2016년 1분기 랜섬웨어 주요 트렌드 3가지

2016-04-06 17:05
  • 카카오톡
  • 네이버 블로그
  • url
1분기 랜섬웨어 주요 트렌드: 유포 다양화, 유포 파일 형태의 ‘확대’, 서비스화

[보안뉴스 김경애] 올해 1분기 랜섬웨어의 주요 트렌드는 △랜섬웨어 유포방법의 ‘다양화’ △유포 파일 형태의 ‘확대’ △랜섬웨어의 ‘서비스화’ 등으로 나타났다.



안랩(대표 권치중, www.ahnlab.com)은 올해 1분기 국내 및 해외에서 발견된 대량 스팸메일로 유포되는 ‘록키(Locky)’, 맥 OS X에서 동작하는 ‘키레인저(Keranger)’등 총 13종의 특징과 흐름을 분석해 ‘1분기 랜섬웨어 트렌드’를 발표했다.

랜섬웨어 유포방식의 ‘다양화’
이메일 첨부파일/메신저 전파 등 고전 기법에 각종 응용프로그램, OS, 웹 취약점 및 토렌트 등 유포 방식 증가
2014년 발견된 크립토락커는 문서파일로 위장한 이메일 첨부파일 및 조직 내부에서 사용하는 메신저 프로그램의 대화 메시지를 통해 전파하는 전통적인 방식을 사용했다. 올 1분기에는 이런 전통적인 방식에 더해 OS(운영체제), 응용 프로그램, 웹 서버의 보안 취약점 등을 활용하는 방식이 발견됐다. 또한, 국내외 웹사이트와 연계되어 동작하는 광고 사이트의 정상적인 네트워크를 악용하는 멀버타이징(Malvertising), 사용자의 PC가 직접 서버가 되어 사용자끼리 파일을 공유하는 토렌트(Torrent) 서비스를 악용하는 등 감염효과를 극대화시키기 위한 다양한 시도가 발견됐다.

유포 파일 형태의 ‘확대’
문서(.doc, .pdf), 화면보호기(.scr)등 기존 악용 파일에 매크로, 자바스크립트(.js)까지 활용
초기 랜섬웨어는 문서파일(.doc, .pdf)로 위장하거나 화면 보호기 파일(.scr)로 유포됐으며, 이는 현재도 꾸준히 발견되고 있다. 올 1분기에는 기존 파일 형태 외에 매크로와 자바스크립트 등을 활용하는 등 유포에 악용되는 파일 형태도 확대됐다. 최근 이슈가 된 록키(locky) 랜섬웨어는 미국, 일본, 중국 등 해외에서 온 송장(invoice), 지급(Payment) 등을 위장한 정상 문서파일에 악성 매크로를 포함시켜 실행을 유도해 랜섬웨어를 외부에서 다운로드 하는 방식이 발견된 이후, 첨부파일에 프로그래밍 언어인 자바 스크립트(.js)를 포함시켜 이를 실행하면 랜섬웨어를 다운로드하는 방식의 변종도 발견됐다.

랜섬웨어의 ‘서비스화’
랜섬웨어 제작대행, 입금 유도 라이브챗, 수준높은 디자인 등 서비스화 가속
기존 랜섬웨어에는 없었던 새로운 변화도 나타났다. 먼저 랜섬웨어를 제작∙배포하려는 사람을 대행해 랜섬웨어를 제작해주는 ‘RaaS(Ransomware as a service)’가 등장했다. 이 제작자들은 랜섬웨어의 전파, 감염 현황에 대한 정보를 ‘고객’에게 제공하기도 한다. 또한, 감염자를 대상으로 현재 상황과 입금방법을 상담하는 ‘라이브챗’ 기능을 탑재한 랜섬웨어도 등장했다. 이외에 디자인도 정식 서비스처럼 수준높게 구성해 피해자가 마치 ‘피해 구제 서비스’를 받는 것처럼 착각하도록 제작한 랜섬웨어들도 있었다.

랜섬웨어는 수많은 신변종이 지속적으로 발생하고 있기 때문에 피해를 줄이기 위해서는 △수상한 이메일 첨부파일 및 URL 실행 금지 △중요한 데이터는 외부 저장장치로 백업 △백신 최신 업데이트 유지 △운영체제(OS)/SW프로그램의 최신 보안패치 적용 △신뢰할 수 없는 웹사이트 방문 자제 등 기본 보안수칙을 생활화 하는 자세가 필요하다.



안랩 ASEC대응팀 박태환 팀장은 “2013년부터 미국, 중국, 일본, 독일, 영국 등 글로벌 지역에서 피해를 기록한 랜섬웨어는 점점 버전 업그레이드나 다른 영역과 제휴를 하는 등 나름의 실적을 위한 ‘서비스 체계’를 갖춰가고 있다”며 “따라서 앞으로 랜섬웨어는 더욱 교묘해지고 고도화할 가능성이 높아 법인 및 개인 사용자들의 주의가 필요하다”고 말했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다봄씨엔에스

    • 아이디스

    • 씨프로

    • 웹게이트

    • 지오멕스소프트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지
      줌카메라

    • 지인테크

    • 다후아테크놀로지코리아

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 혜성테크윈

    • 시큐인포

    • 미래정보기술(주)

    • 프로브디지털

    • 인텔리빅스

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 세연테크

    • 비전정보통신

    • 디비시스

    • 동양유니텍

    • 스피어AX

    • 투윈스컴

    • 아이리스아이디

    • 한결피아이에프

    • 유에치디프로

    • 위트콘

    • 주식회사 에스카

    • 포엠아이텍

    • 세렉스

    • 안랩

    • 이글루코퍼레이션

    • 엔피코어

    • 시만텍

    • 트렐릭스

    • 스텔라사이버

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 미래시그널

    • 케이제이테크

    • 알에프코리아

    • 유투에스알

    • 아이엔아이

    • (주)일산정밀

    • 새눈

    • 에스에스티랩

    • 이스트컨트롤

    • 태정이엔지

    • 네티마시스템

    • 구네보코리아주식회사

    • 티에스아이솔루션

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 넥스트림

    • 에이앤티글로벌

    • 현대틸스
      팬틸트 / 카메라

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 엘림광통신

    • 보문테크닉스

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 이오씨

    • 글로넥스

    • 메트로게이트
      시큐리티 게이트

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기