야만 감염되는 것이 아닙니다. 아무런 행동을 하지 않았지만, 혹은 특별히 경솔히 행동한 적이 없었음에도 어느 순간 랜섬웨어의 피해자가 될 수 있습니다.

랜섬웨어의 평균 요구액은 약 300만원입니다. 본 특집기사에서는 다양한 각도로 랜섬웨어를 조명해보고, 감염 예방을 위한 올바른 ‘사이버 위생수칙’을 제시하여, 어쩌면, 낭비하게 될 여러분의 300만원을 절약해 드리겠습니다.

랜섬웨어란, 몸값(Ransom)과 소프트웨어(Software)의 합성어로 시스템에 접근할 수 없도록 키보드 마우스 혹은 화면을 차단하거나 사용자의 파일(데이터) 등을 암호화해 사용할 수 없도록 하고, 이를 인질로 금전을 요구하는 악성 프로그램(≒컴퓨터바이러스)을 말합니다.

 

랜섬웨어의 진화

태동기, 차단형 랜섬웨어

자신을 숨기고 감염 사실을 최대한 노출되지 않으려 많은 노력을 하는 일반적인 컴퓨터 바이러스와 다르게 랜섬웨어는 감염이 완료된 후 스스로를 드러내기 때문에 공격자 입장에서 상당히 과감한 공격 방법입니다. 초창기 랜섬웨어는 불법적인 행위를 하는 사용자들을 대상으로, 수사기관으로 사칭하고 단순히 컴퓨터 화면을 잠그거나, 인터넷 검색을 제한하는 등 데이터에 대한 접근을 차단하는 방식으로 몸값(랜섬)을 요구하는 수준 이였습니다.

1998년 AIDS Trojan(에이즈 트로이안, PC Cyborg)이 의료산업계에 대유행(90개국에 걸쳐 2만여개 디스크 감염)한 것을 시작으로, 위와 같은 차단형 랜섬웨어가 세상에 알려지게 되었습니다. 2012년 알려진 Reveton(레베톤)이 대표적인 차단형 랜섬웨어입니다. Reveton은 수사기관을 사칭하는 감염 화면 때문에 Police Trojan(경찰 트로이안)으로 널리 알려져 있습니다. 이와 같은 방식에서는 몸값을 입금받기 위한 정보가 포함되어 있기 때문에 수사기관에 의한 추적이 용이할 뿐만 아니라, 데이터에 대하여 전문적으로 깊이 있게 접근할 경우 바이러스를 손쉽게 우회할 수 있어 몸값 수금 확률이 매우 낮았습니다.

성장기, 비밀형(암호화) 랜섬웨어

이렇게 랜섬웨어가 태생적으로 가지고 있는 모순적인 특징으로 인해 널리 주목받지 못하였지만, 꾸준히 발전을 해왔습니다. 우선, 효과적인 인질극을 위해 공격자 의사에 반하여 피해복구가 되지 않도록 데이터 암호화 기법을 탑재하여 악성프로그램의 기능을 개량하였습니다. 다음으로, 익명 인터넷(TOR, The Onion Router) 이용하여, 피해자와 협상하기 위한 창구를 안전하게 확보 하였습니다. 랜섬웨어 제작자는 익명 인터넷을 통해 피해자에게 몸값을 지불할 입금 정보를 제공하고, 암호화된 파일을 복구하기 위한 도구와 복호키를 제공합니다. 마지막으로 몸값의 지불 방식을 추적이 어려운 가상화폐 이용하기 시작하며, 몸값 수금 확률이 비약적으로 높아지고 그로 인해 많은 사이버범죄자들이 너도나도 랜섬웨어 분야에 뛰어들기 시작 하였습니다. 물론, 이 과정에서 초창기 등장한 랜섬웨어는 복호키 관리의 문제가 있어 감염된 PC 분석으로 파일을 복구할 수 있었지만, 최근에 발견되고 있는 랜섬웨어는 이러한 취약점이 없는 구조로 정교하게 구성되어 있어, 공격자만 가지고 있는 복호키가 이는 복구가 되지 않는 경우가 대다수입니다. 바야흐로 랜섬웨어 르네상스 시대로 접어들은 것이지요.

부흥기, 맞춤형 랜섬웨어

랜섬웨어 공격자는 보다 높은 수익률을 위해 더 돈이 많은 피해자들을 노리기 시작 하였습니다. 회사나 병원 등이 가지고 있는 주요 정보를 암호화하고, 복호키 제공을 대가로 큰 금액의 몸값을 요구합니다. 게다가 개인적인 데이터를 암호화하는 것이 몸값 수금 확률을 올릴 수 있다는 사실을 깨닫자, 이제는 PC와 더불어 휴대폰과 같은 모바일 기기를 노린 랜섬웨어가 기승을 부리고 있습니다.

이와 같은 맞춤형 랜섬웨어는 기기에 대한 접근권한을 획득한 이후 이뤄지기 때문에 몸값을 지불하고 복호화 된다고 하여도 이미 데이터가 유출된 상태일 가능성이 높아 2차, 3차 피해로 이어지는 매우 심각한 공격으로 분류됩니다.

 

 

랜섬웨어의 위력

휴대폰에 랜섬웨어가 감염되면, 기기를 공장 출고 상태로 초기화 하지 않고서는 정상적으로 복구하기 어렵습니다. 이 경우 휴대폰에 저장된 모든 연락처에 랜섬웨어를 추가로 발송하기 때문에 피해가 빠르게 확산됩니다. 최근에는 냉장고, 에어컨, 스마트TV 같은 IOT기반 장비들을 장악하고, 이를 인질로 매우 높은 몸값을 요구하기도 합니다.

최근 한 중소기업은 랜섬웨어에 감염되어 약 3,400여 고객사의 데이터가 암호화 되었고, 그 복구 비용을 감당하고자 회사를 매각하여 해커에게 약 13억 상당의 몸값을 지불하였지만, 해커가 제공한 복호키로 데이터 전체가 복구되지 않아, 곤혹을 겪고 있습니다. 사실 몸값을 정상적으로 지불한 피해자들 중 20%는 파일 복구에 실패하고 있습니다.

뿐만 아니라 워너크라이 사태(`17. 5. 12.)로 국내 유명 극장 상영 시스템과 지하철, 버스 안내 시스템에 영향을 주는 등 랜섬웨어에 의한 피해가 실생활로 파고들고 있는 실정입니다. 또한, 영국에서는 워너크라이 랜섬웨어로 인해, 국민건강서비스 산하 40여개 병원에서 진료에 차질을 빚는 등 그 사회적 심각성이 높아지고 있습니다.

랜섬웨어에 감염된 피해자는 심리적으로 공격자에게 의존할 수밖에 없는 서글픈 신세가 됩니다. 인터넷서비스를 이용하는 모두가 피해자가 될 가능성이 있기 때문에 감염 예방에 많은 노력을 기울여야 합니다.

다음 편에서는 랜섬웨어 감염을 예방하기 위해 주요 감염 경로와 공격 시나리오를 알아보고, 간단히 지킬 수 있는 사이버 위생수칙을 소개 하겠습니다.

Posted by 대검찰청 사이버수사과

개인정보보호법에 의해 개인정보처리자(업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등)는 홈페이지의 '개인정보 처리방침'을 통해 '권익침해 구제방안'을 안내하고 있습니다.

 

개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해 신고센터 등에 침해사실을 신고할 수 있고, 분쟁해결이나 상담은 개인정보 분쟁조정위원회 등에 신청할 수 있습니다.


① 개인정보 침해신고센터 : (국번없이) 118 (
http://privacy.kisa.or.kr)
② 개인정보 분쟁조정위원회 : 02-2100-2499 (
http://kopico.go.kr)
③ 대검찰청 사이버수사과 : (국번없이) 1301
(http://spo.go.kr)
④ 경찰청 사이버안전국 : (국번없이) 182 (
http://cyberbureau.police.go.kr)

 

또한, 개인정보의 열람, 정정·삭제, 처리정지 등에 대한 정보주체자의 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익을 침해 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다. ☞ 중앙행정심판위원회 (www.simpan.go.kr)

Posted by 대검찰청 사이버수사과

개인정보보호법에 의해 개인정보처리자(업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등)는 홈페이지의 '개인정보 처리방침'을 통해 '권익침해 구제방안'을 안내하고 있습니다.

 

개인정보에 관한 권리 또는 이익을 침해받은 사람은 개인정보침해 신고센터 등에 침해사실을 신고할 수 있고, 분쟁해결이나 상담은 개인정보 분쟁조정위원회 등에 신청할 수 있습니다.


① 개인정보 침해신고센터 : (국번없이) 118 (
http://privacy.kisa.or.kr)
② 개인정보 분쟁조정위원회 : 02-2100-2499 (
http://kopico.go.kr)
③ 대검찰청 사이버수사과 : (국번없이) 1301
(http://spo.go.kr)
④ 경찰청 사이버안전국 : (국번없이) 182 (
http://cyberbureau.police.go.kr)

 

또한, 개인정보의 열람, 정정·삭제, 처리정지 등에 대한 정보주체자의 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익을 침해 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다. ☞ 중앙행정심판위원회 (www.simpan.go.kr)

Posted by 대검찰청 사이버수사과

구글, 마이크로소프트, 네이버, 다음 등 이메일 서비스의 보안담당자를 사칭하며 피싱 이메일을 보낸 후 비밀번호를 탈취하는 피싱공격이 발생하고 있습니다.

공격자가 보내온 이메일 메시지에는 아래 그림과 같이 "누군가 대상자의 계정에 정상적이지 않은 로그인 시도를 하고 있으니 비밀번호를 변경하라"는 내용이 있습니다.

 

 

 

그러나, 사용자가 이메일 본문에 포함된 비밀번호 변경 버튼(또는 링크)을 클릭하는 순간,

공격자가 미리 개설해 놓은 피싱 사이트로 연결되어 피해자가 입력하는 이메일  ID와 비밀번호가 고스란히 유출됩니다.

 

비밀번호가 유출된 피해자는 똑 같은 비밀번호를 여러 인터넷 계정에 동일하게 사용하는 경우, 더욱 큰 피해위험에 노출될 수 있습니다.

 

이와 같은 계정 비밀번호 탈취 피싱 피해를 줄이기 위해서는

(1) 이메일 본문에 포함된 "비밀번호 변경 버튼" 등 링크를 클릭하기 전에 컴퓨터 화면 좌측 하단에 표시되는 링크주소(URL)를 유심히 확인합니다. 구글 등 정상적인 사이트의 URL이 아닌 피싱사이트의 URL로 의심되는 경우 클릭하지 않습니다.

만일, 링크주소(URL)가 피싱사이트의 것인지 확신이 안 선다면, 이메일 본문을 통해 비밀번호를 변경하지 마시고, 해당 서비스의 공식 홈페이지에 직접 접속한 후 비밀번호를 변경하시기 바랍니다.

(2) 상용 이메일 서비스의 경우 본인 계정에 대한 최근 접속내역을 확인할 수 있는 기능이 있으므로 제3자의 임의접속여부를 수시 확인합니다.

(3) 비밀번호를 수시로 변경하고, 똑같은 비밀번호를 여러 인터넷 계정에 동일하게 사용하지 않습니다.

Posted by 대검찰청 사이버수사과

최근 보이스피싱 범죄자들이 피해자들로하여금 자신들이 검찰공무원이라고 믿게 하기 위해 대검찰청 홈페이지의 온라인 민원실에 범죄신고를 하도록 유도하는 수법이 사용되고 있습니다.

 

만약, 검찰수사관이라며 아래와 같은 내용을 요청한다면 보이스피싱 시도이므로 유의하시기 바랍니다.

 

"현재 금융사기 현행범을 체포하여 조사 중인데, OOO씨 명의로 개설된 계좌가 범죄에 이용되고 있어 OOO씨는 피의자 조사를 받아야 합니다. OOO씨가 형사처벌을 면하기 위해서는 대검찰청 홈페이지의 온라인민원실에 접속하여, 범죄에 연루되지 않았다는 사실을 소명하고, 범죄 신고해야 합니다."

 

"OOO씨 명의로 개설된 계좌에 보관 중인 돈이 위험에 노출되어 있으니 사건이 끝날 때까지 OO은행 계좌에 잠시 보관해야 안전하며, 사건이 끝나면 다시 돌려드리겠습니다."

 

검찰청에서는 어떠한 경우에도 전화상으로 일반인에게 통장 비밀번호 등의 금융정보를 요구하거나 타 계좌로 금전 이체를 요구하지 않습니다. 보이스피싱으로 인한 피해가 발생하지 않도록 각별한 유의 바랍니다.

 

 

Posted by 대검찰청 사이버수사과


티스토리 툴바