올 상반기 ‘랜섬웨어’ 대활약, 50여종 발견

– 안랩·하우리, ‘안티랜섬웨어’ 무료 배포

2016년 발견된 랜섬웨어
출처 : 안랩

올해 발견된 랜섬웨어 수는 몇 개나 될까? 안랩 시큐리티대응센터(ASEC)에서 집계한 결과에 따르면, 버전 업그레이드된 것까지 포함해 1분기에 25개, 2분기에 27개로 총 52개(6월 10일 기준)다. 고유 특징이 확연하게 구분되는 것만 추린 숫자다.

한국트렌드마이크로 역시 2014년과 2015년 확인된 랜섬웨가 49개였던 것에 비해 올해에만 50개 넘는 새로운 랜섬웨어 그룹을 확인했다고 밝혔다.

올 상반기 ‘랜섬웨어’는 폭발적으로 증가하면서 사용자들에게 많은 피해를 입혔다. 록키(Locky), 페트야(PETYA), 서버(Cerber, 케르베르), 크립트XXX(CryptXXX) 등 새로운 형태의 랜섬웨어가 지속적으로 등장했다.

특정 랜섬웨어가 한참 유포됐다 시간이 지나 줄어드는가 싶으면 변종이 출현해 또다시 유포되는 상황이 반복되고 있다.

PC 등 기기 내 저장된 파일을 암호화해 인질로 잡고 금전을 요구하는 ‘랜섬웨어’는 공격자들이 단기간에 엄청난 수익을 거둬들일 수 있게 해준다. 이같은 매력으로 악성코드 제작자들이 대거 랜섬웨어에 몰려들고 있다.

더욱이 비용만 지불하면 제작부터 악성코드 유포, 관리까지 해주는 서비스형 랜섬웨어인 ‘RaaS(Ransomware as a Service)’까지 등장하면서 랜섬웨어를 이용한 사이버범죄가 더욱 쉬워졌다.

트렌드마이크로는 5일 포스팅한 회사 보안 블로그를 통해 “2016년 상반기는 ‘랜섬웨어의 대활약’ (시기)라고 요약할 수 있다”며 “온라인 뱅킹 해킹도구 등과 사이버범죄와는 달리 랜섬웨어는 고급기술을 보유하고 있지 않아도 쉽게 돈을 벌 수 있는 멀웨어”라고 설명했다.

실제로 보안업체들이 집계한 각종 통계 현황을 보면 올해 들어 랜섬웨어가 얼마나 기승을 부리고 있는지 알 수 있다.

안랩 ASEC에 접수된 랜섬웨어 관련문의는 올해 3월 크게 급증했다. 그 원인으로 안랩은 전세계적으로 광범위하게 유포돼 악명을 떨친 ‘록키’ 랜섬웨어 영향으로 분석했다. 4월은 ‘크립트XXX’가 등장한 시기다.

안랩 랜섬웨어 문의
출처 : 안랩

이형택 이노티움 대표가 센터장을 맡고 있는 한국랜섬웨어침해대응센터가 6월 14일까지 집계한 올해 상반기 랜섬웨어 침해신고 건수는 총 2019건이다. 작년 3월부터 12월까지 총 2678건 접수됐던 것에 비해 크게 늘어났다. 더욱이 6월에만 805건이 접수됐다. 대형 온라인 커뮤니티 등을 통해 ‘크립트XXX’가 광범위하게 유포된 영향으로 보인다.

랜섬웨어 침해신고 통계
출처 : 한국랜섬웨어침해대응센터

이스트소프트가 최근 발표한 ‘2016년 상반기 랜섬웨어 동향’에 따르면, 백신 ‘알약’ PC버전의 행위기반 탐지 기능을 통해 차단한 랜섬웨어 공격 건수는 총 247만94건에 달한다. 이는 하루 평균 1만3723건, 매달 41만1682건 이상의 공격을 차단한 수치다.

‘알약’을 사용하지 않는 PC에 대한 공격 시도까지 감안할 경우 올해 상반기 랜섬웨어의 공격 확산이 매우 심각한 수준이었음을 확인할 수 있다고 회사측은 설명했다.

이스트소프트 상반기 랜섬웨어
출처 : 이스트소프트

국내외에서 악명을 떨친 ‘록키’ 랜섬웨어는 지난 2월 발견됐다. 록키 랜섬웨어에 감염되면 파일의 확장자에 .locky가 추가되는 것이 특징이다.

초기에는 스팸 메일에 악성 매크로가 포함된 문서 파일(.doc 등)을 첨부한 형태로 유포됐는데, 3월부터 최근까지는 자바스크립트(JS) 파일(.js)을 이용하고 있다. 스팸메일을 통해 금융 악성코드 다이어·드라이덱스(Dyre·Dridex)를 유포하던 제작그룹이 합류했다고 알려졌다. 3월 말부터는 한글 파일(.hwp) 파일이 암호화 대상에 포함됐다.

말하는 랜섬웨어로 알려진 ‘서버(Cerber, 케르베르)’는 3월 초에 발견됐다. 이 랜섬웨어는 감염되면 사용자의 데이터가 암호화된 사실을 음성으로 안내해주는 것이 특징이다. 파일명을 영문과 숫자가 조합된 10자리 문자열로 바꾸고 확장명을 .cerber로 변경한다. 감염되면 암호화 이후 자동으로 재부팅돼 안전모드로 진입하는데, 사용자가 정상모드로 다시 부팅하면 서버 랜섬웨어 결제 안내화면이 나타난다.

이 랜섬웨어는 취약한 광고 서버의 플래시(Flash) 파일을 통해 악성코드를 유포하는 멀버타이징(Malvertising) 기법을 사용한다. 뉴클리어 익스플로잇 킷(Nuclear Exploit Kit)을 사용한 것으로 알려져 있다.러시아의 블랙마켓에서 RaaS(Ransomware-as-a-Service)로 판매된 사례가 발견되기도 했다.

최근에는 JSE 스크립트 파일을 이용하는 변종이 나타나 이메일을 통해 국내 전파되고 있다.

이스트소프트에 따르면, 새롭게 발견된 ‘서버(케르베르)’ 랜섬웨어 변종은 JS 스크립트 파일을 첨부해 퍼진 ‘록키’ 랜섬웨어와 유사한 방식으로 전파되고 있다. JS 파일 외에도 JSE 파일을 첨부한 새로운 형태로도 유포되고 있다. PC 사용자에게 압축파일이 첨부된 이메일을 발송하고 사용자가 압축파일에 포함된 JSE 스크립트 파일을 클릭하면, 해외 서버를 통해 랜섬웨어가 은밀히 설치되는 방식을 취하고 있다.

지난 3월에는 단순하게 화면을 띄워 PC를 잠그고 공포감을 유발시키거나 사용자의 파일을 암호화하는 것을 넘어 사용자 PC의 MBR(Master Boot Record) 영역까지 암호화하는 ‘페트야(PETYA)’ 랜섬웨어가 등장했다.

이전 공격 기법들은 윈도우 폴더와 같은 시스템 폴더들을 암호화하지 않는 이상 PC 부팅에는 크게 영향을 주지 않았다. MBR 영역은 각각의 파티션 정보와 운영체제가 설치돼 있는 위치 정보를 가지며 부팅과 관련된 중요한 역할을 수행한다. MBR 영역을 암호화하는 과정에서 오류라도 발생하면 해당 PC는 사용 자체가 불가능할 수도 있다. 사용자 PC 자체를 잠그고 원천적으로 사용을 못하게 막아버린 후 금전을 요구하는 형태로 볼 수 있다.

올 상반기 국내에서 가장 많이 유포돼 피해를 유발한 랜섬웨어로는 ‘크립트XXX’가 꼽힌다. 지난달 200만명의 회원을 보유한 인터넷 커뮤니티 ‘뽐뿌’와 언론사 웹사이트 등의 온라인 광고 플랫폼을 통해 유포되면서 많은 피해가 발생했다.

지난 4월부터 발견되기 시작한 ‘크립트XXX’는 플래시나 인터넷 익스플로러의 취약점을 악용한 익스플로잇을 통해 유포된다. 감염되는 과정에서 드롭퍼(Dropper) 악성코드가 확인되지 않는 파일리스(Fileless) 형태로 감염되는 것이 가장 큰 특징이다.

‘크립트XXX’는 1.0이 발견된 지 3주 정도 지난 5월 중순 2.0버전이 발견됐다. 카스퍼스키랩에서 암호화한 파일을 복호화 할 수 있는 툴을 제공하자 이를 우회하기 위해 암호화 모듈을 향상시킨 것으로 보안전문가들은 보고 있다. 기능을 강력하게 하려다 코드에 오류(버그)가 있어 자신들이 만든 복호화 툴로도 정상적으로 복구되지 않는 문제가 발생하기도 했다. 이로 인해 악성코드 제작자들에게 복구비용을 지불한 경우에도 복구할 수 없는 사례가 발견됐고, 이에 제작자들이 해당 오류를 해결한 3.1, 3.2 버전을 연이어 내놓았다.

6월 3일부터 7일 새벽까지 ‘뽐뿌’에서 유포된 ‘크립트XXX’ 랜섬웨어도 3.x버전이다. 플래시로 제작된 특정 사이트의 광고 모듈이 취약한 점을 이용해 멀버타이징(Malvertising) 기법을 통해 유포된 사례로, 해당 광고 업체의 모듈을 사용한 대부분의 사이트에서 피해가 발생한 것으로 알려져 있다.

국내외 보안기업들은 개인·기업 사용자를 가리지 않고 극심한 피해를 유발하고 있는 랜섬웨어에 대한 대응을 강화하고 있다.

안랩, 하우리, 이스트소프트, 트렌드마이크로 등은 랜섬웨어 관련정보와 대응방법, 예방법 등을 안내하는 랜섬웨어 대응(보안)센터를 운영 중이다.

알려진 랜섬웨어는 안티바이러스(백신) 등에서 탐지할 수 있다. 또한 특정 랜섬웨어에 의해 암호화된 파일 복구 툴을 제공하고 있다. 최근에는 전용 랜섬웨어 탐지·차단 솔루션인 ‘안티랜섬웨어’도 개발해 무료로 제공하고 있다.

하우리는 지난달 말 랜섬웨어 전용 차단 프로그램인 ‘바이로봇 안티랜섬웨어’를 일반 사용자에 무료로 공개했다.

‘바이로봇 안티랜섬웨어’는 파일에 대한 접근 제어로 랜섬웨어를 포함한 악성 프로그램이 주요 문서 파일의 내용을 암호화하거나 손상시키는 행위를 차단해 주는 서비스를 제공한다.

바이로봇 안티랜섬웨어
출처 : 하우리

안랩 역시 지난 4일부터 ‘안티랜섬웨어 툴’ 베타버전 배포를 시작했다. 이 툴은 사용자가 인터넷 브라우저나 이메일 첨부파일을 통해 파일을 내려받거나, 웹 취약점에 노출된 사이트에서 사용자 모르게 악성코드가 다운로드돼 실행되는 경우 파일을 자동으로 감지해 안전 여부를 진단한다.

멀티레이어드 랜섬웨어 대응
출처 : 안랩

파일이 다운로드돼 실행될 때 안랩 스마트디펜스(ASD) 클라우드 시스템에서 실시간 안전여부를 진단한다. 해당 파일의 안전성이 불분명하거나 실행파일이 발견된 경우 PC 내 별도의 가상환경에서 파일을 실행시켜 행위를 모니터링한다. 관찰하다 파일 암호화 시도를 보이면 랜섬웨어로 판단해 즉각 차단하고 사용자에게 통지한다.

안랩은 랜섬웨어 및 최신 악성코드에 효과적으로 방어하기 위해 이 툴을 V3 제품과 함께 사용하도록 안내하고 있다.

랜섬웨어 예방법글. 바이라인네트워크
<이유지 기자>yjlee@byline.network

관련 글

첫 댓글

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다