크립토 랜섬웨어는 주로 피싱 이메일을 통해 전파됩니다. 공격자들은 정상적인 비즈니스 이메일로 위장하여 문서 파일이나 압축 파일을 첨부합니다. 이러한 첨부파일은 매크로가 포함된 Word나 Excel 파일인 경우가 많으며, 사용자가 매크로를 활성화하면 랜섬웨어가 다운로드되고 실행됩니다. 특히 인보이스, 배송 알림, 세금 관련 문서로 위장한 이메일은 사용자의 호기심을 자극하여 첨부파일을 열게 만듭니다.
2. 악성 링크를 통한 감염
이메일이나 소셜 미디어 메시지에 포함된 악성 링크를 클릭하면 랜섬웨어에 감염될 수 있습니다. 이러한 링크는 정상적인 웹사이트로 위장하지만, 클릭하면 드라이브-바이 다운로드(Drive-by Download) 방식으로 사용자 모르게 랜섬웨어를 다운로드합니다. 또한 공격자들은 URL 단축 서비스를 사용하여 악성 링크를 숨기기도 합니다.
3. 취약한 원격 데스크톱 프로토콜(RDP) 접속
많은 기업들이 원격 작업을 위해 RDP를 사용하고 있지만, 취약한 RDP 설정은 랜섬웨어 공격의 주요 경로가 됩니다. 공격자들은 무차별 대입 공격(Brute Force Attack)이나 탈취한 자격 증명을 사용하여 RDP에 접근한 후, 네트워크 내부에 랜섬웨어를 배포합니다. 특히 기본 포트(3389)를 사용하거나 약한 비밀번호를 설정한 RDP는 공격에 취약합니다.
4. 소프트웨어 취약점 악용
패치되지 않은 운영체제나 소프트웨어의 취약점은 랜섬웨어 공격의 주요 진입점입니다. 특히 웹 브라우저, PDF 리더, 자바 등 널리 사용되는 소프트웨어의 취약점은 자주 공격 대상이 됩니다. 유명한 랜섬웨어인 WannaCry는 MS17-010 취약점(EternalBlue)을 악용하여 전 세계적으로 확산되었습니다.
5. 드라이브-바이 다운로드 공격
사용자가 악성 웹사이트를 방문하면, 별도의 클릭이나 다운로드 없이도 자동으로 랜섬웨어가 설치될 수 있습니다. 이러한 웹사이트는 흔히 성인 콘텐츠, 불법 소프트웨어 다운로드, 크랙 사이트 등으로 위장하고 있습니다. 또한 정상적인 웹사이트도 해킹되어 드라이브-바이 다운로드 공격의 매개체가 될 수 있습니다.
6. 멀버타이징(Malvertising)
온라인 광고 네트워크를 통해 랜섬웨어를 배포하는 방식입니다. 공격자들은 정상적인 광고 네트워크에 악성 광고를 삽입하고, 사용자가 이 광고를 클릭하거나 때로는 단순히 광고가 로드되는 것만으로도 랜섬웨어 감염이 발생할 수 있습니다. 이러한 방식은 평판이 좋은 웹사이트를 통해서도 공격이 가능하다는 점에서 더욱 위험합니다.
7. USB 및 이동식 미디어를 통한 전파
감염된 USB 드라이브나 외장 하드 디스크를 통해 랜섬웨어가 전파될 수 있습니다. 특히 에어갭(Air-gapped) 네트워크처럼 인터넷에 직접 연결되지 않은 시스템도 이 방법으로 감염될 수 있습니다. 랜섬웨어 제작자들은 자동실행(AutoRun) 기능이나 사회공학적 기법을 활용하여 사용자가 감염된 파일을 실행하도록 유도합니다.
8. 공급망 공격(Supply Chain Attack)
소프트웨어 개발사나 서비스 제공업체를 해킹하여 정상적인 소프트웨어 업데이트나 패치에 랜섬웨어를 심는 방식입니다. 2017년 NotPetya 랜섬웨어는 우크라이나 세금 소프트웨어 업데이트 서버를 해킹하여 전 세계적으로 확산되었습니다. 이러한 공격은 사용자가 신뢰하는 출처에서 오기 때문에 탐지하기 어렵습니다.
#랜섬웨어 #사이버보안 #랜섬웨어감염경로 #피싱공격 #악성코드 #사이버위협 #데이터보안 #정보보호 #RDP취약점 #공급망공격