테크레시피

랜섬웨어 10종 비교, 얼마나 빨리 파일 암호화할까

랜섬웨어(ransomware)는 감염된 컴퓨터 파일과 디렉터리에서 유효한 대상을 선택하고 암호화하는 악성코드로 공격자는 해독키와 교환해 몸값을 지불해야 한다. 랜섬웨어는 빨리 발견될수록 피해 규모가 작아지기 때문에 랜섬웨어를 구현하는 공격자 전략으로는 감염된 머신 데이터를 얼마나 빨리 암호화하는지가 중요하다. 보안 기업 스플렁크(Splunk)는 10가지 랜섬웨어로 암호화 속도를 측정해 결과를 발표했다.

스플렁크 연구팀은 랜섬웨어 10종(LockBit, Babuk, Avaddon, Ryuk, REvil, BlackMatter, Darkside, Conti, Maze, Mespinoza)을 10개 샘플씩 준비하고 4종류 표적 프로파일에 대해 암호화 테스트를 실시했다. 테스트에 사용한 머신 운영체제는 윈도10과 윈도 서버 2019로 하드웨어 구성은 현실에서 기업이 사용하는 걸 사정하고 구성했다. 또 암호화 대상으로는 합계 53GB 분량 9만 8,561개 파일이 준비되어 있다.

암호화 테스트 결과를 정리한 걸 보면 100개 랜섬웨어 샘플 테스트를 통해 9만 8,561개 파일을 암호화하는데 걸리는 시간 중앙값은 42분 52초였다. 가장 빠른 암호화는 락빗(LockBit)이었고 10개 샘플 평균은 5분 50초였다. 100종류 샘플 전체에서 가장 암호화가 빠른 것도 락빗으로 윈도 서버 2019 환경 테스트에서 불과 4분 9초 만에 암호화를 끝냈다.

또 10개 샘플 평균으로 가장 시간이 걸린 건 메스피노자(Mespinoza)로 기록은 1시간 54분 54초였다. 또 샘플 전체에서 가장 시간이 걸린 건 바둑(Babuk) 샘플로 윈도10 환경 하 테스트로 3시간 35분 8초라는 시간을 기록했다.

스플렁크에 따르면 랜섬웨어 활동을 탐지하기 위해선 감염으로부터 평균 3일이 걸린다고 한다. 이번 실험 결과에서 대부분 랜섬웨어가 감염으로부터 1시간 이내에 암호화에 성공했기 때문에 스플렁크는 랜섬웨어를 검출하고 암호화되기 전에 대처하는 대책은 비현실적이라고 주장하고 기업은 인시던트 대응보다 랜섬웨어 감염 방지를 중시해야 한다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.

이원영 기자

컴퓨터 전문 월간지인 편집장을 지내고 가격비교쇼핑몰 다나와를 거치며 인터넷 비즈니스 기획 관련 업무를 두루 섭렵했다. 현재는 디지털 IT에 아날로그 감성을 접목해 수작업으로 마우스 패드를 제작 · 판매하는 상상공작소(www.glasspad.co.kr)를 직접 운영하고 있다. 동시에 IT와 기술의 새로운 만남을 즐기는 마음으로 칼럼니스트로도 활동 중이다.

뉴스레터 구독

Most popular