한국랜섬웨어침해대응센터, 상반기 랜섬웨어 침해분석...작년 대비 3.7배 증가
주공격 대상은 보안과 백업이 허술한 PC내 비정형 데이터
[보안뉴스 김태형] 올해 상반기 랜섬웨어 공격은 작년 동기 대비 3.7배나 증가했고 지난해 8가지 종류의 랜섬웨어 공격이 기승을 부렸던 반면, 올해 상반기에는 13가지 종류로 1.6배 증가한 것으로 나타났다.
2016년 상반기 랜섬웨어 침해분석 결과
한국랜섬웨어침해대응센터의 2016년 상반기 랜섬웨어 침해분석 보고서에 따르면, 2015년 미국에 약 3,700억원의 큰 피해를 주었고 우리나라에 3번째로 많이 유포됐던 크립토월 공격이 현저하게 낮아졌다. 하지만 지난 3월 위장 이메일 방식으로 새롭게 등장해 수천개의 기업과 공공기관을 공격한 록키와 6월 초 현충일을 기점으로 대형 IT 커뮤니티인 뽐뿌를 숙주로 뽐뿌 접속자를 대상으로 공격한 울트라크립터가 상반기 가장 큰 피해를 입혔다.
지난 5월초에 피해의 43%를 차지했고 올 초까지 큰 비중을 차지했던 테슬라크립트 복호화 마스터키가 해커에 의해 공개되어 6월 이후 거의 피해가 사라진 상태다.
한국랜섬웨어침해대응센터는 2015년도에 약 53,000명이 감염되어 1,090억원의 피해를 입혔으며, 30억원 정도의 비트코인이 해커에게 지급된 것으로 추정했다. 올해에는 15만명 감염, 3000억원 피해, 100억원의 비트코인이 지급될 것으로 예상했다. 2015년 예상대로 상반기에 작년 대비 1.6배가 많은 랜섬웨어 종류가 나타나 작년 대비 약 3.7배의 피해를 입혔다.
올해에는 일주일 단위로 기존 랜섬웨어 변종과 신종이 출현해 다양한 방어 방법들을 속수무책으로 만들었다. 특히, 위장 이메일 파일첨부 방식인 ‘록키(Locky)’는 자바스크립트(JS) 방식을 도입해 해외사업을 하는 대부분의 기업에 뿌려져 큰 피해를 입혔다. 특이사항은 C&C서버 운영 능력이 다른 해커그룹보다 크게 발전되었고, 네트워크 감염능력이 매우 강했다는 점이다. 비트코인 거래 시 복호화키 수신 신뢰도가 거의 100%에 육박했고, 러시아 IP는 감염시키지 않은 것으로 분석됐다.
6월초 뽐뿌를 공격했던 ‘CryptXXX’는 해커들이 자신들을 보호하기 위해 프로그램 패치를 하면서 실수를 저질러 비트코인 거래를 하더라도 복호화가 되지 않는 문제가 발생하기도 했다. 공격시기를 보면 2015년 10월~12월에 약 75% 정도 집중되었고, 올 상반기에는 5월과 6월 약 2개월 동안 공격비율이 60% 가량을 차지했다. 이 패턴을 보면 크리스마스 휴가 전과 여름휴가 전에 공격이 집중적으로 이뤄지고 있어 올 10월부터 다시 공격이 집중될 것으로 예상되고 있다.
랜섬웨어의 주공격 대상은 PC내에 있는 문서류의 비정형 데이터다. 서버의 DB와 데이터는 기본적으로 보안과 백업 솔루션이 도입되어 있어 공격이 힘들 뿐 아니라, 백업 시스템으로 복구할 수 있어서 피해자로부터 ‘금전‘을 받을 수가 없다. 반면에 PC는 보안이 허술하고 백업체계가 미비해 랜섬웨어 해커들의 주공격 대상이 되었다.
복구과정에서 과다한 복구비용과 데이터 유출 2차 피해 발생
랜섬웨어 감염자에 대한 피해는 총 3단계로 구분된다. 1단계(1차 피해)는 감염 후 ‘데이터 사용 중지 - 업무 중지 또는 비정상적 업무 진행 - 회사/기관의 유무형적 손실 발생’이며 2단계(2차 피해)는 복구 과정에서 ‘금전적 피해 발생과 중요·기밀 데이터 유출 가능성이 상존한다는 것이다.
그리고 3단계(3차 피해)는 비트코인 송금 후, 복구화 키 미접수 혹은 오류 키 접수로 복구가 불가능한 경우다. 안타까운 신고 사연은 다양하다. 병원의 임상실험 데이터, 8년 동안 찍어둔 아기 사진, 과목별로 정리한 파일이 암호화된 수험생, 인쇄 직전의 광고회사, 생산설계도가 감염된 기계 제조회사, 인사자금 기밀파일이 암호화된 대기업과 외국계 회사, 업무 관련 파일이 암호화된 대형 공공기관, 산하기관과 지자체 등 개인으로부터 대중소 기업, 정부기관, 지자체 등 대한민국 전체가 랜섬웨어 감염 피해를 입고 있다.
한편, 감염 사실이 알려지면 조직 내의 감사 혹은 대외적인 보안 신뢰 문제가 발생되기 때문에 이를 보고하지 않고 개인적으로 처리하고 있어 조직적이고 체계적인 침해 대응을 어렵게 만들고 있다는 점도 문제로 지적된다.
10월, 랜섬웨어 대공격에 대비해야
이처럼 랜섬웨어는 악성코드 역사상 최초로 ‘돈 되는 악성코드’이기 때문에 빠른 확산속도는 물론 다양한 형태의 변종으로 진화되어 스미싱과 보이스피싱처럼 우리 사회 전반을 위협하고 있다. 한국랜섬웨어침해대응센터 측은 “사용자들에게 아무리 주의를 당부해도 날마다 새롭게 진화하는 공격자들의 기술을 당할 수 없다. 해커를 살찌우는 비트코인을 보내서는 절대 안 된다”면서도 “이를 위해서는 백신 업그레이드, 보안패치와 백업의 생활화 등 기본적인 사전 예방이 무엇보다 중요하다. 특히, 다가오는 10월 랜섬웨어 대공습에 대비해 철저한 대비를 서둘러야 한다”고 강조했다.
[김태형 기자(boan@boannews.com)]
주공격 대상은 보안과 백업이 허술한 PC내 비정형 데이터
[보안뉴스 김태형] 올해 상반기 랜섬웨어 공격은 작년 동기 대비 3.7배나 증가했고 지난해 8가지 종류의 랜섬웨어 공격이 기승을 부렸던 반면, 올해 상반기에는 13가지 종류로 1.6배 증가한 것으로 나타났다.
2016년 상반기 랜섬웨어 침해분석 결과
한국랜섬웨어침해대응센터의 2016년 상반기 랜섬웨어 침해분석 보고서에 따르면, 2015년 미국에 약 3,700억원의 큰 피해를 주었고 우리나라에 3번째로 많이 유포됐던 크립토월 공격이 현저하게 낮아졌다. 하지만 지난 3월 위장 이메일 방식으로 새롭게 등장해 수천개의 기업과 공공기관을 공격한 록키와 6월 초 현충일을 기점으로 대형 IT 커뮤니티인 뽐뿌를 숙주로 뽐뿌 접속자를 대상으로 공격한 울트라크립터가 상반기 가장 큰 피해를 입혔다.
지난 5월초에 피해의 43%를 차지했고 올 초까지 큰 비중을 차지했던 테슬라크립트 복호화 마스터키가 해커에 의해 공개되어 6월 이후 거의 피해가 사라진 상태다.
한국랜섬웨어침해대응센터는 2015년도에 약 53,000명이 감염되어 1,090억원의 피해를 입혔으며, 30억원 정도의 비트코인이 해커에게 지급된 것으로 추정했다. 올해에는 15만명 감염, 3000억원 피해, 100억원의 비트코인이 지급될 것으로 예상했다. 2015년 예상대로 상반기에 작년 대비 1.6배가 많은 랜섬웨어 종류가 나타나 작년 대비 약 3.7배의 피해를 입혔다.
올해에는 일주일 단위로 기존 랜섬웨어 변종과 신종이 출현해 다양한 방어 방법들을 속수무책으로 만들었다. 특히, 위장 이메일 파일첨부 방식인 ‘록키(Locky)’는 자바스크립트(JS) 방식을 도입해 해외사업을 하는 대부분의 기업에 뿌려져 큰 피해를 입혔다. 특이사항은 C&C서버 운영 능력이 다른 해커그룹보다 크게 발전되었고, 네트워크 감염능력이 매우 강했다는 점이다. 비트코인 거래 시 복호화키 수신 신뢰도가 거의 100%에 육박했고, 러시아 IP는 감염시키지 않은 것으로 분석됐다.
6월초 뽐뿌를 공격했던 ‘CryptXXX’는 해커들이 자신들을 보호하기 위해 프로그램 패치를 하면서 실수를 저질러 비트코인 거래를 하더라도 복호화가 되지 않는 문제가 발생하기도 했다. 공격시기를 보면 2015년 10월~12월에 약 75% 정도 집중되었고, 올 상반기에는 5월과 6월 약 2개월 동안 공격비율이 60% 가량을 차지했다. 이 패턴을 보면 크리스마스 휴가 전과 여름휴가 전에 공격이 집중적으로 이뤄지고 있어 올 10월부터 다시 공격이 집중될 것으로 예상되고 있다.
랜섬웨어의 주공격 대상은 PC내에 있는 문서류의 비정형 데이터다. 서버의 DB와 데이터는 기본적으로 보안과 백업 솔루션이 도입되어 있어 공격이 힘들 뿐 아니라, 백업 시스템으로 복구할 수 있어서 피해자로부터 ‘금전‘을 받을 수가 없다. 반면에 PC는 보안이 허술하고 백업체계가 미비해 랜섬웨어 해커들의 주공격 대상이 되었다.
복구과정에서 과다한 복구비용과 데이터 유출 2차 피해 발생
랜섬웨어 감염자에 대한 피해는 총 3단계로 구분된다. 1단계(1차 피해)는 감염 후 ‘데이터 사용 중지 - 업무 중지 또는 비정상적 업무 진행 - 회사/기관의 유무형적 손실 발생’이며 2단계(2차 피해)는 복구 과정에서 ‘금전적 피해 발생과 중요·기밀 데이터 유출 가능성이 상존한다는 것이다.
그리고 3단계(3차 피해)는 비트코인 송금 후, 복구화 키 미접수 혹은 오류 키 접수로 복구가 불가능한 경우다. 안타까운 신고 사연은 다양하다. 병원의 임상실험 데이터, 8년 동안 찍어둔 아기 사진, 과목별로 정리한 파일이 암호화된 수험생, 인쇄 직전의 광고회사, 생산설계도가 감염된 기계 제조회사, 인사자금 기밀파일이 암호화된 대기업과 외국계 회사, 업무 관련 파일이 암호화된 대형 공공기관, 산하기관과 지자체 등 개인으로부터 대중소 기업, 정부기관, 지자체 등 대한민국 전체가 랜섬웨어 감염 피해를 입고 있다.
한편, 감염 사실이 알려지면 조직 내의 감사 혹은 대외적인 보안 신뢰 문제가 발생되기 때문에 이를 보고하지 않고 개인적으로 처리하고 있어 조직적이고 체계적인 침해 대응을 어렵게 만들고 있다는 점도 문제로 지적된다.
10월, 랜섬웨어 대공격에 대비해야
이처럼 랜섬웨어는 악성코드 역사상 최초로 ‘돈 되는 악성코드’이기 때문에 빠른 확산속도는 물론 다양한 형태의 변종으로 진화되어 스미싱과 보이스피싱처럼 우리 사회 전반을 위협하고 있다. 한국랜섬웨어침해대응센터 측은 “사용자들에게 아무리 주의를 당부해도 날마다 새롭게 진화하는 공격자들의 기술을 당할 수 없다. 해커를 살찌우는 비트코인을 보내서는 절대 안 된다”면서도 “이를 위해서는 백신 업그레이드, 보안패치와 백업의 생활화 등 기본적인 사전 예방이 무엇보다 중요하다. 특히, 다가오는 10월 랜섬웨어 대공습에 대비해 철저한 대비를 서둘러야 한다”고 강조했다.
[김태형 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.JPG)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
