> 뉴스 > 뉴스 > 보안
  • 트위터
  • 페이스북
  • 구플러스
  • 네이버밴드
  • 카카오스토리
     
“복잡해지는 랜섬웨어, 암호화폐 대신 위챗페이 요구”
이스트시큐리티, 지난해 4분기 33만2179건 랜섬웨어 차단…사회공학 기법 이용한 랜섬웨어 성행
2019년 01월 14일 10:51:18 김선애 기자 iyamm@datanet.co.kr

암호화폐 대신 위챗 페이를 요구하는 랜섬웨어가 등장하는가 하면, 2017년 전 세계에 큰 피해를 입힌 워너크라이 랜섬웨어가 여전히 성행하는 등 랜섬웨어 공격이 더욱 복잡해지는 양상을 보이고 있다.

이스트시큐리티(대표 정상원)에 따르면 지난해 4분기 ‘알약’이 차단한 랜섬웨어 공격 수는 3분기와 비교해 큰 차이는 없었지만, 8월과 9월 하락세를 보이다가 10월부터 다시 증가하는 양상을 보였다. 또한 지난 한 해 성행한 갠드크랩 랜섬웨어는 업데이트를 거듭하며 지속적으로 유포됐고, 워너크라이 랜섬웨어는 지난해 차단된 랜섬웨어 톱 5에 들 정도로 큰 피해를 입히고 있다.

지난해 4분기 알약 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 랜섬웨어는 33만2179건이며, 하루 평균 3691건이에 이른다. 가장 많은 피해를 입힌 갠드크랩 랜섬웨어는 입사지원서, 임금체불 관련 출석요구서, 저작권 위반 내용 등 다양한 형태의 악성 메일을 이용해 사용자가 첨부파일이나 URL을 클릭하도록 유도하는 사회공학적 공격 기법을 주로 사용했다.

   

암호화폐 대신 위챗페이 요구하는 공격 등장

갠드크랩 랜섬웨어 외 4분기에 전 세계적으로 유포된 주요 랜섬웨어는 다음과 같다.

▲위챗(WeChat) 랜섬웨어= 암호화폐가 아닌 위챗 페이(Wechat pay)로 랜섬머니 지불을 요구하는 랜섬웨어로, 단기간에 100만명 이상의 감염자를 발생시켰다.

▲페이스북 랜섬웨어= 페이스북 아이콘으로 위장해 공격했으며, 히든티어(HiddenTear) 오픈소스를 기반으로 제작됐다.

▲오바마 랜섬웨어= EXE 파일만 암호화한 후, 미국 전 대통령 오바마의 사진과 함께 복호화 팁을 알려주는 랜섬웨어가 등장했다.

▲붐(BOOM) 랜섬웨어= 랜섬머니 거래를 위한 연락처로 페이스북 계정을 사용했다.

▲다르마(Dharma) 랜섬웨어= 파일 관리 프로그램으로 위장해 유포됐으며, 윈도 시스템 복원 지점을 삭제해 사용자의 시스템 복구를 방해했다.

▲정글섹(JungleSec) 랜섬웨어= IPMI(Intelligent Platform Management Interface) 카드를 통해 사용자 PC를 감염시켰다. 피해 대상은 윈도우, 리눅스, 맥 등 다양하다.

▲파이록키(PyLocky) 랜섬웨어= 안티 머신러닝 기술이 탑재돼 분석·탐지가 어려우며, 프랑스 등 유럽 지역을 중심으로 스팸 형태로 유포됐다.

▲륙(Ryuk) 랜섬웨어= 헤르메스(Hermes) 랜섬웨어 변종으로,는 3분기 최초 등장했다. 지난해 10월과 12월에 각각 미국 노스캐롤라이나 상하수도청과 미국 주요 일간지 인쇄·배포 시스템을 공격했으며, 주로 제조공장, 제조기업이나 인프라 등을 노리는 표적형 랜섬웨어다.

ESRC 센터장인 문종현 이사는 “2018년 한 해 동안 알약을 통해 총 139만6700여 건의 랜섬웨어 공격이 차단됐고, 전체 공격 중 갠드크랩 랜섬웨어 공격 비중이 3분의 1 이상 차지해 압도적으로 높았다”라며, “갠드크랩은 대표적인 서비스형 랜섬웨어(RaaS)로, 2018년 초부터 현재까지 가장 많이 유포되는 보안 위협으로 작용하고 있다”고 설명했다.

이어서 문 이사는 “이 밖에도 2017년 5월 전 세계적으로 큰 이슈가 됐던 워너크라이 랜섬웨어가 2018년 차단된 랜섬웨어 공격 톱5에 꼽힐 만큼 여전히 위협적인 것으로 나타났다”며 “이는 워너크라이 랜섬웨어의 네트워크 웜 전파 기능을 차단할 수 있는 SMB 취약점(MS17-010) 패치가 적용되지 않은 시스템이 여전히 많이 존재한다는 것을 방증하는 것으로, 조속히 사용 중인 운영체제(OS)와 소프트웨어(SW)의 최신 보안업데이트를 진행해야 한다”고 당부했다.

이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있다.

김선애 기자의 다른기사 보기  
ⓒ 데이터넷(http://www.datanet.co.kr) 무단전재 및 재배포금지 | 저작권문의  

     

인기기사

  이스트시큐리티, 랜섬웨어, 알약, 행위기반 차단
가장 많이 본 기사
인사·동정·부음
전체기사의견(0)  
 
   * 200자까지 쓰실 수 있습니다. (현재 0 byte/최대 400byte)
   * 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
전체기사의견(0)
사명: (주)화산미디어 | 주소: 서울시 강남구 강남대로 124길 26 유성빌딩 2층 | 전화: 070-8282-6180 | 팩스: 02-3446-6170
등록번호: 서울아03408 | 등록년월일: 2014년 11월 4일 | 발행년월일: 2003년 12월 17일 | 사업자등록번호: 211-88-24920
발행인/편집인: 정용달 | 통신판매업신고: 서울강남-01549호 | 개인정보관리 및 청소년보호 책임자: 박하석 | 호스팅 사업자: (주)아이네임즈
Copyright 2010 데이터넷. All rights reserved. mail to webmaster@datanet.co.kr