본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.


2020년 3분기, 알약을 통해 총 154,801건의 랜섬웨어 행위기반 공격이 차단된 것으로 확인되었습니다.


이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상됩니다.


통계에 따르면, 2020년 3분기 알약을 통해 차단된 랜섬웨어 공격은 총 154,801건으로, 이를 일간 기준으로 환산하면 일 평균 약 1,720건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 다만, 2018년 3분기부터 현재까지 약 2년에 걸쳐 전체 랜섬웨어 공격 건수는 지속적으로 감소되고 있는 추세를 보이고 있습니다.



[그림] 알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 2020년 3분기 랜섬웨어 공격 통계



ESRC는 2020년 3분기 랜섬웨어 주요 동향을 다음과 같이 선정하였습니다.


1) '비너스락커' 그룹이 유포하는 Sodinokibi/Nemty/Makop 등의 RaaS 랜섬웨어를 활용한 공격이 꾸준히 발생

2) 의료 기관 타깃으로 하여 환자의 생명을 위협하는 랜섬웨어 공격 등장

3) 특정 기업에 수백 만 달러를 요구하는 새로운 타깃 랜섬웨어 DarkSide 발견



2020년 3분기에는 다양한 사회적 이슈를 활용하여 사용자로 하여금 랜섬웨어 이메일 첨부파일을 열어보도록 유도하는 WannaCryptor, Makop, Stop 랜섬웨어가 꾸준히 상위권을 유지했으며, 랜섬웨어 공격 건수는 7월과 8월에 다소 감소 하였다가 9월에는 증가 추세를 나타냈습니다.


3분기에는 주목할만한 위협으로는 특정 기업을 타깃으로 하는 DarkSide 랜섬웨어가 새롭게 등장했습니다. DarkSide 해커들은 비영리 기관 등을 제외한 랜섬 지불 여력이 있는 회사만을 타깃으로 공격을 수행했고, 기존 공격 방식인 데이터 암호화 외에도 미리 탈취한 데이터 유출을 빌미로 고액의 랜섬을 요구하는 치밀함을 보였습니다.


또한 9월에는 Ryuk 랜섬웨어 공격으로 인해 미국의 Universal Health Services에서 환자가 사망하는 사건이 발생했습니다. 그 외에도 랜섬웨어 공격으로 인해 독일 뒤셀도르프 대학 병원에 긴급 입원이 필요한 환자가 다른 도시로 이송된 후 사망하는 사건이 보도된 바 있습니다.


7월에는 북한 정부 지원 해커 그룹인 라자루스가 자체 제작한 VHD 랜섬웨어가 확인되었으며, 이들이 기존 공격에서도 자주 활용해온 지능형 지속 공격(APT) 방식과 유사한 방식이 사용되어 북한 해커들이 공격을 계속해서 다각화하며 발전시키고 있음을 보여줍니다. 


위에서 언급한 내용 외에도 기존 랜섬웨어 강자 중 하나인 Sodinokibi는 아르헨티나, 스리랑카 등 전 세계 인터넷 서비스 제공 업체를 대상으로 공격을 이어나가는 양상을 보이고 있으며, 칠레의 대규모 은행을 타깃으로 하는 공격에서도 확인되었습니다.


ESRC 센터장 문종현 이사는 “2020년 3분기 내 유포된 랜섬웨어 중 비너스락커 조직이 Makop, Sodinokibi 랜섬웨어 등을 활용하여 활발히 활동 중임이 수십 차례 포착된 바 있다."고 언급하며, "ESRC에서 선정한 주요 동향 외에도 해외 기업과 의료기관, 산업 시스템을 주로 노렸던 대규모의 랜섬웨어 캠페인의 경우 국내에서는 아직 피해사례가 확인되지 않았으나 미리 대비하는 자세가 필요하다."고 강조했습니다.


이밖에 ESRC에서 밝힌 2020년 3분기에 새로 발견되었거나, 주목할 만한 랜섬웨어는 다음과 같습니다.



 랜섬웨어 명

 주요 내용

 VHD

북한의 라자루스 그룹이 자체 개발한 랜섬웨어로 해당 그룹이 수행해온 기존의 APT 공격 방식과 유사한 특징을 보임

 DarkSide

특정 기업을 타깃으로 하여 고액의 랜섬을 요구하는 랜섬웨어로 Sodinokibi와 여러 유사점을 나타내며 데이터 탈취를 동반하는 수법을 사용함

 RansomBlox

한글 사용자를 타깃으로 하는 랜섬웨어로 암호화된 파일에 대해 금전을 요구하지 않으며 '로블록스(ROBLOX)' 게임을 1시간 이상 플레이해야 파일 복구가 가능한 특징이 있음

 Rabbit

태국어(Thai) 사용자를 표적으로 제작되었으며 특징과 함께 금전 요구 메시지 정보를 Pastebin 서비스에 게시하는 것을 특징으로 하는 랜섬웨어

 RansomEXX

피싱이나 기타 악성코드를 통해 배포되는 것이 아닌 공격자가 대상 네트워크에 직접 액세스한 후 수동으로 '기업명' 확장자를 추가하여 파일을 암호화시키는 랜섬웨어

 ArisLocker

파일 암호화와 더불어 운영 체제에 정크 파일을 생성하는 랜섬웨어로 정크 파일을 생성하여 %TEMP% 폴더에 저장함으로써 원치 않는 프로그램과 프로세스를 백그라운드에서 실행시킴. 또한 CPU 사용량을 늘려 운영 체제 동작을 지연시키고 다른 설치 프로그램이 원활하게 실행되지 않도록 함

 Try2Cry

USB 플래시 드라이브와 윈도우 바로가기 파일(LNK)을 통해 사용자를 감염시키고 또다른 윈도우 시스템으로 악성코드를 유포하는 랜섬웨어로 .doc, .ppt, .jpg, .xls, .pdf, .docx, .pptx, .xlsx 확장자에 해당하는 파일을 암호화하고 파일명에 ".Try2Cry" 확장자를 추가함

 AgeLocker

Age 암호화 툴을 통해 파일을 암호화하는 랜섬웨어로 AES+RSA와 같이 흔히 사용되는 암호화 알고리즘을 사용하는 대신 Age 커맨드 라인 툴을 사용해 피해자의 파일을 암호화하며, 'age-encryption.org' URL로 시작되는 텍스트 헤더가 각 파일에 추가되는 것이 특징



랜섬웨어 유포 케이스의 대다수는 이메일 형태지만, 코로나19 바이러스 확산 방지를 위해 재택 근무를 수행하는 임직원이 증가함에 따라 기업 내부망 접속을 위해 사용되는 재택 근무 단말기 OS/SW 보안 업데이트 점검을 의무화하고 임직원 보안 인식 교육도 병행해야 합니다.


이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.