Run(Makop) 랜섬웨어

디지털 환경을 악성코드로부터 보호하는 것은 개인과 조직 모두에게 매우 중요한 책임이 되었습니다. 현대의 랜섬웨어 공격은 더 이상 단순히 기회를 틈타 발생하는 성가신 존재가 아니라, 민감한 정보를 암호화하고, 금전을 갈취하고, 공개적으로 노출시키도록 설계된 치밀한 다단계 공격입니다. 보안 연구원들이 현재 추적하고 있는 이러한 정교한 위협 중 하나가 바로 Run Ransomware입니다. 이 악성 변종은 현대 사이버 범죄 집단의 진화하는 전술을 보여줍니다.

Run 랜섬웨어: Makop 계열 변종

보안 분석가들은 Run 랜섬웨어가 공격적인 금전적 갈취 수법과 관련된 파일 암호화 악성코드 계열인 Makop 랜섬웨어의 일원임을 확인했습니다. 이 위협은 현재 활동 중이거나 새롭게 출현한 랜섬웨어 공격에 대한 광범위한 조사 과정에서 발견되었습니다.

Run 랜섬웨어는 실행되면 감염된 시스템 전체의 사용자 파일을 대상으로 체계적인 암호화 프로세스를 시작합니다. 데이터를 암호화한 후에는 파일 이름에 고유한 피해자 ID, 연락처 이메일 주소, 그리고 확장자 '.run'이라는 세 가지 요소를 추가하여 파일 이름을 변경합니다. 예를 들어, '1.png' 파일은 '1.png.[2AF20FA3].[runandpay@outlook.com].run'으로 변경됩니다. 이러한 파일 이름 변경 구조는 감염 사실을 나타내는 표시이자 심리적 압박 전략으로 작용하여 감염을 즉시 파악할 수 있도록 합니다.

파일 암호화 외에도, 이 랜섬웨어는 시스템 배경화면을 변경하여 공격 메시지를 강화하고 '+README-WARNING+.txt'라는 제목의 랜섬 노트를 생성합니다. 이러한 조치는 피해자가 침입을 무시할 수 없도록 설계되었습니다.

갈취 전술 및 심리적 압박

랜섬웨어 메시지는 명확하고 강압적인 내용을 담고 있습니다. 피해자의 컴퓨터가 잠겼고, 파일이 암호화되었으며, 중요한 데이터가 유출되었다고 주장합니다. 암호화와 데이터 유출을 동시에 요구하는 것은 이중 협박 전략으로, 현대 랜섬웨어 공격자들이 점점 더 많이 사용하는 수법입니다.

피해자들은 제공된 이메일 주소 'runandpay@outlook.com'을 통해 공격자에게 연락하고 고유 ID를 언급하라는 지시를 받습니다. 해당 메시지는 24시간 이내에 연락하면 몸값을 낮춰준다는 점을 강조하며 긴급성을 호소합니다. 또한, 지시에 따르지 않을 경우 탈취한 파일이 공개될 것이라고 협박합니다. 더불어, 피해자가 몸값을 지불하지 않으면 복호화 도구가 삭제될 것이라고 경고하여 영구적인 데이터 손실 위험을 높입니다.

실제로 몸값을 지불한다고 해서 파일 복구가 보장되는 것은 아닙니다. 많은 피해자들이 제대로 작동하지 않는 복호화 도구를 받거나, 몸값 지불 후에도 아무런 연락을 받지 못합니다. 공격자의 개인 복호화 키에 접근할 수 없는 경우, 신뢰할 수 있는 백업 파일이 없다면 암호화된 파일을 복원하는 것은 일반적으로 불가능합니다.

감염 매개체 및 확산 방법

Run 랜섬웨어는 랜섬웨어 생태계 전반에서 사용되는 일반적이지만 매우 효과적인 유포 경로를 따릅니다. 감염은 일반적으로 악성 또는 기만적인 콘텐츠와의 상호 작용 후에 발생합니다. 공격자는 종종 합법적이거나 일상적인 파일처럼 보이는 파일 내에 페이로드를 위장합니다.

일반적인 감염 경로는 다음과 같습니다.

• 악성 첨부 파일이나 링크가 포함된 피싱 이메일
• 가짜 기술 지원 메시지 및 사회 공학적 사기
• 불법 복제 소프트웨어, 크랙 및 키 생성기
• 해킹당했거나 사기성 웹사이트
• 피어투피어 파일 공유 네트워크
• 악성 광고 및 악용 키트
• 감염된 USB 드라이브
• 패치가 적용되지 않은 소프트웨어 취약점 악용

악성 파일은 실행 프로그램, 스크립트, 압축 파일(ZIP 또는 RAR) 또는 Word, Excel, PDF 파일과 같은 일반적인 문서 형식으로 위장할 수 있습니다. 특히 오래된 소프트웨어는 공격자가 알려진 취약점을 악용하여 초기 접근 권한을 획득하는 경우가 많기 때문에 감염 위험을 크게 높입니다.

즉시 제거의 중요성

시스템에 침투한 랜섬웨어는 가능한 한 빨리 제거해야 합니다. 랜섬웨어가 활성화된 상태로 남아 있으면 새로 생성되거나 연결된 파일, 심지어 매핑된 네트워크 드라이브나 공유 스토리지에 있는 파일까지 계속해서 암호화할 수 있습니다. 기업 환경에서는 이러한 현상이 단일 엔드포인트의 공격으로 이어져 광범위한 네트워크 침해 사고로 번질 수 있습니다.

감염된 기기를 네트워크에서 즉시 격리하면 측면 이동을 방지할 수 있습니다. 그러나 제거만으로는 감염된 파일의 암호가 복호화되지 않으며, 단지 추가적인 악성 활동을 중단시킬 뿐입니다.

국방력 강화: 필수적인 안보 실천 방안

Run 랜섬웨어 및 유사한 위협에 대한 효과적인 방어는 다층적인 보안 전략을 필요로 합니다. 어떤 시스템도 완전히 안전할 수는 없지만, 다음의 모범 사례는 위험 노출을 크게 줄여줍니다.

• 정기적으로 오프라인 또는 클라우드 기반 백업을 유지하고 백업 데이터의 무결성을 검증하십시오.
• 운영 체제와 애플리케이션을 최신 보안 패치로 업데이트하십시오.
• 실시간 위협 탐지 기능을 갖춘 신뢰할 수 있는 엔드포인트 보호 솔루션을 사용하십시오.

기술적 통제 외에도 사용자 인식 제고는 사이버 보안 복원력의 핵심 요소입니다. 피싱 시도와 의심스러운 다운로드를 식별하는 방법을 교육하면 감염 성공률을 크게 줄일 수 있습니다.

최종 평가

Run 랜섬웨어는 현대 랜섬웨어 공격의 정교함이 점점 더 높아지고 있음을 보여주는 대표적인 사례입니다. 암호화, 데이터 탈취, 심리적 조작을 통해 피해자에게 빠른 지불을 강요합니다. 특히 Makop 랜섬웨어 계열과의 연관성은 이러한 범죄 조직의 구조화 및 진화하는 특성을 잘 보여줍니다.

백업 없이는 복구가 불가능한 경우가 많으며, 몸값 지불은 여전히 위험 부담이 큰 도박입니다. 가장 확실한 보호책은 사전 예방적 방어에 있습니다. 즉, 강력한 백업 전략, 시기적절한 소프트웨어 업데이트, 견고한 엔드포인트 보호, 그리고 정보에 기반한 사용자 행동이 필요합니다. 오늘날의 위협 환경에서 대비는 선택이 아니라 필수입니다.