“복잡해지는 랜섬웨어, 암호화폐 대신 위챗페이 요구”
상태바
“복잡해지는 랜섬웨어, 암호화폐 대신 위챗페이 요구”
  • 김선애 기자
  • 승인 2019.01.14 10:51
  • 댓글 0
이 기사를 공유합니다

이스트시큐리티, 지난해 4분기 33만2179건 랜섬웨어 차단…사회공학 기법 이용한 랜섬웨어 성행

암호화폐 대신 위챗 페이를 요구하는 랜섬웨어가 등장하는가 하면, 2017년 전 세계에 큰 피해를 입힌 워너크라이 랜섬웨어가 여전히 성행하는 등 랜섬웨어 공격이 더욱 복잡해지는 양상을 보이고 있다.

이스트시큐리티(대표 정상원)에 따르면 지난해 4분기 ‘알약’이 차단한 랜섬웨어 공격 수는 3분기와 비교해 큰 차이는 없었지만, 8월과 9월 하락세를 보이다가 10월부터 다시 증가하는 양상을 보였다. 또한 지난 한 해 성행한 갠드크랩 랜섬웨어는 업데이트를 거듭하며 지속적으로 유포됐고, 워너크라이 랜섬웨어는 지난해 차단된 랜섬웨어 톱 5에 들 정도로 큰 피해를 입히고 있다.

지난해 4분기 알약 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 랜섬웨어는 33만2179건이며, 하루 평균 3691건이에 이른다. 가장 많은 피해를 입힌 갠드크랩 랜섬웨어는 입사지원서, 임금체불 관련 출석요구서, 저작권 위반 내용 등 다양한 형태의 악성 메일을 이용해 사용자가 첨부파일이나 URL을 클릭하도록 유도하는 사회공학적 공격 기법을 주로 사용했다.

암호화폐 대신 위챗페이 요구하는 공격 등장

갠드크랩 랜섬웨어 외 4분기에 전 세계적으로 유포된 주요 랜섬웨어는 다음과 같다.

▲위챗(WeChat) 랜섬웨어= 암호화폐가 아닌 위챗 페이(Wechat pay)로 랜섬머니 지불을 요구하는 랜섬웨어로, 단기간에 100만명 이상의 감염자를 발생시켰다.

▲페이스북 랜섬웨어= 페이스북 아이콘으로 위장해 공격했으며, 히든티어(HiddenTear) 오픈소스를 기반으로 제작됐다.

▲오바마 랜섬웨어= EXE 파일만 암호화한 후, 미국 전 대통령 오바마의 사진과 함께 복호화 팁을 알려주는 랜섬웨어가 등장했다.

▲붐(BOOM) 랜섬웨어= 랜섬머니 거래를 위한 연락처로 페이스북 계정을 사용했다.

▲다르마(Dharma) 랜섬웨어= 파일 관리 프로그램으로 위장해 유포됐으며, 윈도 시스템 복원 지점을 삭제해 사용자의 시스템 복구를 방해했다.

▲정글섹(JungleSec) 랜섬웨어= IPMI(Intelligent Platform Management Interface) 카드를 통해 사용자 PC를 감염시켰다. 피해 대상은 윈도우, 리눅스, 맥 등 다양하다.

▲파이록키(PyLocky) 랜섬웨어= 안티 머신러닝 기술이 탑재돼 분석·탐지가 어려우며, 프랑스 등 유럽 지역을 중심으로 스팸 형태로 유포됐다.

▲륙(Ryuk) 랜섬웨어= 헤르메스(Hermes) 랜섬웨어 변종으로,는 3분기 최초 등장했다. 지난해 10월과 12월에 각각 미국 노스캐롤라이나 상하수도청과 미국 주요 일간지 인쇄·배포 시스템을 공격했으며, 주로 제조공장, 제조기업이나 인프라 등을 노리는 표적형 랜섬웨어다.

ESRC 센터장인 문종현 이사는 “2018년 한 해 동안 알약을 통해 총 139만6700여 건의 랜섬웨어 공격이 차단됐고, 전체 공격 중 갠드크랩 랜섬웨어 공격 비중이 3분의 1 이상 차지해 압도적으로 높았다”라며, “갠드크랩은 대표적인 서비스형 랜섬웨어(RaaS)로, 2018년 초부터 현재까지 가장 많이 유포되는 보안 위협으로 작용하고 있다”고 설명했다.

이어서 문 이사는 “이 밖에도 2017년 5월 전 세계적으로 큰 이슈가 됐던 워너크라이 랜섬웨어가 2018년 차단된 랜섬웨어 공격 톱5에 꼽힐 만큼 여전히 위협적인 것으로 나타났다”며 “이는 워너크라이 랜섬웨어의 네트워크 웜 전파 기능을 차단할 수 있는 SMB 취약점(MS17-010) 패치가 적용되지 않은 시스템이 여전히 많이 존재한다는 것을 방증하는 것으로, 조속히 사용 중인 운영체제(OS)와 소프트웨어(SW)의 최신 보안업데이트를 진행해야 한다”고 당부했다.

이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.