랜섬웨어, 지능형 공격 늘었다…43% 기업 겨냥

[시만텍]

아주경제 이정하 기자 = 랜섬웨어가 더 정교화된 공격 기법으로 비즈니스화 되고 있으며 무차별적 공격에서 점차 '기업'을 겨냥한 표적 공격으로 변화하고 있는 것으로 나타났다.

27일 글로벌 사이버 보안 기업 시만텍이 랜섬웨어의 최신 보안 위협 동향을 담은 '랜섬웨어 스페셜 보고서 2016'을 발표했다.

시만텍은 전 세계에서 가장 포괄적인 인터넷 보안 위협 데이터 수집 체계인 시만텍의 '글로벌 인텔리전스 네트워크(Global Intelligence Network)'를 통해 랜섬웨어 동향을 분석한 결과 ▲랜섬웨어의 기록 갱신 행진 ▲랜섬웨어의 평균 요구 몸값 상승 ▲기업을 겨냥한 표적 공격의 시작 ▲APT 등 지능형 공격 기법 및 신규 위협 ▲랜섬웨어의 비즈니스 모델화 등이 주요 특징으로 조사됐다.

2015년 한 해 동안 100개의 신규 랜섬웨어 패밀리가 발견되며 사상 최대치를 기록했다. 2014년 77개 대비 약 30%나 증가한 수치다. 또한, 파일을 암호화하고 금전을 요구하는 크립토 랜섬웨어(crypto-ransomware)의 확산이 지속되고 있었다.

올해 발견된 랜섬웨어 가운데 단 1개를 제외하고는 모두 크립토 랜섬웨어로 밝혀져 크립토 랜섬웨어가 가장 효과적인 형태로 자리매김하고 있음을 알 수 있다.

국가별 감염 현황을 보면, 전체 감염 건수에서 31%를 차지한 미국이 가장 높았고, 이어 이탈리아(8%), 일본(8%) 순이었다. 한국은 28위로 랜섬웨어 감염국 상위 30에 포함됐다.
 

[랜셈웨어]

또 랜섬웨어 공격을 통해 요구하는 금액도 지속적으로 증가하고 있다. 2014년에는 372달러(한화 약 43만원)에서 2015년 294달러(약 34만원)로 감소했다가, 올 상반기에는 전년대비 2.3배 가까이 상승한 679달러(약 77만원)를 기록했다.

올 1월에는 7ev3n-HONE$T (Trojan.Cryptolocker.AD)로 알려진 랜섬웨어가 컴퓨터 1대 당 13개 비트코인인 5083달러(약 577만원)를 요구하면서 최고 몸값을 기록하기도 했다.

랜섬웨어는 대규모로 무차별하게 감염시키는 공격 형태가 여전히 성행하고 있지만 최근 공격 형태를 살펴보면 기업 사용자를 대상으로 하는 랜섬웨어 패밀리가 발견되는 등 기업이 공격자들의 핵심 표적이 되고 있다.

이번 조사 결과 기업 사용자가 랜섬웨어 감염의 약 43%를 차지했다. 기업을 겨냥한 공격은 성공 시 수천대의 컴퓨터를 감염시켜 운영 장애와 매출, 평판에 심각한 타격을 입힘으로써 몸값이 훨씬 늘어날 수 있다. 피해를 입은 산업별 통계를 보면, 서비스업(38%)과 제조업(17%), 공공(10%), 금융권 및 부동산(10%) 등이 주를 이뤘다.

랜섬웨어는 진화를 거듭하여 지능형 공격 기법을 사용하고 있다. 표적형 랜섬웨어 공격은 사실상 사이버 스파이 활동이나 APT 공격자들이 사용하는 것과 유사한 기술과 툴을 활용해 높은 수준의 전문성을 보인다.

랜섬웨어 패밀리는 자바스크립트, 파워쉘(PowerShell), 파이썬(Python) 등 다양한 프로그래밍 언어로 사용하고 있으며, 스크립트형 언어를 사용하여 보안 제품의 탐지를 우회하기도 한다.

암호화 기능 외에 새로운 위협을 가하기도 한다. 변종인 키메라(Chimera) 랜섬웨어는 돈을 지불하지 않으면 사진, 동영상 등 개인 데이터를 인터넷에 게시하겠다고 위협한다.

랜섬웨어가 사이버 범죄의 인기 비즈니스 모델로 자리 잡고 있음을 알 수 있는 대목이기도 하다. 랜섬웨어 서비스(Ransomware as a service) 확산은 전문기술 수준이 상대적으로 낮은 공격자도 자체 랜섬웨어를 확보할 수 있도록 해서 더 많은 사이버 공격자를 양산시킨다. 실제로 랜섬웨어 공격을 위한 키트나 공격 대행 서비스 상품은 인터넷 암시장을 통해 마치 쇼핑몰에서 물건을 사듯 쉽게 거래되고 있다.

윤광택 시만텍코리아 CTO(최고기술경영자)는 "랜섬웨어가 기업을 겨냥해 지능형 공격기법을 적용하고 표적 공격을 확대하고 있음을 고려했을 때, 단순히 랜섬웨어라는 악성코드만 대응하는 것이 아니라 신종 위협을 비롯해 기업 내 전방위적인 악성코드 대응 전략을 수립하는 것이 필요하다"고 강조했다.

랜섬웨어 공격 수단은 이메일 내 URL 또는 첨부 파일, 익스플로잇 킷을 통한 감염 등 다양하다. 시만텍은 기업 사용자 및 개인 사용자에게 ▲운영체제(OS)를 비롯한 모든 소프트웨어를 항상 최신으로 업데이트할 것 ▲수상한 이메일, 특히 링크나 첨부 파일을 포함하고 있는 이메일은 주의할 것 ▲콘텐츠 확인을 위해 매크로 실행을 권고하는 MS오피스 이메일의 첨부 파일의 경우 각별히 조심할 것. 이메일의 출처를 신뢰할 수 없다면, 매크로를 실행하지 말고 즉시 삭제할 것 ▲중요한 데이터는 주기적으로 백업할 것 등을 권고하고 있다.