높은 수익·언론보도·지하경제 서비스(RaaS)…랜섬웨어 공격 급증에 영향

지난해 10월부터 올해 3월까지 일본 기업을 대상으로 한 랜섬웨어 공격이 3600배, 홍콩은 1600배가 증가한 것으로 나타났다. 이 기간 한국의 기업체 대상 랜섬웨어 공격도 22배 늘어났다.

파이어아이(지사장 전수홍)는 26일 이같은 내용을 포함한 아시아태평양지역 랜섬웨어 공격 트렌드를 발표했다.

파이어아이 동적 위협 인텔리전스의 데이터에 따르면, 랜섬웨어 공격은 2015년 중반부터 지속적으로 증가하기 시작해 올해 3월에 급격한 증가세를 기록했다.

특히 록키(Locky) 랜섬웨어가 50개국에 걸쳐 전방위적으로 이메일 스팸 공격을 시도함에 따라 현저한 증가세를 보인 것으로 분석했다.

이메일을 통한 랜섬웨어 공격은 주로 인보이스나 사진을 송부하는 메일로 가장한다. 사용자들은 해당 첨부 파일을 여는 순간 랜섬웨어에 감염된다.

랜섬웨어 탐지율
출처 : 파이어아이

언론보도가 공격 급증에 영향

파이어아이는 랜섬웨어 공격자들은 자신들의 공격 내용이 언론에 보도되는 것에서 희열을 느끼며, 특히 피해자가 몸값을 지불했다는 헤드라인이 게재되는 것에 대해 만족감을 느낀다는 분석을 내놨다.

최근 랜섬웨어 공격에 대한 언론 보도가 잇따르면서 다른 사이버 범죄자들의 랜섬웨어 공격을 촉진했을 가능성 있다는 것이다. 이것이 지난 3월 랜섬웨어 공격 급증에 영향을 미쳤을 것이라는 게 파이어아이의 의견이다.

실제로 페트야(Petya) 랜섬웨어의 경우, 몸값(ransom) 지불 페이지에 최근에 보도된 기사들의 링크를 게재하고 있다.

페트야 랜섬웨어의 몸값 지불 페이지
페트야 랜섬웨어의 몸값 지불 페이지. 뉴스 링크가 포함돼 있다.

랜섬웨어 활동 증가에 영향 미친 또 다른 요인

파이어아이는 랜섬웨어 공격이 급증한 또 다른 요인으로 높은 이익을 챙길 수 있다는 점을 지목했다. 랜섬웨어 공격은 수반되는 노력에 비해 상대적으로 많은 돈을 벌 수 있다는 점에서 공격자들에게 매력적인 공격 방법이다.

2015년에 크지 않은 규모의 랜섬웨어 공격들로 공격자들은 7만5000달러(약 9000만원)의 부당 이익을 거뒀다 이에 따라 사이버 범죄 시장에서는 랜섬웨어 툴 및 서비스 수요가 계속해서 높아지고 있다.

또한 크립토월(CryptoWall)과 같은 대중화된 랜섬웨어의 성공은 랜섬웨어 개발자들에게 계속해서 수익을 높이고 활동을 지속할 수 있다는 일종의 청사진으로 작용했다.

미국 인터넷범죄신고센터(IC3: Internet Crime Complaint Center)에 따르면, 2014년 4월부터 2015년 6월 사이에 크립토월로 인해 피해자들이 입은 재정적 손해 규모는 1800만 달러(한화 약 214억 5000만원)을 넘어선다.

‘서비스형 랜섬웨어(RaaS: ransomware as a service)’출현도 랜섬웨어의 감염 사례를 증가시키는데 기여한 것으로 지목됐다.

사이버범죄 지하 경제에서 경쟁적으로 보다 발전된 형태의 랜섬웨어 서비스를 내놓으면서 2015년 중반부터 RaaS 모델을 적용한 새로운 랜섬웨어 변종이 등장했다.

의료기관 타깃하는 랜섬웨어

파이어아이는 랜섬웨어 공격자들은 여러 산업 가운데 의료기관(병원)을 수익성이 좋은 타깃으로 삼고 있는 것으로 추정하고 있다. 최근 세계 여러 의료기관들이 잇달아 랜섬웨어 감염 피해를 입었다.

지난 2월 차병원 그룹 소유의 미국 로스앤젤레스(LA) 소재 할리우드 장로병원(Hollywood Presbyterian Medical Center, HPMC)은 랜섬웨어 공격을 받아 병원 내 파일을 암호화하고 데이터에 대한 몸값을 요구한 공격자에게 1만7000달러(약 2000만원)을 지불했다.

독일 소재 루카스 병원(Lukas Hospital), 클리니쿰 아른스베르크 병원(Klinikum Arnsberg hospital)과 미 메릴랜드 주의 유니온 메모리얼 병원(Union Memorial Hospital), 워싱턴의 메드스타 병원(MedStar hospitals) 등도 랜섬웨어로 인해 데이터가 암호화가 됐으며, 복호화 키의 대가로 각 45비트코인 미화로 1만 8500 달러(약 2200만원) 상당의 몸값을 요구 받았다.

의료(헬스케어) 분야는 고객의 의료 정보와 같이 중요한 데이터를 보유하고 있지만 이를 보호하기 위한 사이버 보안에 대해서는 많은 투자를 하지 않는 분야로 꼽히다.

실제로 병원은 예산 편성에 있어서 주로 수술 도구, 응급의료센터 등에 집중하며 사이버 보안에 대한 투자는 잘 이루어지지 않고 있다.

파이어아이측은 “이는 매우 역설적인 상황으로 의료기관의 경우 시스템 상의 환자 정보가 없이는 제대로 의료 활동을 할 수 없음에도 불구하고 이를 보호하기 위한 보안 시스템에는 소홀히 하고 있다”고 지적했다.

랜섬웨어 변종 지속 출현

랜섬웨어 활동이 눈에 띄게 증가한 2015년 중반부터 2016년 초반 동안 기존 랜섬웨어 변종은 기능을 업그레이드하는 한편, 신규 랜섬웨어 변종들이 지속적으로 출현하는 양상을 보였다.

전 세계적으로 대규모 침해 사례를 만들어낸 크립토월(CryptoWall), 토렌트락커(TorrentLocker)는 다수의 최근 침해 사례에서 파일 암호화 역량 혹은 위장 기능에서 한층 업그레이드된 정황이 포착됐다. 기존 랜섬웨어 변종들은 계속해서 악성코드로서의 기능, 암호화 기술 그리고 방어 솔루션 대응 기능 등을 업그레이드하고 있는 것이다.

파이어아이는 랜섬웨어가 이러한 발전된 기술을 기반으로 글로벌 기업을 대상으로 한 위협을 지속할 것이라 예측한다고 전했다.

또한 새로운 전술, 기술 등을 갖춘 신규 랜섬웨어 변종 역시 계속해서 등장하고 있다. 파이어아이이 연구원들은 랜섬웨어 공격 증가와 함께, 랜섬웨어 개발자들은 공격 대상을 확대하기 위한 새로운 기능들을 추가하며 계속적으로 랜섬웨어 변종을 개발할 것이라고 추측했다.

예를 들어 신규 랜섬웨어 변종인 키메라(Chimera) 랜섬웨어를 이용하는 공격자들은 악성코드를 통해 피해자의 파일을 암호화할 뿐 아니라 몸값을 지불하지 않을시 암호화된 데이터를 공개할 것이라고 협박한다. 이 공격자들은 2015년 9월 중순부터 독일의 중소기업들을 대상으로 공격하기 시작했다.

2015년 12월에 처음 대중적으로 알려진 랜섬32(Ransom32)는 자바스크립트를 기반으로 하는 최초의 랜섬웨어 변종 중의 하나로, 리눅스와 맥OS 간 상호 호환성 및 패키징이 가능하다.

로우레벨04(LowLevel04) 공격자들은 원격 데스크톱(Remote Desktop) 및 터미널 서비스(Terminal Services)를 악용하는 등 독특한 감염 방법을 통해 랜섬웨어를 유포하는 것으로 알려져 있다.

향후 우려되는 랜섬웨어 공격

파이어아이는 랜섬웨어 공격에서 가장 위협적인 공격 방법은 공격자가 타깃 네트워크에 이미 접근권한을 확보한 후에 랜섬웨어를 유포하는 경우를 예상했다. 공격자들이 랜섬웨어를 유포하기 전에 내부 정찰을 통해 전략적으로 데이터 백업 파일을 삭제하거나 조직 내 가장 주요한 시스템을 파악할 수 있다는 점에서 위협적이다.

이를 방어하기 위해서는 기업들이 적절한 네트워크 분할 및 접근 제어를 시행하는 한편, 백업 전략을 정기적으로 검토해 파일 복구가 상시 가능한지 확인한 후, 백업 파일이 공격 당할 가능성을 항상 염두에 두고 백업 복사본을 따로 저장해야 한다.

전수홍 파이어아이코리아 지사장은 “국내 랜섬웨어 증가세는 다른 아태지역 국가에 비해 상대적으로 낮지만 한국 역시 동일한 증가세를 기록하는 것은 시간문제다. 랜섬웨어 공격이 지난 해 10월부터 올해 3월 사이 3600배 증가한 일본의 경우가 국내 상황의 전조가 될 것”이라며 “특히 기업체를 대상으로 한 공격이 급증함에 따라 국내 기업, 의료기관들은 사이버 보안에 대한 적극적인 투자 노력이 필요하다”고 전했다.

웹 통한 랜섬웨어 유포 급증

국내 웹 통한 랜섬웨어 유포
출처 : 하우리

한편, 하우리(대표 김희천)은 올해 1분기 웹을 통해 국내에 유포된 랜섬웨어 악성코드가 전년 1분기 대비 약 17배 증가해 최대치를 기록했다고 밝힌 바 있다.

국내에 웹을 통해 유포된 랜섬웨어 악성코드는 2015년도 1분기 56종에서 2016년도 1분기 963종으로 집계됐다. 앵글러(Angler), 매그니튜드(Magnitude), 리그(RIG) 등 다양한 익스플로잇 킷을 통해 취약점으로 유포되며, 웹 서핑을 하는 사용자들은 자기도 모르게 랜섬웨어에 감염된다.

새로운 랜섬웨어도 많이 등장했다. 1분기 동안 화면을 잠그는 랜섬웨어, MBR(Master Boot Record)을 암호화하는 랜섬웨어, 비트코인을 지불할 때까지 매시간마다 파일을 삭제하는 랜섬웨어, 말하는 랜섬웨어 등 신종 랜섬웨어가 1~2주마다 새롭게 출현했다는 게 회사측 설명이다.

하우리는 익명성을 보장하는 가상화폐로 2009년 도입된 비트코인이 지난 수년 간 거래되면서 점차 시장이 안정화됐고, 범죄자들에게 안정된 수익을 제공하게 되면서 많은 사이버범죄자들이 랜섬웨어 시장에 뛰어들게 된 계기가 됐다는 분석을 내놨다.

특히 국내 블랙마켓을 통해서도 랜섬웨어 악성코드의 거래가 이뤄지기 시작해 향후 더욱 많은 랜섬웨어가 기승을 부릴 것으로 전망된다.

최상명 CERT실장은 “사실상 랜섬웨어는 감염된 후에는 방법이 없기 때문에 감염되지 않도록 예방하는 것만이 최선”이라며 “백업을 생활화하고 백신 및 보안업데이트를 최신으로 유지하는 등 예방을 위한 사용자의 관심이 중요하다”고 강조했다.

중요파일들을 암호화해 인질로 삼고 비트코인 등 금전을 요구하는 랜섬웨어 악성코드는 작년 2월 국내에 처음 유입된 후 급속도로 증가하며 올해 최대의 보안 위협으로 떠올랐다. 국내 관공서와 기업, 일반 사용자들도 많은 피해를 입고 있다.

글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다