보안 전문 기업 이스트시큐리티(대표 정상원)는 자사의 백신 프로그램 ‘알약’을 통해, 2021년 1분기 총 15만8188건의 랜섬웨어 공격을 차단했다고 12일 밝혔다. 

통계에 따르면 2021년 2분기 알약을 통해 차단된 랜섬웨어 공격은 ▲총 15만8188건으로, 이를 일간 기준으로 환산하면 일평균 ▲약 1758건의 랜섬웨어 공격이 차단된 것으로 볼 수 있다.

또한, 1분기 차단된 랜섬웨어 공격은 총 15만 4887건으로, 올해 상반기 알약을 통해 차단된 랜섬웨어 공격은 총 31만3075건에 이른다.

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 추정된다.

또한, 최근 2년여간은 랜섬웨어 공격수가 지속적으로 감소하는 추세를 보였으나, 이번 2분기에는 1분기에 비해 소폭 증가한 것으로 나타나 주의가 필요하다.

이스트시큐리티 대응센터(이하 ESRC)는 2021년 2분기에 발견된 주요 랜섬웨어 보안 위협으로, 2021년 2분기에는 ▲소디노키비(Sodinokibi) 조직의 공격 확산과 리눅스 변종 랜섬웨어 발견, ▲미 최대 송유관 회사인 콜로니얼 파이프라인(Colonial Pipeline) 등 국가 인프라 대상 대규모 공격 발생, ▲바북락커(Babuk Locker) 랜섬웨어 빌더 유출에 따른 변종 출현과 피해 사례 발생, ▲비너스락커 그룹의 마콥(Makop) 랜섬웨어 위협 지속을 꼽았다.

먼저 소디노키비 조직은 올해 4월 Apple의 핵심 공급업체인 대만의 ‘Quanta Computer’, 6월에는 미국 식품 가공 업체 ‘JBS Food’ 및 일본 기업 ‘Fujifilm’ 등 세계적인 대기업을 대상으로 공격을 감행했다. 이 공격으로 인해 각 기업의 생산 시설이 일정 시간 중단되는 등 시스템 운영에 어려움을 겪었으며, 해커들은 탈취한 데이터 중 핵심적인 기업 기밀 사항을 유출하겠다고 협박하는 ‘이중 갈취’ 전략을 사용함으로써 랜섬 지불을 더욱 효과적으로 유도했다.

또한 6월 말에는 VM웨어 ESXi를 공격하는 소디노키비 랜섬웨어의 새로운 리눅스 변종이 발견되기도 했다.

한편, 지난 5월에는 미국 최대 송유관 기업인 ‘콜로니얼 파이프라인’의 시설을 노린 다크사이드(Darkside) 랜섬웨어 공격이 발생해, 세계의 주목을 끌었다. 이 공격으로 미 전역에 공급되는 5,500마일 길이의 파이프라인 운영이 5일간 중단되었고, 5백만 달러에 달하는 거액의 랜섬머니를 지불한 뒤 비소로 운영을 재개했다.

이번 공격은 에너지 산업의 핵심 인프라에 대한 사이버 공격이 매우 위험할 수 있음을 다시 한번 보여주는 사례로 평가된다.

이스트시큐리티 ESRC 이지현 팀장은 “2021년 2분기에도 비너스락커 그룹의 Makop 랜섬웨어를 활용한 공격이 지속적으로 발견되는 등 최근 해커들이 기존에 잘 알려진 랜섬웨어의 소스 코드나 공격 방식을 활용해 공격 효율성을 높이고 있다”며, “또한 국가 핵심 인프라 시설 및 유통 기업을 대상으로 하는 대규모 공격들도 과감하게 이루어지고 있어, 기업과 개인들은 주기적인 백업 및 안전한 보안 시스템 구축 등을 통해 감염 피해를 사전에 대비하는 자세가 필요하다"고 강조했다.

ESRC에서 밝힌 2021년 2분기에 새롭게 발견되었거나 주목할만한 랜섬웨어는 다음과 같으며, 관련된 보다 상세한 내용은 알약 공식 블로그(https://blog.alyac.co.kr)에서 확인할 수 있다.

한편, 이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과 랜섬웨어 정보 수집 및 유기적인 대응 협력을 진행하고 있다. 

[용어 설명] 랜섬웨어 명

주요 내용

FiveHands

DeathRansom(HELLOKITTY) 변종 랜섬웨어로, UNC2447 사이버 범죄 조직이 SonicWall VPN 제로데이(0-Day) 취약점을 이용하여 유럽, 북미 지역을 대상으로 SombRAT 악성코드 감염을 시킨 후 유포됨.

Nitro

디스코드(Discord) Nitro 선물 코드를 랜섬머니로 요구하는 랜섬웨어로, 암호화된 파일에 '.givemenitro' 확장자를 추가함. 또한 피해자 바탕화면을 화난 표정을 지은 디스코드(Discord) 로고로 변경하며, 피해자가 유효한 선물코드 링크 입력시 파일을 복호화함.

Epsilon Red

Microsoft Exchange 서버의 패치되지 않은 취약점 'ProxyLogon' 을 악용하는 랜섬웨어로, 암호화된 파일에 확장자 '.epsilonred'를 추가함. Golang(Go) 언어로 작성되었으며, Sodinokibi 랜섬웨어의 랜섬노트를 일부 모방하여 사용함.

Marketo

일본의 중장비 업체 ‘고마쓰(KOMATSU)’를 해킹했다고 밝히며, 산업기밀 및 개인정보를 경쟁사에 유출했다는 내용으로 피해자의 랜섬 지불을 압박한 랜섬웨어로, 이중 갈취 수법에서 한 단계 진화한 형태로 제작됨. 세계적인 중장비 업체들의 이메일 주소를 함께 공개해 주장의 신뢰성을 높임.

Cring

패치되지 않은 Fortinet VPN 기기를 공격한 랜섬웨어로, CVE-2018-13379 취약점을 적극적으로 악용함. 파일 암호화 후 최대 2BTC를 랜섬으로 요구하며, Cobalt Strike 프레임워크를 사용해 랜섬웨어를 배포함.

N3TW0RM

이스라엘에 위치한 기업 및 비영리단체를 타깃으로 공격을 수행한 랜섬웨어로, 파일 암호화 및 데이터 유출 협박을 동시에 진행하는 '이중 갈취' 전략을 사용함. 클라이언트-서버 모델을 사용하여 공격을 수행하며, 암호화된 파일에는 '.n3tworm' 확장자가 추가됨.

DarkRadiation

Linux와 Docker 클라우드 컨테이너를 타깃으로 하며 Bash 셸로 작성된 랜섬웨어로, 암호화된 파일의 이름에 방사능 기호를 추가함. 복잡한 Bash 스크립트 모음과 최소 6개의 C2를 사용하며, 하드코딩된 API 키를 사용해 Telegram 봇과 통신하는 것이 특징.

Cuba

암호화된 파일 내부에 피델 카스트로(Fidel Castro)를 지칭하는 문구가 포함된 랜섬웨어로, 카리브 제도에 위치한 쿠바(Cuba) 국가를 연상시키는 파일 확장명이 포함됨. 북미, 남미, 유럽 전역의 금융 기관, 기술, 물류 산업을 타깃으로 공격을 수행함.

저작권자 © 파이낸셜포스트 무단전재 및 재배포 금지
관련기사