온라인수색 이용 랜섬웨어 조직의 가상자산 압수방안

온라인수색 이용 랜섬웨어 조직의 가상자산 압수방안

랜섬웨어란 Ransom몸값과 Ware제품의 합성어로서 악성코드의 일종입니다. 해당 악성코드에 감염시 컴퓨터 시스템에 접근이 제한되거나 저장된 문서나 사진동영상 파일이 암호화되어 사용할 수 없게 되며, 해커는 이에 대한 해제 대가로 금품을 요구합니다. 랜섬웨어는 2005년 진지하게 대량 출몰하기 시작하였으나, 최근 들어 전 세계적으로 발생이 급증하고 있는 상황입니다. 국내에서는 15년 4월 인기 홈페이지 홈페이지 광고창을 통해 한글화된 랜섬웨어가 처음 대규모로 유포되었으며, 이후 지속해서 피해가 급증하는 추세입니다.

17년 들어서는 해외 100여국 국가에서 12만대 이상의 PC를 감염시킨 워너크라이 랜섬웨어를 비롯하여, 에레베스, 페트야 등 신종 랜섬웨어가 지속해서 등장하여 전 세계적으로 큰 피해가 발생하였습니다.

결과 분석 및 한계

가상 자산 압수는 수사관의 PC나 범죄자의 PC에서 할 수 있는데, 범죄자 PC에서 압수 진행을 하면 시간은 빠르나 수사 과정을 적발당할 수 있다는 위험이 있어서 수사관의 PC에서 지갑을 복원하여 압수하는 것이 안정적입니다. 하지만 수사관의 PC에서 얻어낼 수 있는 복원 정보로만으로는 지갑 복원에 어느정도 한계가 따른다. 따라서 니모닉 코드, 지갑 비밀키, 가상자산 비밀키까지의 복원 정보를 획득하여 수사관 PC에서 지갑을 복원하고 압수하는 방안을 알아볼 것이 요구됩니다.

가상자산 압수 기술로는

1. 클러스터링 기술을 통해 시각화 그래프나 머신러닝 기법을 결합시킨 시스템 제안 트랜잭션의 거래 구조나 행동 특징을 고려하지 않은 가상자산의 추적을 문제제기 하였고, 이에 대한 솔루션으로 트랜잭션의 거래 패턴과 속성을 복합적으로 고려한 방안을 제시하였습니다. 또한 트랜잭션에 이용한 주소들을 하나로 고정하다 자금의 흐름을 해석하는 방안을 다음과 같이 제시했다. 1 주소 휴리스틱 2 주소 및 트랜잭션 머신러닝 3 그래프 분석 기법 2. Petri Net 기반의 비트코인 거래 분석 방법을 제안 비트코인 트랜잭션에서 19개의 특성을 추출하여 정의한 규칙 집합으로 의심이 가는 비트코인 거래 주소를 특정하는 방법입니다.

랜섬웨어 접근 원천 방지 프로세스로 문서 보호

문서중앙화는 회사에서 개발된 모든 문서를 개인의 업무용 PC가 아닌 중앙 서버에만 저장하도록 저장 경로를 단일화시킨 솔루션입니다. 이때, 화이트리스트Whitelist 계획을 사용하여 운영자가 사전에 등록한 업무 시스템 등 허가된 프로세스만 서버에 접근할 수 있도록 허용하고, 리스트에 없는 프로그램, 즉 랜섬웨어 등 악성 프로그램의 실행은 거부합니다. 그렇기 때문에 악성 프로그램은 중앙 서버에 접근할 수도, 저장될 수도 없죠.

또, 가상 드라이브를 기반으로, 문서 작업 시 로컬 임시 보안 영역인 샌드박스(Sandbox)에서 프록시 데이터를 수정한 뒤 업로드합니다.

방지 및 대응

보안 업데이트 시스템 및 소프트웨어를 최신 상태로 유지하고 보안 업데이트를 시행하여 새로운 취약점으로부터 보호합니다. 백업 주기적으로 중요한 데이터를 안정되는 관련해 백업하고, 백업 데이터의 무결성을 확인합니다. 사용자 교육 피싱 공격 및 악성 링크를 인식하는 교육과정을 받은 사용자는 랜섬웨어에 노출될 위험이 줄어듭니다. 보안 소프트웨어 강한 안티바이러스 및 악성 코드 방지 소프트웨어를 사용하여 기기를 보호합니다.

LockBit과 같은 랜섬웨어에 대한 예방은 늘 중요하며, 효과적인 백업 및 보안 정책을 구현하여 기업 및 기기를 보호하는 것이 필요합니다.

자주 묻는 질문