Hommy Ransomware

악성 소프트웨어는 조직과 개인에게 여전히 가장 심각한 사이버 보안 위협 중 하나입니다. 최신 악성 프로그램은 운영을 방해할 뿐만 아니라 중요한 정보를 탈취하고, 피해자를 협박하며, 막대한 금전적 손실을 초래하도록 설계되었습니다. 특히 랜섬웨어는 수익성이 매우 높은 범죄 사업으로 진화하여, 귀중한 데이터를 보호하고 비즈니스 연속성을 유지하기 위해서는 사전 예방적 보안 조치가 필수적입니다. 사이버 보안 연구원들이 최근 발견한 위협 중 하나는 Makop 랜섬웨어 계열에 속하는 위험한 파일 암호화 악성 소프트웨어인 Hommy 랜섬웨어입니다.

Hommy 랜섬웨어 개요

Hommy는 감염된 시스템의 파일을 암호화하고 복호화를 대가로 금전을 요구하는 랜섬웨어입니다. 보안 연구원들은 Hommy가 Makop 랜섬웨어 계열에 속한다고 밝혔는데, Makop 계열은 기업을 표적으로 삼아 데이터 암호화와 데이터 공개 협박을 결합한 이중 갈취 수법을 사용하는 것으로 알려져 있습니다.

Hommy 랜섬웨어는 피해자의 시스템에서 실행되면 다양한 파일 형식을 검색하여 암호화하고 접근할 수 없게 만듭니다. 파일을 잠그는 것 외에도, 파일 이름에 피해자 고유 식별자, 공격자의 이메일 주소, 그리고 '.hommy' 확장자를 추가하여 파일 이름을 변경합니다. 예를 들어, 원래 접근 가능했던 파일은 'document.docx.[2AF20FA3].[privatehommy@outlook.com].hommy'와 같은 이름으로 바뀔 수 있습니다. 이러한 이름 변경 패턴은 감염 여부를 나타내는 지표 역할을 할 뿐만 아니라 공격자가 암호화된 파일을 특정 피해자와 연결하는 수단으로도 사용됩니다.

Hommy는 파일 암호화 외에도 '+README-WARNING+.txt'라는 이름의 랜섬웨어 안내문을 생성하고 바탕 화면 배경을 변경하여 피해자가 공격 사실을 즉시 알 수 있도록 합니다.

몸값 요구 이해하기

Hommy가 사용하는 랜섬웨어 메시지는 간결하면서도 위협적입니다. 피해자들은 파일이 암호화되었으며, 감염된 시스템에서 데이터가 유출되었다는 통보를 받습니다. 공격자들은 암호화된 파일에 다시 접근하려면 물론, 유출된 정보의 공개를 막기 위해서도 금전적 지불이 필요하다고 주장합니다.

피해자들은 'privatehommy@outlook.com'이라는 이메일 주소를 통해 공격자에게 연락하고 모든 연락에 자신에게 할당된 피해자 ID를 포함하도록 지시받습니다. 특히, 해당 메시지에는 몸값 액수, 지불 방법 또는 기한이 명시되어 있지 않습니다. 이러한 세부 정보는 일반적으로 공격자와 직접 연락이 닿은 후에만 공개됩니다.

또 다른 우려 사항은 공격자들이 실제로 작동하는 복호화 기능을 보유하고 있다는 증거가 전혀 없다는 점입니다. 일부 랜섬웨어 공격자들이 증거로 작은 샘플 파일을 복호화해 제공하겠다고 제안하는 것과는 달리, Hommy 운영자들은 메시지 내용에서 그러한 검증을 전혀 제공하지 않습니다.

파일 암호화 및 데이터 갈취 수법

Hommy가 사용하는 공격 방식은 랜섬웨어 업계 전반에서 관찰되는 추세를 반영합니다. 단순히 파일 암호화에만 의존하는 것이 아니라, 데이터 탈취를 협박 전략에 포함시키고 있습니다. 이러한 접근 방식은 특히 고객 정보, 지적 재산, 기밀 기업 기록과 같은 민감한 정보를 다루는 기업들에게 상당한 압박을 가합니다.

암호화와 데이터 도난이 결합되면 해당 조직은 어려운 상황에 직면하게 됩니다. 백업이 존재하고 운영 복구가 가능하더라도, 민감한 정보가 노출될 위험은 법적, 재정적, 평판상의 손실을 초래할 수 있습니다.

다른 많은 랜섬웨어 계열과 마찬가지로 Hommy는 강력한 암호화 메커니즘을 사용하여 피해자가 공격자의 복호화 도구에 접근하지 않고는 파일을 복구할 수 없도록 합니다. 공격자의 개입 없이 복구가 가능한 경우는 연구원들이 랜섬웨어 자체의 치명적인 구현 결함을 발견했을 때뿐인데, 이는 드문 경우입니다.

Hommy 랜섬웨어는 어떻게 확산되는가?

Hommy는 주로 보안이 취약한 원격 서비스를 공격하는 데 사용됩니다. 공격자들은 취약한 자격 증명을 사용하거나 적절한 보안 제어가 부족한 인터넷 연결 시스템을 자주 표적으로 삼습니다. 원격 데스크톱 프로토콜(RDP) 서비스는 공격자가 무차별 대입 공격을 시도하여 기업 네트워크에 무단으로 접근할 수 있기 때문에 특히 매력적인 공격 대상입니다.

접근 권한을 확보한 공격자는 수동으로 시스템 전체에 랜섬웨어를 배포하여 피해를 극대화하고 금전적 갈취 시도의 성공 가능성을 높일 수 있습니다.

Hommy 및 관련 Makop 랜섬웨어 변종과 일반적으로 연관되는 다른 감염 경로는 다음과 같습니다.

• 악성 첨부 파일이나 링크가 포함된 피싱 이메일
• 추가 페이로드를 다운로드하고 설치하는 트로이 목마 악성코드
• 악성 코드를 실행하도록 사용자를 속이기 위해 설계된 가짜 소프트웨어 업데이트
• 신뢰할 수 없는 출처에서 얻은 불법 복제 소프트웨어 패키지 및 크랙 애플리케이션
• 악성 문서, 스크립트, 실행 파일 및 ZIP 또는 RAR 파일과 같은 압축 아카이브

이 파일들은 겉보기에는 무해해 보일 수 있지만, 열거나 실행하는 즉시 감염 과정을 시작할 수 있습니다.

몸값을 지불하는 것이 위험한 결정인 이유

사이버 보안 전문가들은 몸값 지불을 강력히 반대합니다. 공격자가 돈을 받았다고 해서 제대로 작동하는 복호화 도구를 제공할 것이라는 보장은 없습니다. 수많은 랜섬웨어 피해자들이 범죄자들이 돈 지불 후 사라지거나 효과 없는 복구 도구를 제공했다고 보고했습니다.

더욱이, 몸값을 지불하는 것은 범죄 조직의 활동을 직접적으로 지원하는 행위이며 랜섬웨어 공격의 지속적인 확산에 기여합니다. 공격자와 협상을 선택하는 조직은 범죄자들이 지불 의사가 있다고 판단할 경우 향후 매력적인 공격 대상이 될 수도 있습니다.

사이버 범죄자들에게 자금을 지원하는 대신, 피해를 입은 조직은 사고 대응 절차, 포렌식 조사, 확산 방지 노력, 그리고 가능한 한 안전한 백업을 통한 복구에 집중해야 합니다.

복구 및 제거 고려 사항

Hommy 랜섬웨어에 감염된 기기에서 이를 제거하는 것은 추가적인 암호화 활동과 더 큰 피해를 막는 데 필수적입니다. 하지만 악성코드를 제거하는 것만으로는 이미 암호화된 파일을 복구할 수 없습니다.

가장 확실한 복구 방법은 공격 발생 이전에 생성된 백업에서 데이터를 복원하는 것입니다. 효과적인 백업은 운영 시스템과 분리된 오프라인 저장 장치 또는 랜섬웨어가 쉽게 접근할 수 없는 안전한 원격 백업 서버에 저장해야 합니다.

효과적인 백업 시스템이 부족한 조직은 암호화된 데이터를 복구하는 데 상당한 어려움을 겪을 수 있습니다. 이러한 경우, 사고 대응 전문가와 상담하여 복구 방안을 검토하고 침해 규모를 파악해야 합니다.

랜섬웨어 공격에 대한 방어력 강화

랜섬웨어 감염을 예방하려면 기술적 보호 조치와 사용자 인식 제고를 결합한 다층적인 보안 전략이 필요합니다. 조직은 강력한 암호 정책 시행, 다중 요소 인증 구현, 관리 인터페이스의 공용 인터넷 노출 제한 등을 통해 원격 접속 서비스 보안을 최우선으로 고려해야 합니다.

정기적인 소프트웨어 업데이트는 공격자들이 오래된 운영 체제 및 애플리케이션의 알려진 취약점을 자주 악용하기 때문에 매우 중요합니다. 포괄적인 엔드포인트 보호 솔루션, 네트워크 모니터링 도구 및 침입 탐지 시스템은 악성 활동이 본격적인 랜섬웨어 공격으로 확대되기 전에 이를 식별하는 데 도움이 될 수 있습니다.

마찬가지로 중요한 것은 견고한 백업 전략을 유지하는 것입니다. 백업은 정기적으로 수행하고, 무결성을 검사하며, 주요 시스템과 격리된 위치에 저장해야 합니다. 신뢰할 수 있는 백업이 없으면 공격 발생 후 복구 옵션이 크게 제한됩니다.

보안 인식 교육 또한 매우 중요합니다. 직원들은 피싱 시도, 의심스러운 첨부 파일, 예기치 않은 다운로드 요청, 그리고 사이버 범죄자들이 흔히 사용하는 기타 사회공학적 수법을 인지할 수 있도록 교육받아야 합니다. 많은 랜섬웨어 감염이 사용자 상호 작용에서 시작되기 때문에, 관련 지식을 갖춘 직원은 효과적인 1차 방어선 역할을 할 수 있습니다.

최종 평가

Hommy 랜섬웨어는 파일 암호화, 데이터 탈취 주장, 그리고 Makop 랜섬웨어 계열의 특징인 금전적 갈취 수법을 결합한 심각한 사이버 보안 위협입니다. 보안이 취약한 시스템을 표적으로 삼고 다양한 감염 경로를 활용하여 심각한 운영 중단과 금전적 손실을 초래할 수 있습니다.

랜섬웨어를 제거하는 것은 추가적인 악성 행위를 막는 데 필수적이지만, 암호화된 파일의 복구는 일반적으로 안전한 백업의 존재 여부에 달려 있습니다. 조직은 강력한 접근 제어를 구현하고, 시스템을 최신 상태로 유지하며, 다층적인 보안 방어 체계를 구축하고, 진화하는 사이버 위협에 대한 사용자 교육을 실시함으로써 위험을 크게 줄일 수 있습니다. Hommy와 같은 랜섬웨어 공격에 대한 가장 효과적인 방어책은 선제적인 보안 태세입니다.