2015년 전 세계 강타한 랜섬웨어 월별 총정리
11월 랜섬웨어 유포, 사상 최대...랜섬웨어 솔루션 우회 등 변종 줄줄이 등장
올 한해는 랜섬웨어가 전 세계를 강타했다. 지난 4월 중순경 한글판 랜섬웨어가 등장한 이후 국내 웹사이트 곳곳에서 유포되며 피해를 양산시켰다. 이렇듯 전 세계가 랜섬웨어로 골머리를 앓으면서 공격기법 또한 날로 지능적으로 변화하고 있으며, 공격대상도 개인에서 기업, 기관 등 특정 타깃으로 확대되고 있다. 이에 본지는 연말기획으로 지난 4월 21일 한글판 랜섬웨어가 국내에 첫 상륙한 이후, 11월까지 랜섬웨어 유포동향을 역순으로 총정리하는 시간을 마련했다.
11월, 변종 랜섬웨어 계속 등장
한글판 랜섬웨어가 한국에 상륙한지 7개월이 지난 11월에는 400개에 달하는 랜섬웨어가 유포된 것으로 집계되면서 사상최고치를 기록했다.
이는 하우리의 바이로봇 APT Shield Radar에서 집계한 결과로 공격방식은 갈수록 진화하고 있으며, 랜섬웨어 변종 역시 계속 등장하는 추세다. 11월 25일에는 랜섬웨어 솔루션을 우회하는 변종 랜섬웨어가, 11월 12일에는 리눅스 서버를 노린 리눅스 랜섬웨어가 발견됐다. 또한, 11월 2일에는 모바일 기기를 타깃으로 한 심플락커 랜섬웨어 공격사례가 증가한다는 소식까지 전해졌다.
안랩에 따르면 11월에 수집된 랜섬웨어 수는 테슬라크립트가 가장 많았으며, 탐지된 PC 수는 크립토락커(Cryptolocker)가 가장 큰 폭으로 증가한 것으로 나타났다.
해외에서는 20개국이 넘는 사용자들의 컴퓨터를 암호화한 코인볼트와 비트크립터 랜섬웨어까지 등장하면서 해외에서도 랜섬웨어 피해가 눈덩이처럼 불어나고 있다.
10월, 랜섬웨어 전달 비해 10배 이상 급증
10월 역시 11월 못지 않게 랜섬웨어가 급증한 것으로 나타났다. 이노티움의 랜섬웨어침해대응센터에 따르면 지난 10월 전달에 비해 랜섬웨어가 10배 이상 급증하는 수치를 보였다. 이를 대변하듯 지난 10월 1일에는 실내악 음악 관련 사이트에서 크립토월 랜섬웨어가 발견되는 등 국내 웹사이트 곳곳에서 랜섬웨어가 포착됐다. 드러나지 않은 건수를 더한다면 피해는 가하급수적으로 증가할 것으로 예상된다.
특히, 10월에는 암호화된 파일명의 확장자를 CCC로 변경하는 테슬라크립트(Teslacrypt) 랜섬웨어의 변형이 크게 증가했다. 안랩에 따르면 랜섬웨어는 내부적으로 버전을 가지고 있는데, 10월까지는 2.1 버전을 유지했고 최근에는 2.2 버전으로 업데이트됐다. 또한, 2.2 버전에서는 윈도우에서 제공한 시동 복구 모드 등을 사용하지 못하도록 하는 증상이 추가된 것으로 알려졌다.
주요 랜섬웨어 3종인 크립토락커, 크립토월, 테슬라크립트가 탐지된 PC 수도 10월말부터 급격히 증가하기 시작했다. 10월부터 증가한 랜섬웨어 수집 수와 탐지 PC 수로 볼 때 이는 복호화 대가로 돈을 지불한 사용자가 증가했거나 국내 사용자 PC에 설치된 멀버타이징 애드웨어가 이용됐을 가능성이 높다고 볼 수 있다.
9월, 추석연휴기간에 랜섬웨어 집중 포화
9월에는 추석연휴기간에 랜섬웨어가 집중적으로 유포됐다. 지난 9월 29일에는 XX테크널러지와 X플랫 사이트에서, 28일에는 XX공제회, XX대공원XXXX캠핑장, XXXX잔 사이트에서 크립토월 랜섬웨어가 발견됐다.
추석연휴기간인 9월 26~28일에는 한국원자력XX회의, XXXX오딧서비스, 오떼XX, XX가치평가, 대전광역시 XXX자본지원센터, XX사이트에서 워드프레스 플러그인 취약점을 악용한 크립토월 3.0 랜섬웨어가 유포됐으며, 9월 27일에는 영어관련 사이트와 XX광역시 사회적자본XXXX 사이트에서 크립토월 랜섬웨어가 발견됐다. 또한, 9월 14일에는 안드로이드 기기 핀락을 변경하는 안드로이드/로커핀이 등장했다.
8월, 윈도우 10 위장과 웹서버 암호화하는 랜섬웨어 등장
지난 8월에는 초순부터 랜섬웨어가 지속적으로 유포됐으며, 8월 3일 윈도우 10을 위장한 크립토락커의 일종인 랜섬웨어가, 8월 1~5일 사이에는 웹서버 파일을 RSA-1024로 암호화 하는 랜섬웨어가 등장했다. 암호화한 파일에는 NK_, BA_, HKK_ 등 2~3자리 영문이 표기돼 있으며, 아시아지역 웹서버를 노린 것으로 분석됐다.
7월, 크립토월 위장한 테슬라크립트 2.0 등장
지난 7월에도 200개가 넘는 랜섬웨어가 유포돼 11월과 10월에 이어 세 번째로 가장 많은 유포 갯수를 기록했다. 특이한 점은 7월 15일에 게임파일을 암호화하고 크립토월을 위장한 테슬라크립트 2.0 버전이 등장하는 등 게임업체를 타깃으로 랜섬웨어가 활개를 쳤다는 것이다.
5월, 워드프레스 플러그인 취약점 이용한 랜섬웨어 등장
이어 6월에는 한글판 크립토락커가 잇따라 포착됐으며, 5월에는 워드프레스 플러그인 취약점을 이용한 랜섬웨어가 두드러졌다. 5월 13일에는 템플릿 워드프레스 플러그인 취약점을 이용한 랜섬웨어가 기능성 헤어제품 판매 웹사이트에서 유포된 정황이 포착됐으며, 5월 10~12일에는 한글판 크립토락커와 워드프레스 취약점을 악용한 랜섬웨어가 국내 웹사이트 타깃으로 유포됐다. 또한, 5월 6일에는 앵글러 EK 형태 랜섬웨어와 Threat Finder 랜섬웨어가 유포됐으며, 5월 1일에는 디도스 공격이 추가된 크립토락커 변종이 발견됐다.
4월, 한글판 랜섬웨어 국내 상륙
올해 4월 중순경에 한글판 랜섬웨어가 국내 커뮤니티 사이트에 처음 등장하면서 급속도로 확산시켰으며, 국내 랜섬웨어 사태의 서막을 열었다.
당시 랜섬웨어가 유포된 커뮤니티 운영자는 “21일 새벽 클리앙이 바이러스에 감염되어 악성코드가 유포됐다”고 밝힌 바 있다.
이와 관련 보안전문 파워블로거 울지 않는 벌새는 “21일 오전 6시경 V3 기준으로 당시 유포에 활용된 URL 노출값이 2,000건이 넘었으며, V3사용자가 아닌 경우도 많으므로 최대 1만명 가까이 위협에 노출됐을 것”이라고 추정했으며, 하우리 최상명 CERT실장은 “IE나 플래시의 경우 해당 프로그램에서 원격코드를 실행할 수 있는 문제가 있어 취약점 패치가 공개됐는데, 만약 패치하지 않았다면 악성코드를 설치하는데 취약점이 악용될 수 있기 때문에 수백, 수천명 이상의 피해자가 발생할 것”이라며 랜섬웨어 확산에 우려를 표한 바 있다.
랜섬웨어로 막대한 수익 창출, 협박형·타깃형으로 진화
이렇듯 지난 4월 한글판 랜섬웨어가 출현한 이후, 11월까지 랜섬웨어로 인한 피해는 물론 공격자들이 벌어들인 수익도 어마어마하다.
카스퍼스키에 따르면 크립토락커를 활용한 범죄 조직은 단 100일만에 3천만 달러의 수익을 올렸고, 크립토월을 통해 3억 2천5백만 달러의 수입을 챙겼다고 밝혔으며, IBM의 X-Force팀은 앵글러(Angler) 익스플로잇 킷의 경우 랜섬웨어를 통해 약 6,000만 달러의 수익을 올렸다고 발표했다.
또한, 사이버 위협 연합(CTA)에 따르면 공격자들은 약 3억2500만 달러(약 3700억 원)의 수익을 올렸고, 406,887번의 크립토월 감염을 시도했다고 밝혔다. 또한 4,046개의 멀웨어 샘플이 탐지됐으며, 공격자들은 명령을 전송하고 데이터를 수신 받기 위해 839개의 명령 및 제어(C&C) URL을 사용했다고 덧붙였다.
이처럼 공격자들은 랜섬웨어를 바탕으로 비트코인이나 돈을 요구하기 때문에 불법적인 수익 창출을 위해 수단과 방법을 가리지 않고 사용자들을 공격했다. 공격방식도 대규모 공격에서 표적형 공격으로 변모하고, 돈을 내지 않으면 파일을 공개하겠다는 협박형으로 진화하고 있다.
멀버타이징 통해 유포, 스팸메일과 다운로드 실행으로 감염
더욱 큰 문제는 최근 랜섬웨어가 다양한 종류의 익스플로잇 킷(Exploit Kit)에 포함돼 멀버타이징(malvertising)을 통해 널리 퍼지고 있다는 점이다. 멀버타이징은 멀웨어(Malware)와 광고(Advertising)의 줄임말로, 광고 또는 애드웨어의 정상적인 네트워크를 이용하여 악성코드를 감염시키는 방법이다. 불특정 다수를 대상으로 감염시킬 수 있고, 유포지를 찾거나 차단하기 어렵게 만든다. 이러한 공격 뒤에는 익스플로잇 킷이라는 도구가 있으며, 최근 공격에는 ‘매그니튜드(Magnitude) 익스플로잇 킷’이 주로 사용되고 있다.
랜섬웨어가 급증하는 이유에 대해 안랩 측은 유포지를 제대로 파악할 수 없다는 점과 공격자가 유포지를 제대로 파악 할 수 없도록 악성코드 제작자들이 ‘멀버타이징(Malvertising)’이라는 교묘한 수법을 사용하기 때문이라고 분석했다.
랜섬웨어 감염경로는 주로 스팸메일과 다운로드 실행 방식(Drive-by-Download)이며, 기업과 개인 사용자 중 개인 PC에서의 탐지 비율이 높은 것으로 드러났다. 또한, 랜섬웨어가 가장 많이 보고되는 시간으로는 오전 8시~9시, 오후 4시~6시, 밤 10~0시인 것으로 나타났다. 랜섬웨어가 탐지된 PC의 운영체제는 Windows 7이 압도적(82%)으로 많았고 그 뒤를 이어 Windows XP와 Windows 8.1이 많았다. 최근 출시된 Windows 10에서의 탐지건수는 1%인 것으로 집계됐다.
이렇듯 피해가 확산되고 있음에도 아직까지 근원적인 해결책은 나오지 못하고 있는 실정이다. 랜섬웨어 보안센터도 잇따라 설립되는 등 정부와 보안업체에서 이를 대응하기 위해 최선을 다하고 있지만, 100% 해결할 수 있는 솔루션은 아직 없는 상황이다. 따라서 중요한 자료는 미리 백업하고, 백신과 소프트웨어 프로그램은 최신 버전으로 유지해야 한다. 또한, 랜섬웨어는 위장 전술이 뛰어난 만큼 메일 수신시 출처가 불분명한 메일은 삭제하고, 지인이 보낸 메일도 반드시 확인하는 것이 중요하다.
<보안뉴스> 김경애 기자 boan3@boannews.com
http://www.boannews.com/media/view.asp?idx=48724&page=1&kind=1
댓글 없음:
댓글 쓰기