‘Cryptowall4.0·TeslaCrypt 변종’ 확산...공격대상 PC→모바일 확대
[보안뉴스 김태형] 다사다난했던 2015년도 저물어가고 있다. 국내 보안 분야에서는 올 4월 사용자 PC의 파일을 암호화하고 이를 풀어주는 조건으로 금전을 요구하는 랜섬웨어 (Ransomware)가 대량 유포되면서 많은 피해가 발생해 이슈가 됐었다. 이 랜섬웨어는 ‘Ransom(몸값·인질)’과 ‘Ware(상품·제품)’의 합성어로 컴퓨터 사용자의 문서를 인질로 잡고 돈을 요구한다고 해서 붙여졌다.
이제 크리스마스와 연말연시가 다가오면서 이를 악용한 피싱·스미싱 등 보안위협이 급증할 것으로 보이는 가운데, 지인으로 가장한 크리스마스 카드나 연말연시 인사, 출처가 불분명한 호기심을 끄는 메일로 인한 랜섬웨어 감염도 주의해야 할 보안위협 중 하나다.
보안업계에서 랜섬웨어는 올해 최대 보안 위협 중에 하나로 꼽혔으며, 내년에도 보안분야 최대 이슈 중에 하나로 언급되고 있다. 특히 랜섬웨어는 불특정 다수의 개인을 노리는 수법에서 점차 기업을 타깃으로 확대하고 있다. 기업 내 중요 PC나 서버에 있는 정보 중 기밀성이 높거나, 당장 업무에 필요한 파일이 암호화되면 기업은 큰 타격을 입을 수 밖에 없기 때문에 금전을 지불할 확률이 높기 때문.
카스퍼스키랩에 따르면, 올해에만 5만대 이상의 기업 PC가 랜섬웨어 공격을 당한 것으로 나타났는데 이는 지난해 대비 2배나 증가한 것이다. 더욱이 기존 PC를 주요 타깃으로 했던 랜섬웨어는 이제 모바일로 확대되고 있다. 스마트폰 사용자의 개인정보를 노린 모바일 랜섬웨어가 급증하고 있다는 점에서 이를 예측할 수 있다.
올해 사이버 위협 연합(이하 CTA, Cyber Threat Alliance)의 공동 창립벤더인 포티넷, 인텔 시큐리티, 팔로알토 네트웍스, 시만텍 등이 지금까지 크립토월(CryptoWall) 랜섬웨어의 진화와 세계적인 영향력을 연구한 결과 보고서를 지난 11월 발표했다.
이 보고서에 따르면, 공격자들은 현재까지 약 3억2500만 달러(약 3700억원)의 수익을 올렸다. 여기에는 피해자들이 암호화를 풀고 그들의 파일을 되찾기 위해 지불한 ‘몸값’도 포함되어 있다. 또한, 406,887번의 크립토월(CryptoWall) 감염이 시도됐으며 4,046개의 멀웨어 샘플이 탐지됐다. 그리고 사이버 공격자들은 명령을 전송하고 데이터를 수신 받기 위해 839개의 명령 및 제어(C&C) URL을 사용했다. 전 세계적으로 수 억건의 피해로 수 십만 명에 이르는 피해자가 발생했으며 이는 대부분 북미 지역에 집중되어 있었다.
또 글로벌 모바일 백신 360시큐리티(360 Security)에 따르면, 올해 3분기까지 모바일 랜섬웨어를 분석한 결과, 올해에만 약 40,000건 이상의 랜섬웨어가 확산된 것으로 집계됐다. 2014년 한 해 동안 탐지된 모바일 랜섬웨어는 약 6,000건으로 전년 대비 6배 이상 증가한 수치다.
올해 급증한 형태의 모바일 랜섬웨어는 단순히 스마트폰 기기를 잠그는 락커 방식과 기기 내 중요 파일을 암호화하는 크립토 방식이 주를 이룬다. 이외에도 모바일 랜섬웨어는 그 확산 정도와 방식이 정교해져 사용자들의 주의가 요구되고 있다.
이와 관련 국내 백신 알약 개발사 이스트소프트의 보고서에 따르면, 올해 상반기부터 조금씩 증가하기 시작한 랜섬웨어는 2015년 하반기에 그 피해사례가 급증했다. 이는 2016년에도 여전히 활발하게 이뤄질 것으로 예상된다고 밝혔다. 또한 기존 Windows OS(윈도 OS) 사용자뿐만 아니라, 리눅스, OS X와 같은 기타 OS 및 스마트폰 등 모바일 기기를 타깃으로 랜섬웨어의 공격 범위가 확대될 것으로 예상했다.
이에 알약은 최근 ‘랜섬웨어 차단 기능’을 추가한 새 업데이트 버전을 출시했다. 이번 업데이트를 통해 알약은 현재까지 알려진 대부분의 랜섬웨어 공격을 감지해 사전에 방어할 수 있게 되었으며, 이를 통해 사용자가 보유한 중요 파일이 암호화되는 랜섬웨어 감염 피해를 효과적으로 차단할 수 있게 됐으며 ‘랜섬웨어 차단’ 기능 업데이트와 함께 랜섬웨어와 관련 다양한 정보를 접할 수 있는 특별페이지도 알약 공식홈페이지에 오픈했다고 밝혔다.
또 국내 백신 V3의 안랩도 올 한해 국내 보안 위협을 분석한 결과 올해는 기존 위협 심화와 랜섬웨어 등 신종 등장으로 끊임없이 사이버 공격이 지속됐다고 발표했다. 안랩에 따르면, 올 4월 국내 유명 커뮤니티에서 시작된 한글버전 크립토락커 유포를 기점으로 랜섬웨어가 증가세를 보였으며 초기 랜섬웨어가 주로 문서파일과 이미지 파일 등을 암호화하던 것에서 벗어나, 실행파일(.exe)을 포함한 140여개 이상 확장자까지 암호화 대상이 늘어났다고 밝혔다. 또 데이터 암호화 방식 외에 화면 잠금 방식으로 PC 구동 자체를 불가능하게 하는 랜섬웨어도 등장한 것도 특징이라고 설명했다.
이에 ‘안랩 V3’는 랜섬웨어를 비롯한 수많은 악성코드에 대한 진단 값(시그니처) 반영 및 특정 행위 패턴 분석으로 대응하고 있으며 현재까지 알려진 대부분의 랜섬웨어에 이미 대응하고 있다고 밝혔다.
아울러 이노티움은 ‘랜섬웨어침해대응센터’를 설립하고 운영에 들어갔으며 글로벌 보안업체 트렌드마이크로와 데이터 복구회사인 명정보기술과 공동으로 ‘랜섬웨어 침해대응 글로벌 방어군’을 결성하기도 했다. 이를 통해 랜섬웨어 침해사고 신고 접수 및 초기 대응 지원과 유포 랜섬웨어 기술분석, 피해복구 및 예방을 위한 컨설팅, 침해사고 통계 및 분석업무를 수행한다. 또한 해커 추적을 위해 악성코드를 분석하고 침해 예방을 위해 보안과 백업의 융합보안기술을 개발하고 있으며 랜섬웨어에 침해되지 않는 외장형 저장장치를 개발해 랜섬웨어 침해대응 전문몰과 3사의 판매 네트워크를 통해 공급할 계획이다.
▲ 랜섬웨어 종류별 통계(출처: 한국랜섬웨어침해대응센터)
이노티움 이형택 대표는 “지난 10월부터 11월까지 진화된 변종 랜섬웨어 공격으로 피해가 급증했다. 지난 3월~9월까지 579건(월평균 85건)에서 10월 한달간 656건으로 8배가 증가했으며 11월 한달간 927건으로 감염피해가 11배로 급증했다”면서 “3대 랜섬웨어, CryptoLocker(42%), TeslaCrypt변종(37%), Cryptowall(15%)의 점유율이 94%를 차지했다”고 밝혔다.
이어서 그는 “최근엔 ‘Cryptowall4.0’이 호주에서 피해 확산 후, 한국으로 이동 중이며 ‘TeslaCrypt변종’이 일본에서 감염과 피해가 급증하고 있다. 이와 같은 랜섬웨어 피해를 최소화하거나 예방하기 위해서는 신속한 데이터 백업 및 랜섬웨어 차단 기능의 백신설치가 필요하다”고 강조했다.
이와 같은 랜섬웨어 감염 예방을 위해서는 인터넷 익스플로러, 플래시 플레이어 등에 대한 최신 보안 업데이트를 유지해야하고 중요한 문서는 미리 백업을 해두는 습관이 필요하다. 그리고 출처가 불분명한 메일 삭제, 수상한 웹사이트 방문 자제, 사용자의 호기심을 이끄는 메일 제목일 경우 특히 발신인이 확인되지 않으면 클릭하지 말아야 하며, 지인의 메일도 한번 더 확인해야 할 필요가 있다. 아울러 웹사이트 관리자는 자사의 웹 서버 보안에 각별히 신경을 써야하며 자사의 SW 취약점이 악성코드 유포에 활용되지 않도록 관리를 강화해야 예방할 수 있다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>