.gif)
1위 (스팸)메일을 통한 감염, 2위 보안이 취약한 웹사이트, 3위 스마트폰
[보안뉴스 김경애] 최근 들어 랜섬웨어가 기승을 부리고 있는 가운데 랜섬웨어 감염경로 1순위가 (스팸)메일을 통한 감염으로 조사돼 메일 수신시 이용자들의 각별한 주의가 요구된다.
이는 본지가 기관 및 기업의 정보보호최고책임자와 보안담당자, 개인정보처리자 등 총 4,063명을 대상으로 ‘귀사 임직원이나 본인이 랜섬웨어에 감염된 적이 있나요? 감염된 적 있다면 감염경로와 대응조치는?’이란 주제로 설문조사한 결과에 따른 것이다.
랜섬웨어에 감염된 적이 없다고 응답한 비율이 65.92%으로 가장 높았지만, 전체 응답자 중 17.04%가 (스팸)메일을 통한 감염이라고 답변했다. 감염된 적이 없다는 응답자를 제외하면 메일이 랜섬웨어 감염경로 1위로 나타난 셈이다. 더욱이 스팸메일을 비롯해 웹사이트, 스마트폰 등을 통한 감염까지 포함하면 10명 중 3명 꼴로 랜섬웨어에 감염된 적이 있다는 통계여서 랜섬웨어가 그만큼 심각한 보안위협으로 국내에서 급부상하고 있다는 것을 대변하고 있다.
랜섬웨어는 잠긴 데이터를 풀어주는 조건으로 비트코인이나 돈을 요구하며 이용자를 협박하는 것이 특징이다.
이미 지난 10월 랜섬웨어가 9월의 10배 이상 급증한 것으로 나타났다. 이와 관련 한 보안전문가는 “공공기관을 타깃으로 한 랜섬웨어도 상당수 포착되고 있다”며 “랜섬웨어 뿐만 아니라 각종 악성URL도 기승을 부리고 있다”고 밝혔다.
해외 역시 랜섬웨어로 인해 몸살을 앓고 있다. 마이크로소프트가 지난 8월 29일 전 세계 190개국에서 윈도우10을 공식 출시하고 무료 업그레이드 서비스를 제공한지 3일 만에 ‘윈도우10’으로 위장한 ‘크립토락커(CTB-Locker)’ 일종의 랜섬웨어가 등장하는가 하면, 지난 9월에는 네덜란드 경찰에 검거된 랜섬웨어 용의자가 뿌린 CoinVault 랜섬웨가 발견되기 했다. 최근에는 일반적인 파일 암호화 작업에 스케어웨어(Scareware) 방식이 결합된 키메라 랜섬웨어까지 등장했다.
특히, 메일 수신을 통한 랜섬웨어 감염경로는 공격자들이 가장 자주 이용하는 수법으로 악성코드를 심어놓은 후, 중요한 문서로 위장해 첨부파일을 클릭하도록 유도하는 방식이다. 이는 특정 타깃을 공격하기 위해 메일 속 첨부파일에 악성코드를 심어 놓는 APT 공격수법과 동일하며, 공격자들이 자주 이용하는 수법이다.
이는 지인이 보냈거나 중요문서가 포함된 메일의 경우 아무 의심 없이 수 메일을 수신한다는 점을 노린 것이다. 따라서 메일 수신 시에는 샌드박스와 같은 가상화 환경에서 메일을 수신하거나 메일 보안 솔루션을 적용하는 것이 바람직하다. 또한, 백신을 최신버전으로 업데이트하고, 중요한 자료는 평소 백업을 해두는 것이 좋다.
2위로는 보안이 취약한 웹사이트에서의 감염이 12.39%로 조사됐다. 이와 관련해서는 이미 본지가 주간 악성링크를 통해 수차례 보도한 바와 같이 보안이 허술한 기관, 단체, 중소기업 등의 웹사이트에서 악성코드가 유포되거나 경유지로 악용되는 사례가 많다. 그러다 보니 보안이 허술한 국내 웹사이트 곳곳에서 랜섬웨어 악성코드가 포착되고 있다.
지난 10월 1일에는 한 실내악 음악관련 사이트에서, 지난 9월 29일에는 XX테크널러지와 X플랫 사이트에서, 이보다 하루 앞선 지난 28일에는 XX공제회와 XX대공원XXXX캠핑장, 스냅사진 관련 사이트 XXXX잔에서, 지난 27일에는 영어관련 사이트와 XX광역시 사회적자본XXXX 사이트에서 크립토월 랜섬웨어가 출현했다.
이보다 앞선 지난 추석 연휴기간 중에는 한국원자력XX회의, XXXX오딧서비스, 오떼XX, XX가치평가, XX광역시 XXX자본지원센터, 저작권 등록 및 인증 대행업체 XX사이트에서 워드프레스 플러그인 취약점을 악용해 크립토월 3.0 랜섬웨어가 유포된 정황이 포착된 바 있다. 최근에는 크립토월 4.0 버전이 새롭게 등장한 것으로 알려져 보안위협이 더욱 고조되고 있다.
이처럼 보안이 허술한 웹사이트 중심으로 지속적으로 랜섬웨어가 포착되고 있다. 보안전문가 Auditor Lee는 “랜섬웨어가 탐지된 웹사이트 대부분이 보안이 매우 허술하고 제대로 관리되지 못하는 곳”이라며 “기본적인 보안조치조차 되어 있지 않은 상태로 봐선 보안인력이 없는 곳이 상당수로 추정된다. 보안에 대한 관심과 투자가 필요하다”고 지적했다.
이어 3위로는 스마트폰을 통한 감염이 4.30%를 차지했다. 블루코트 연구소의 연례보안보고서인 ‘2015 모바일 멀웨어 리포트’에 따르면 모바일 랜섬웨어가 2015년 가장 위협적인 멀웨어로 조사됐으며, 모바일 기기에 스파이웨어를 심는 유형의 공격도 꾸준히 늘어나고 있다. 이와 관련 휴 톰슨(Hugh Thompson) 블루코트 CTO는 “기업에서도 클라우드 기반의 모바일 버전 애플리케이션 사용이 늘어나며, 기업 내부 모바일 기기들이 해커들의 새로운 공격대상이 되고 있다”고 밝혔다.
또한, 윤광택 시만텍코리아 상무는 “시만텍은 실험을 통해 일반 안드로이드 랜섬웨어가 안드로이드 기반 웨어러블 기기 역시 공격할 수 있음을 확인했다”면서 “안드로이드 폰이 랜섬웨어에 감염되자 페어링된 스마트워치에도 랜섬웨어가 자동으로 푸시되어 언제든지 악성코드가 실행될 수 있는 환경이 조성됐다”고 우려했다.
[김경애 기자(boan3@boannews.com)]
[보안뉴스 김경애] 최근 들어 랜섬웨어가 기승을 부리고 있는 가운데 랜섬웨어 감염경로 1순위가 (스팸)메일을 통한 감염으로 조사돼 메일 수신시 이용자들의 각별한 주의가 요구된다.
이는 본지가 기관 및 기업의 정보보호최고책임자와 보안담당자, 개인정보처리자 등 총 4,063명을 대상으로 ‘귀사 임직원이나 본인이 랜섬웨어에 감염된 적이 있나요? 감염된 적 있다면 감염경로와 대응조치는?’이란 주제로 설문조사한 결과에 따른 것이다.
랜섬웨어에 감염된 적이 없다고 응답한 비율이 65.92%으로 가장 높았지만, 전체 응답자 중 17.04%가 (스팸)메일을 통한 감염이라고 답변했다. 감염된 적이 없다는 응답자를 제외하면 메일이 랜섬웨어 감염경로 1위로 나타난 셈이다. 더욱이 스팸메일을 비롯해 웹사이트, 스마트폰 등을 통한 감염까지 포함하면 10명 중 3명 꼴로 랜섬웨어에 감염된 적이 있다는 통계여서 랜섬웨어가 그만큼 심각한 보안위협으로 국내에서 급부상하고 있다는 것을 대변하고 있다.
랜섬웨어는 잠긴 데이터를 풀어주는 조건으로 비트코인이나 돈을 요구하며 이용자를 협박하는 것이 특징이다.
이미 지난 10월 랜섬웨어가 9월의 10배 이상 급증한 것으로 나타났다. 이와 관련 한 보안전문가는 “공공기관을 타깃으로 한 랜섬웨어도 상당수 포착되고 있다”며 “랜섬웨어 뿐만 아니라 각종 악성URL도 기승을 부리고 있다”고 밝혔다.
해외 역시 랜섬웨어로 인해 몸살을 앓고 있다. 마이크로소프트가 지난 8월 29일 전 세계 190개국에서 윈도우10을 공식 출시하고 무료 업그레이드 서비스를 제공한지 3일 만에 ‘윈도우10’으로 위장한 ‘크립토락커(CTB-Locker)’ 일종의 랜섬웨어가 등장하는가 하면, 지난 9월에는 네덜란드 경찰에 검거된 랜섬웨어 용의자가 뿌린 CoinVault 랜섬웨가 발견되기 했다. 최근에는 일반적인 파일 암호화 작업에 스케어웨어(Scareware) 방식이 결합된 키메라 랜섬웨어까지 등장했다.
특히, 메일 수신을 통한 랜섬웨어 감염경로는 공격자들이 가장 자주 이용하는 수법으로 악성코드를 심어놓은 후, 중요한 문서로 위장해 첨부파일을 클릭하도록 유도하는 방식이다. 이는 특정 타깃을 공격하기 위해 메일 속 첨부파일에 악성코드를 심어 놓는 APT 공격수법과 동일하며, 공격자들이 자주 이용하는 수법이다.
이는 지인이 보냈거나 중요문서가 포함된 메일의 경우 아무 의심 없이 수 메일을 수신한다는 점을 노린 것이다. 따라서 메일 수신 시에는 샌드박스와 같은 가상화 환경에서 메일을 수신하거나 메일 보안 솔루션을 적용하는 것이 바람직하다. 또한, 백신을 최신버전으로 업데이트하고, 중요한 자료는 평소 백업을 해두는 것이 좋다.
2위로는 보안이 취약한 웹사이트에서의 감염이 12.39%로 조사됐다. 이와 관련해서는 이미 본지가 주간 악성링크를 통해 수차례 보도한 바와 같이 보안이 허술한 기관, 단체, 중소기업 등의 웹사이트에서 악성코드가 유포되거나 경유지로 악용되는 사례가 많다. 그러다 보니 보안이 허술한 국내 웹사이트 곳곳에서 랜섬웨어 악성코드가 포착되고 있다.
지난 10월 1일에는 한 실내악 음악관련 사이트에서, 지난 9월 29일에는 XX테크널러지와 X플랫 사이트에서, 이보다 하루 앞선 지난 28일에는 XX공제회와 XX대공원XXXX캠핑장, 스냅사진 관련 사이트 XXXX잔에서, 지난 27일에는 영어관련 사이트와 XX광역시 사회적자본XXXX 사이트에서 크립토월 랜섬웨어가 출현했다.
이보다 앞선 지난 추석 연휴기간 중에는 한국원자력XX회의, XXXX오딧서비스, 오떼XX, XX가치평가, XX광역시 XXX자본지원센터, 저작권 등록 및 인증 대행업체 XX사이트에서 워드프레스 플러그인 취약점을 악용해 크립토월 3.0 랜섬웨어가 유포된 정황이 포착된 바 있다. 최근에는 크립토월 4.0 버전이 새롭게 등장한 것으로 알려져 보안위협이 더욱 고조되고 있다.
이처럼 보안이 허술한 웹사이트 중심으로 지속적으로 랜섬웨어가 포착되고 있다. 보안전문가 Auditor Lee는 “랜섬웨어가 탐지된 웹사이트 대부분이 보안이 매우 허술하고 제대로 관리되지 못하는 곳”이라며 “기본적인 보안조치조차 되어 있지 않은 상태로 봐선 보안인력이 없는 곳이 상당수로 추정된다. 보안에 대한 관심과 투자가 필요하다”고 지적했다.
이어 3위로는 스마트폰을 통한 감염이 4.30%를 차지했다. 블루코트 연구소의 연례보안보고서인 ‘2015 모바일 멀웨어 리포트’에 따르면 모바일 랜섬웨어가 2015년 가장 위협적인 멀웨어로 조사됐으며, 모바일 기기에 스파이웨어를 심는 유형의 공격도 꾸준히 늘어나고 있다. 이와 관련 휴 톰슨(Hugh Thompson) 블루코트 CTO는 “기업에서도 클라우드 기반의 모바일 버전 애플리케이션 사용이 늘어나며, 기업 내부 모바일 기기들이 해커들의 새로운 공격대상이 되고 있다”고 밝혔다.
또한, 윤광택 시만텍코리아 상무는 “시만텍은 실험을 통해 일반 안드로이드 랜섬웨어가 안드로이드 기반 웨어러블 기기 역시 공격할 수 있음을 확인했다”면서 “안드로이드 폰이 랜섬웨어에 감염되자 페어링된 스마트워치에도 랜섬웨어가 자동으로 푸시되어 언제든지 악성코드가 실행될 수 있는 환경이 조성됐다”고 우려했다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
 TH.jpg)
 th.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
