"지난해 알약 차단 랜섬웨어공격 140만건"

지난해 공개용 알약 백신으로 차단된 랜섬웨어 공격이 140만건으로 집계됐다.

이스트시큐리티(대표 정상원)는 알약의 '랜섬웨어 행위기반 사전차단 기능'으로 차단된 랜섬웨어 공격이 지난해 4분기 33만2천179건, 2018년 한 해 차단된 공격이 139만6천700여건을 기록했다고 14일 밝혔다.

이스트시큐리티 측 설명에 따르면 이 통계는 일반사용자 대상으로 제공하는 공개용 알약의 기능을 통해 차단된 공격만 집계한 결과다. 패턴 기반 공격을 포함하면 전체 공격 건수는 더 많아진다.

이스트시큐리티 시큐리티대응센터(ESRC)장 문종현 이사는 "2018년 한 해 동안 알약을 통해 총 139만6천700여 건의 랜섬웨어 공격이 차단됐고 전체 공격 중 갠드크랩 랜섬웨어 공격 비중이 3분의 1 이상 차지해 압도적으로 높았다"고 밝혔다.

갠드크랩은 대표적인 서비스형 랜섬웨어(RaaS) 기반 악성코드다. RaaS는 유포자가 별다른 전문기술을 보유하지 않고 랜섬웨어 악성코드를 제작해 제공하는 범죄자를 통해 랜섬웨어를 유포하고 범죄수익을 거둘 수 있는 방식을 뜻한다.

문 이사는 "지난 2017년 5월 세계적으로 이슈였던 '워너크라이' 랜섬웨어가 여전히 위협적인 것으로 나타났다"며 "워너크라이의 네트워크 전파 기능을 차단할 SMB 취약점 패치가 적용되지 않은 시스템이 여전히 많다는 뜻"이라고 지적했다.

이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있다고 강조했다.

지난해 4분기 통계만 놓고 보면 알약으로 차단된 공격은 33만2천179건이다. 일평균 3천691건이 차단됐다는 뜻이다. 전분기 대비 증감폭은 크지 않았지만 8월과 9월 연속 하락세였던 공격이 10월 다시 상승 양상을 보여, 전분기 평균과 비슷한 차단수치를 기록했다.

ESRC 측은 4분기 유포된 주요 랜섬웨어로 갠드크랩(GandCrab), 위챗(WeChat), 페이스북(Facebook) 오바마(Obama), 붐(BOOM), 다르마(Dharma), 정글섹(JungleSec), 파이로키(PyLocky), 류크(Ryuk) 등으로 명명된 악성코드를 꼽았다.

갠드크랩은 입사지원서, 임금체불관련 출석요구서, 저작권위반통지 등으로 위장한 다양한 악성메일로 유포됐다. 공격자는 사용자가 첨부파일이나 URL을 누르도록 유도하는 사회공학적 공격기법을 주로 사용했다.

위챗랜섬웨어는 랜섬머니를 암호화폐 대신 '위챗페이'로 요구하는 악성코드다. 100만명 이상 감염자를 단기간에 발생시켰다.

페이스북랜섬웨어는 페이스북 아이콘으로 위장한 랜섬웨어다. 히든티어(HiddenTear)라는 오픈소스 기반으로 제작됐다.

오바마랜섬웨어는 EXE파일만 암호화한 다음 오바마 전 미국 대통령 사진과 함께 복호화 방법을 알려 주는 랜섬웨어다.

붐랜섬웨어는 랜섬머니 거래연락처로 페이스북계정을 사용하는 랜섬웨어다.

다르마랜섬웨어는 파일관리프로그램으로 위장하며 윈도시스템 복원지점을 지워 사용자 시스템복구를 방해하는 동작을 수행한다.

정글섹랜섬웨어는 IPMI카드를 통해 사용자PC를 감염시키는 악성코드다. 윈도, 리눅스, 맥 등 PC에 피해를 줄 수 있다.

관련기사

파이로키랜섬웨어는 안티머신러닝 기술을 탑재해 분석과 탐지가 어렵게 만들어진 악성코드다. 프랑스 등 유럽지역서 스팸으로 유포됐다.

류크랜섬웨어는 에르메스(Hermes) 랜섬웨어 변종으로 지난해 3분기 최초 등장했다. 10월과 12월에 각각 미국 노스캐롤라이나 상하수도청과 미국 주요 일간지 인쇄배포시스템을 공격했다. 제조공장, 제조기업, 기반시설을 노리는 표적형 랜섬웨어다.