이스트시큐리티, 알약 2분기 랜섬웨어 5만8575건 차단

By곽중희

RaaS 생태계 ‘재편’…와이퍼·탈취 등 정교한 공격 늘어

보안 기업 이스트시큐리티(대표 정진일)는 2025년 2분기 자사 백신 솔루션 ‘알약’을 통해 총 5만8575건의 랜섬웨어를 사전 차단했다고 5일 밝혔다. 하루 평균 약 637건의 공격이 탐지·차단된 수치다.

이스트시큐리티는 이번 분기의 주요 랜섬웨어 동향으로 ▲국제 공조 기반 소탕 작전 확대 ▲드래곤포스(DragonForce)의 급부상 ▲신규 랜섬웨어 증가 ▲공격 방식의 고도화 등을 꼽았다.

지난 5월 유로폴(Europol)과 유로저스트(Eurojust)가 주도한 ‘엔드게임 2.0(Operation Endgame 2.0)’ 작전에서는 다나봇(DanaBot), 콕봇(Qakbot), 하이잭로더(HijackLoader) 등 악성코드 유포 인프라를 타격해 300대 이상 서버를 압수하고 650여개 도메인을 차단했다. 이는 2024년 진행된 1차 작전의 연장선으로, 국제 공조를 통한 인프라 무력화가 본격화되고 있음을 보여준다는 게 회사측 설명이다.

지난 4월에는 랜섬웨어 서비스형 모델(RaaS) 조직인 랜섬허브(RansomHub)는 인프라 중단 및 공식 활동 종료를 선언했다. 이스트시큐리티는 그 배경에 경쟁 조직인 드래곤포스의 적대적 인수 시도가 있었던 것으로 분석했다. 드래곤포스는 3월 스스로를 ‘랜섬웨어 카르텔’로 선언하고, 파트너 브랜드별 공격이 가능한 화이트라벨 체계와 수익 공유 모델(80%)을 내세우며 빠르게 세력을 확장하고 있다.

2분기 새롭게 등장한 랜섬웨어도 다수 확인됐다. 대표적으로는 ▲건라(Gunra) ▲사일런트(Silent) ▲제이그룹(JGroup) ▲다이어울프(DireWolf) ▲데이터캐리(DataCarry) ▲새턴록(SatanLock) 등이 있다. 특히 건라는 콘티(Conti) 기반으로, 윈도우 WMI를 활용한 섀도 복사본 삭제 및 이중 갈취 기능을 탑재한 것이 특징이다.

공격 방식도 진화하고 있다. 아누비스(Anubis)는 암호화와 함께 파일 자체를 파괴하는 와이퍼 기능을 내장해, 몸값을 지불해도 복구가 어려운 구조다. 세이프페이(SafePay)는 민감 정보를 우선 탈취한 뒤 선공개 방식으로 협박 강도를 높였다. 포그(Fog)는 오픈소스 도구를 활용해 탐지를 우회하고 자동 전파 기능까지 구현했으며, 인터록(Interlock)은 가짜 캡차와 클릭픽스(ClickFix) 기법으로 IT 관리자까지 타깃으로 삼았다.

이스트시큐리티 시큐리티대응센터(ESRC) 관계자는 “랜섬웨어 생태계는 드래곤포스와 같은 분산형 모델로 재편되고 있다”며 “보안 담당자들은 최신 보안 패치 적용과 사용자 권한 관리, 주기적 교육을 통해 공격 대응 역량을 강화해야 한다”고 말했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.