랜섬웨어 공격 가장 많이 받은 국가 ‘미국·일본·영국’ 순
OS·브라우저 등, SW 최신 버전 유지·다계층 보안계획 수립해야
[보안뉴스 김태형] 지난 2013년부터 2014년까지 크립토 랜섬웨어(Ransomware)는 약 250% 증가했다. 이제 랜섬웨어는 사물인터넷(IoT)과 웨어러블, 특히 스마트 워치를 새로운 공격 대상으로 삼고 있다.



▲ 시만텍 코리아 윤광택 상무는 “랜섬웨어의 다음 공격 대상은 IoT·웨어러블 기기이다. 현존   하는 안드로이드 랜섬웨어는 안드로이드 스마트워치에서 쉽게 실행되는 것으로 조사됐다”   고 설명했다.
컴퓨터를 잠그거나(Locker ransomware) 파일을 암호화한 후(Crypto ransomware) 잠금 해제 및 암호 해독을 조건으로 금전을 요구하는 랜섬웨어가 수 년간 진화를 거듭하면서 강력한 악성코드로 부상하고 있다. 랜섬웨어는 GDP가 높거나 인구가 많은 국가를 중심으로 전 세계적으로 확산되고 있는 추세다.

시만텍의 조사에 따르면, 지난 1년 간 랜섬웨어 공격을 가장 많이 받은 국가는 미국이었으며, 일본, 영국, 이탈리아, 독일, 러시아가 그 뒤를 이었다. 상위 12개 국가 중 11개국이 직간접적인 G20 회원국인 것으로 조사됐다.

이에 대해 시만텍코리아 박희범 대표는 “보안은 공격에 대한 대비가 중요하다. 개인 이용자들은 최근 무차별 공격을 행하고 있는 ‘크립토락커’에 시달리고 있고 기업은 표적공격에 힘들어 하고 있다”면서 “이러한 공격들은 기존 보안방안과 다르다. 대응을 위해서는 시간도 많이 걸리고 비용도 많이 소요된다”고 말했다.

대표적인 보안위협들은 워드파일이나 웹 엑세스를 통해 공격하는 ‘스피어피싱(Spear Phishing)’과 두 번째는 ‘워터링홀(Watering Hole)’ 공격이다. 이는 이용자들이 많이 가는 웹사이트 등에 미리 악성코드를 심어 놓고 공격하는 방법이다. 그리고 세 번째는 SW를 다운로드 받는 웹사이트를 통해 이용자들이 SW를 다운로드 받을 때 악성코드에 감염시켜 공격하는 방법이다.

박 대표는 “이러한 공격을 하는 악성코드는 가상 환경에서 미리 분석하는 샌드박스 기술을 이용해 탐지해 왔다. 하지만 최근엔 이러한 악성코드가 진화해 샌드박스와 같은 가상 환경에서는 작동하지 않다가 PC환경에서만 작동하는 악성코드로 진화하고 있다”고 덧붙였다.

이에 대해 시만텍코리아 윤광택 제품기술본부장(상무)는 “지난 1989년 최초의 랜섬웨어가 만들어진 이후, 2005년에는 랜섬웨어가 본격적으로 시작됐다. 그 이후 랜섬웨어는 ‘위장 애플리케이션 - 사기성 안티바이러스 - 락커 - 크립토 랜섬웨어로’ 진화했다”면서 “랜섬웨어의 64%는 크립토 랜섬웨어이며 공격자들이 요구하는 평균 금액은 미화 300불로, 미화 약 21불에서 700불까지 다양하다. 현존하는 안드로이드 랜섬웨어는 안드로이드 스마트워치에서 쉽게 실행되는 것으로 조사됐다”고 설명했다.

윤 본부장은 “2012년 당시 랜섬웨어에  감염된 사용자들이 돈을 지불한 것은 2.9%이다. 당시에 공격자들은 돈만 받고 암호를 풀어주지 않았다. 하지만 지금은 사기가 아니란 것을 보증하기 위해서 돈을 받으면 암호를 풀 수 있는 키를 주는 추세로 변화하고 있다”면서 “국내에서 한글화된 랜섬웨어 공격자가 요구한 금액은 50만원이었으며, 공격자는 48시간 이내에 주면 50만원이고 기한을 넘기면 100만원을 요구했다. 실제로 50만원이나 100만원을 준 사람도 있는 것으로 알려졌다”고 덧붙였다.

이는 공격자들이 개인의 업무에 필요한 서류보다는 개인의 사진 등 개인적인 자료와 관련된 것을 노리고 있기 때문이다. 감염경로는 대부분이 웹서핑, 이메일이나 이메일에 포함된 링크 등에 의한 것이다.

이와 같은 랜섬웨어는 최근 아랍어, 일본어, 한글 등을 통해 세계적으로 현지화되면서 계속 증가하고 있다. 공격자들에게 비트코인이 모여지고 흘러가는 것을 모니터링해보면 이들은 하루에 약 천만원 정도의 수익을 내고 있는 것으로 파악되고 있다.

윤광택 본부장은 “아직까지 스마트워치를 겨냥한 랜섬웨어 공격은 보고되지 않았으나, 시만텍은 실험을 통해 일반 안드로이드 랜섬웨어가 안드로이드 웨어 기기 역시 공격할 수 있음을 확인했다”면서 “안드로이드 랜섬웨어인 심플로커(Android.Simplocker).APK 파일을 리패키징해 생성한 안드로이드 웨어용 랜섬웨어를 안드로이드 폰에 설치했다. 안드로이드 폰이 랜섬웨어에 감염되자 페어링된 스마트워치에도 랜섬웨어가 자동으로 푸시됐다. 언제든지 악성코드가 실행될 수 있는 환경이 조성된 것”이라고 설명했다.



이어서 그는 “랜섬웨어가 실행되자 스마트워치의 기능 대부분을 이용할 수 없게 됐다. 심플로커는 매초마다 금전을 요구하는 메시지를 화면에 띄우고, SD 카드에 저장된 대부분의 파일을 암호화해 스마트워치 사용을 불가능하게 했다”고 덧붙였다.
이에 대응하기 위해서는 지속적으로 진화하고 있는 랜섬웨어의 감염방식과 피해사례 등에 대한 교육이 이루어져야 하고 운영체제, 브라우저, 오라클, 어도비 등과 같은 소프트웨어를 최신 버전으로 패치를 해야 한다. 또한, 이메일·웹·엔드포인트의 보안계획을 다계층적으로 수립하고, 포괄적인 엔드포인트 보안 솔루션 사용과 더불어 백업 정책을 마련하는 것도 중요하다. 
[김태형 기자(boan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>