“랜섬웨어, 맥 OS도 안전하지 않다”

소포스 “랜섬웨어, 플랫폼 가리지 않고 공격 진행…웜 방식 랜섬웨어, 큰 피해 이어져”

사이버 공격으로부터 비교적 안전하다고 알려진 맥 OS를 노리는 랜섬웨어가 증가하고 있다. 소포스는 랜섬웨어 공격이 플랫폼을 가리지 않고 진행되고 있으며, 특히 맥OS, 리눅스, 안드로이드 등 비 윈도우 계열 플랫폼을 타깃으로 하는 공격이 늘어나고 있다고 6일 밝혔다.

소포스가 공개한 ‘소포스랩 2018년 멀웨어 예측’ 보고서에 따르면 랜섬웨어는 주로 윈도우 컴퓨터를 대상으로 해왔으나, 올해는 전 세계 고객이 사용하는 다양한 장치 및 운영 체제에 대한 암호화 공격이 증가하고 있는 것으로 나타났다.

소포스랩은 4 1일부터 10월 3일까지 6개월 동안 전 세계 소포스 고객 컴퓨터를 분석했다. 이 기간 동안 가장 많은 피해를 입힌 것은 워너크라이로, 탐지된 랜섬웨어 중 45.3%를 차지했다. 2위는 오랜 기간 랜섬웨어 공격을 가장 많이 진행해 온 케르베르(44.2%)였다.

김봉근 소포스 한국 지사장은 "워너크라이의 급속한 확산으로 우리는 웜과 유사한 특성을 지닌 랜섬웨어를 처음 보게 됐다. 이 악성코드는 알려진 윈도우 취약점을 이용해 컴퓨터를 감염, 확산시키기 때문에 제어하기가 어렵다”며 “고객들이 보안을 유지하면서 워너크라이가 점차 줄어들고 있긴 하지만, 컴퓨터를 계속 스캐닝하고 공격하는 본래의 성질 때문에 그 위협은 여전히 남아있다. 사이버 공격은 워너크라이와 낫페트야에서 볼 수 있는 복제 방식으로 지속될 것으로 보이며, 이는 낫페트야와 많은 유사점을 보여주는 배드래빗 랜섬웨어를 통해 여실히 알 수 있다”고 말했다.

“낫패트야, 테스트 용 공격일 가능성 있어”

소포스랩 2018 멀웨어 예측 보고서는 올해 6 월에 큰 타격을 준 낫페트야 악성코드의 급격한 등락에 대해서도 분석했다. 낫페트야는 초기에 우크라이나 회계 소프트웨어 패키지를 통해 배포되었으므로 지리적 영향력이 제한적이었다.

워너크라이와 마찬가지로 이터널블루 익스플로잇을 통해 확산될 수 있었지만, 워너크라이가 이미 대부분 노출된 시스템에 감염되었기 때문에 패치가 적용되지 않거나 취약한 경우가 거의 없었다.

낫페트야의 공격으로 많은 문제와 균열, 결함이 발생했으나 그 확산 동기는 여전히 명확하지 않다. 예를 들면 피해자가 공격자에게 연락하는데 필요한 이메일 계정이 작동하지 않아 피해자가 데이터를 해독하고 복구할 수 없었기 때문이다.

낫페트야는 빠르고 격렬하게 급증해 기업의 컴퓨터 데이터를 영구적으로 파괴했기 때문에 비즈니스에 큰 피해를 끼쳤으나, 다행히도 시작한 것과 거의 비슷한 속도로 멈췄다.

소포스랩은 “우리는 사이버 범죄자가 실험을 하고 있는 것이거나, 목표가 랜섬웨어가 아닌 데이터 와이퍼처럼 파괴적인 것으로 의심하고 있다. 어쨌든 그 의도와 상관없이 소포스는 랜섬웨어에 대한 대응을 강력히 권고하고 데이터 백업 및 패치를 최신 상태로 유지할 것을 권장한다”고 밝혔다.

랜섬웨어 키트로 판매되는 케르베르

다크웹에서 랜섬웨어 키트로 판매되는 케르베르는 심각한 위협으로 남아 있다. 케르베르의 제작자는 코드를 지속적으로 업데이트하고 ‘중간상(middle-men)’으로 불리는 공격자가 희생자로부터 받는 몸값의 일정 비율을 청구한다.

케르베르는 정기적인 새로운 기능 추가로 효과적인 공격 도구일 뿐만 아니라 사이버 범죄자들이 수년간 이용할 수 있다. 다크웹 비즈니스 모델은 합법적인 회사와 유사한 방식으로 작동하면서 케르베르의 지속적인 개발에 자금을 지원할 가능성이 있다. 소포스랩은 그 이익금이 이 악성코드를 유지하는데 동기를 부여해준다고 추정하고 있다.

안드로이드 랜섬웨어, 매 월 증가

안드로이드 랜섬웨어 또한 사이버 범죄자들을 끌어 들이고 있다. 소포스랩 분석에 따르면 안드로이드 기기를 사용하는 소포스 고객에 대한 공격 건수는 2017년 거의 매 월 증가했다.

2017년 9월 한 달만해도 소포스 랩이 처리한 안드로이드 악성코드의 30.4%가 랜섬웨어였다. 보고서는 10월에는 약 45%로 증가할 것으로 보고 있다. 안드로이드에서 랜섬웨어가 늘어나고 있는 한 가지 이유는 사이버 범죄자들이 연락처와 SMS를 훔치거나 복잡한 팝업 해킹 기술을 필요로 하는 은행 피싱 또는 도용 대신에 돈을 벌 수 있는 손쉬운 방법이기 때문이다.

안드로이드 랜섬웨어는 주로 구글 플레이가 아닌 곳에서 발견된다는 점에 유의해야 한다. 사용자가 다운로드하는 앱의 종류에 대해 매우 신중해야 하는 또 다른 이유다.

소포스랩 보고서에 따르면 두 가지 유형의 안드로이드 공격 방법이 발견됐다. 데이터를 암호화하지 않고 전화를 잠그거나, 데이터를 암호화하는 동안 전화기를 잠그는 것이다.

안드로이드 랜섬웨어의 대부분은 사용자 데이터를 암호화하지 않지만 돈 거래를 위해 화면을 잠그는 단순한 행위는 사람들에게 고통을 주기에 충분하다. 특히 개인 디바이스에 하루에 몇 번이나 액세스 하는지를 생각해보면 이해된다.

소포스는 데이터를 보존하고 액세스 권한을 회복하기 위해, 몸값을 지불하지 않기 위해 컴퓨터와 마찬가지로 정기적인 일정으로 전화를 백업 할 것을 권장한다. 또한 보고서는 안드로이드 랜섬웨어가 내년에도 이 모바일 플랫폼에서 선도적 인 유형의 악성 코드로 계속 증가하고 지배 할 것으로 전망했다.

김선애 기자 다른기사 보기