본문 바로가기

보안칼럼

이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.

2020년 4분기, 알약을 통해 총 172,696건의 랜섬웨어 행위기반 공격이 차단된 것으로 확인되었습니다.

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상됩니다.

통계에 따르면, 2020년 4분기 알약을 통해 차단된 랜섬웨어 공격은 총 172,696건으로, 이를 일간 기준으로 환산하면 일 평균 약 1,910건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 다만, 2018년부터 현재까지 약 2년에 걸쳐 전체 랜섬웨어 공격 건수는 지속적으로 감소되고 있는 추세를 보이고 있습니다.

 

[그림] 알약 랜섬웨어 행위기반 차단 기능'을 통해 차단된 2020년 4분기 랜섬웨어 공격 통계



ESRC는 2020년 4분기 랜섬웨어 주요 동향을 다음과 같이 선정하였습니다.

1) 국내 유명 유통 대기업을 대상으로 하는 Clop 랜섬웨어 캠페인으로 큰 피해 발생
2) '비너스락커' 그룹이 유포하는 RaaS 형태의 Makop 랜섬웨어 공격 꾸준히 발생
3) LockBit, MalLocker, RansomEXX 등 새로운 버전을 사용한 랜섬웨어 공격 다수 발생


2020년 4분기에는 다양한 사회적 이슈를 활용하여 사용자로 하여금 랜섬웨어 이메일 첨부파일을 열어보도록 유도하는 Clop, Sodinokibi, Makop 랜섬웨어가 꾸준히 상위권을 유지했으며, 랜섬웨어 공격 건수는 10월과 11월에 다소 증가하였다가 12월에는 감소 추세를 나타냈습니다.

4분기에는 주목할만한 위협으로는 11월에 발생한 Clop 랜섬웨어의 국내 유통 대기업을 타깃으로 하는 공격으로 해당 기업은 상당한 금전적 피해를 입었습니다. Clop 랜섬웨어 해커들은 사전에 기업 내부 시스템을 조사하여 맞춤형 악성 파일을 사용해 공격을 수행하는 치밀함을 보였으며, 확장명을 변경하는 이전 변종들과 달리 원본 파일명을 그대로 사용함으로써 피해자들의 의심을 피할 수 있었습니다.

10월에는 Sodinokibi 랜섬웨어 해커들이 파일리스 기반의 새로운 변종을 사용하여 공격을 수행한 것으로 확인되었습니다. 악성코드는 주로 피싱 페이지에서의 다운로드를 통해 유포되며, 취약한 Wordpress 환경에서 악성 게시글을 포스팅하여 사용자를 유인하는 방식을 사용했습니다. 12월에는 Gootkit 정보 탈취 트로이 목마가 독일을 타깃으로 하는 새로운 캠페인에서 Sodinokibi 랜섬웨어를 유포한 정황도 확인되었습니다. 

또한 비너스락커 그룹이 10월부터 12월까지 Makop 랜섬웨어를 꾸준히 유포한 것으로 확인되었습니다. 주로 이력서, 저작권 위반, 부당 전자상거래 위반 등의 테마를 활용한 스피어피싱 공격을 수행하였습니다.

이밖에도 LockBit, MalLocker, RansomExx 등 기존의 방식에 새로운 기능을 추가하여 공격을 수행한 여러 랜섬웨어가 확인되었습니다. 은밀하게 내부 네트워크 이동을 통해 감염을 시도하는 LockBit 랜섬웨어, 이전 버전에서는 활용한 적 없는 안드로이드 홈 버튼을 통해 랜섬노트를 표시하고, 오픈소스 기계 학습 모듈을 사용해 오버레이 화면을 기기 화면 크기에 자동으로 맞추는 기능을 탑재하여 등장한 MalLocker 랜섬웨어, 리눅스 버전을 개발해 운영을 확대하고 있는 RansomExx 랜섬웨어 등이 대표적입니다.

ESRC 센터장 문종현 이사는 “2020년 4분기 내 유포된 랜섬웨어 중 비너스락커 조직이 Makop 랜섬웨어를 지속 활용한 정황이 수십 차례 포착된 바 있다."고 언급하며, "ESRC에서 선정한 주요 동향 외에도 해외 기업과 산업 시스템을 주로 노렸던 대규모의 랜섬웨어 캠페인의 경우 국내에서는 아직 피해사례가 확인되지 않았으나 미리 대비하는 자세가 필요하다."고 강조했습니다.

이밖에 ESRC에서 밝힌 2020년 4분기에 새로 발견되었거나, 주목할 만한 랜섬웨어는 다음과 같습니다.

 

 

랜섬웨어 명

주요 내용

Clop 

주로 기업을 대상으로 공격을 수행하는 랜섬웨어로 기업 내부 시스템을 사전에 조사하여 맞춤형 악성파일을 사용함으로써 사전 차단이 어려운 것이 특징. 또한 기존 변종들은 암호화된 파일 확장명을 변경하는 방식으로 진행되었지만, 최근 공격에서는 원본 파일명을 그대로 유지함.

Myransom

PDF가 아닌 PDX 파일 아이콘을 사용하는 랜섬웨어로 일반적인 랜섬웨어와 다르게 확장자 변경이 이루어지지 않는 점이 특징. White 랜섬웨어로도 알려져있으며 최근 국토교통부를 사칭해 청년 인턴 관련 내용으로 파일 실행을 유도함으로써 감염을 시도함.

CoderWare

유명 콘솔게임 'Cyberpunk 2077'으로 위장한 윈도우/모바일 랜섬웨어로 BlackKingdom 랜섬웨어의 변종으로 확인됨. 불법 복제 버전 소프트웨어로 위장해 게임 인스톨러, 치트엔진, 크랙 등의 이름으로 유포됨.

RegretLocker

가상 하드 드라이브(VHD)를 암호화하는 랜섬웨어로 암호화 시작 전 디스크 검사를 통해 가상 하드 디스크 파일을 찾아 오프라인이거나 분리되어 있는 경우 재연결하여 내부 파일 암호화 진행하는 것이 특징.

Fonix

비교적 새로운 형태의 서비스형 랜섬웨어로 다양한 사이버 범죄 포럼에서 여러 제품 형태로 판매됨. 기존의 RaaS와 달리 4가지 암호화 방법을 조합하여 사용하기 때문에 암호화 속도가 느리며, 감염 후 사이클이 복잡하여 운영이 쉽지 않은 것이 특징.

Ranzy Locker

Windows 가상 머신을 대상으로 공격을 수행하는 ThunderX 랜섬웨어 변종. 이전 버전 복호화툴이 공개된 후 새롭게 유포되었으며, 주요 특징들은 이전과 유사함. 많은 랜섬웨어 공격 방식과 유사하게, 데이터 유출을 빌미로 협박하는 이중 탈취 기법을 사용함.

Nefilim

유효한 디지털서명이 포함된 기업 표적형 랜섬웨어로 기업 네트워크에 침투하여 정보를 외부로 유출한 후 마지막 단계에서 파일 암호화 행위를 진행하는 것이 특징. 최근 미국 가전 회사를 대상으로 정보 유출 협상을 시도하였으나 실패함.

Sodinokibi

최근 파일리스 기반의 새로운 방식을 도입한 랜섬웨어로, BlueCrab 이라는 이름으로도 알려짐. 취약한 Wordpress 환경의 웹 서버를 탈취한 후, 악성 게시글을 통해 다운로드 페이지로 위장한 피싱 페이지를 유포함.

Makop

주로 비너스락커 조직이 유포하는 랜섬웨어로 최근 기존의 파일 기반에서 레지스트리 방식의 파일리스 기반으로 변화한 것이 특징. 이를 통해 윈도우 부팅시마다 자동 재실행되도록 함으로써 공격 성공률을 높임.

 

 

랜섬웨어 유포 케이스의 대다수는 이메일 형태지만, 코로나19 바이러스 확산 방지를 위해 재택 근무를 수행하는 임직원이 증가함에 따라 기업 내부망 접속을 위해 사용되는 재택 근무 단말기 OS/SW 보안 업데이트 점검을 의무화하고 임직원 보안 인식 교육도 병행해야 합니다.

이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.