랜섬웨어·IAB 협력해 공격 고도화
[데이터넷] SK쉴더스는 3분기 탐지한 랜섬웨어가 1384건이며, 신규 랜섬웨어는 17.6% 발견됐다고 8일 밝혔다. 이 기간 동안 가장 많은 피해를 입힌 조직은 클롭, 락비트로, 이들이 가장 활발하게 활동한 9월 한달간 496건의 랜섬웨어가 발견됐다.
특히 9월 락비트가 국내 한 대기업 데이터 800GB를 탈취하고 업무 관련 문서, 데이터베이스 관련 파일 등 데이터 100GB를 공개해 파장이 일었다. 이들은 기업을 대상으로 데이터 탈취뿐만 아니라 데이터 공개를 빌미로 금전을 요구하는 이중 협박 전략을 쓰고 있어 기업의 피해가 커지고 있다.
SK쉴더스는 랜섬웨어 공격그룹과 초기 침투를 전문으로 하는 IAB의 협업이 더 강화되고 있다고 설명했다. 대형 랜섬웨어 그룹이 초기 침투 경로를 IAB로부터 구매해 공격을 수행한 뒤 얻은 암호화폐 수익을 숨기는 ‘믹싱 서비스’를 이용하는 등 체계화된 공격 전략을 보이고 있기 때문이다. 이 밖에도, 초기 침투 방법으로 취약점을 악용한 전문적인 공격 방법과 비교적 공격이 쉬운 피싱, 스팸 메일, 사회공학기법을 이용한 상반된 전략이 모두 발견되고 있는 것으로 조사됐다.
고도화·다양화되는 랜섬웨어 공격에 선제적인 대응을 할 수 있도록 SK쉴더스 인포섹의 랜섬웨어 대응센터에서는 이번 보고서와 함께 랜섬웨어 복호화 도구 2종을 무료로 배포한다. 해당 2종은 ‘키그룹(KeyGroup)’ 랜섬웨어와 ‘노비트(NoBit)’ 랜섬웨어 일부 버전에서 실행 가능하며 암호화된 파일을 복구할 수 있다.
반 러시아적인 성향을 드러낸 키그룹 랜섬웨어는 다양한 랜섬웨어 제작 도구를 활용해 변종을 만들어내고 있어 대비가 시급하다. 노비트는 서비스형 랜섬웨어로 빠른 암호화와 쉬운 사용법 등으로 공격자들이 선호하고 있는 것으로 알려졌다.
김병무 SK쉴더스 인포섹 클라우드보안사업본부장은 “특색 있는 신규 랜섬웨어들이 계속 발견되고 매분기 공격 건수가 늘어나는 만큼 공격자의 관점에서 전략과 기법을 사전에 파악해 선제적이고 능동적인 조치가 필요한 시점”이라며 “이번 복호화 도구 무료 제공을 계기로 랜섬웨어 예방에서부터 사후 조치까지 기업 환경에 맞는 맞춤형 대응 방안을 지속적으로 제시할 것”이라고 말했다.
한편 SK쉴더스는 민간 랜섬웨어 협의체 카라(KARA)를 주도하고 있으며, 랜섬웨어 대응을 위한 각 분야 전문 기업들이 사고 접수와 대응, 복구, 대책까지 지원한다.
