보안업체, 의료기기 전문업체에서도 랜섬웨어 유포
앵글러 익스플로잇 킷 공격 통한 랜섬웨어 유포 50%...파밍보다 많아
16~18일 열리는 eGISEC 2016 컨퍼런스, 다양한 랜섬웨어 관련 강연 예정
[보안뉴스 김경애] 이용자 PC의 데이터를 납치해 파일을 암호화하고 돈을 요구하는 랜섬웨어 공격이 갈수록 기승을 부리고 있다. 2015년 4월 한글판 랜섬웨어가 국내에 유포되기 시작한 이후 최근까지 다양한 공격방식을 통해 랜섬웨어가 유포됐으며, 여러 기능을 탑재한 랜섬웨어 변종까지 등장하며 이용자들을 괴롭히고 있다.
지난 한 주간에도 국내 웹사이트를 타깃으로 한 랜섬웨어 유포는 그칠 줄 몰랐다. 지난 2월 29일에는 IP관리/네트워크 접근제어 솔루션을 취급하는 보안전문 업체와 식품의약품안전처가 지정한 의료기기 지정업체에서도 랜섬웨어 유포행위가 포착됐다.
특히, 의료분야의 경우 최근 미국 할리우드장로병원처럼 독일 병원에서도 랜섬웨어에 감염되는 사건이 발생했다. 그만큼 의료분야는 중요한 의료정보와 민감정보를 다루고 있어 공격자들의 집중 타깃이 되고 있다.
이에 대해 제로서트 측은 “랜섬웨어 유포는 국내 웹사이트를 중심으로 지속적으로 확대되고 있다”며 “한국의 차병원이 투자한 미국의 할리우드장로병원도 랜섬웨어에 감염돼 공격자에게 비용을 지불한 바 있는데, 의료분야의 경우 환자의 개인정보와 의료정보를 취급하고 있어 보안사고에 대비한 적극적인 대책수립이 필요하다”고 당부했다.
이보다 앞서 지난 2월 26일에는 크립토월(CryptoWall) 랜섬웨어도 발견됐다. 이번에 발견된 크립토월은 svchost.exe 프로세스를 생성한다. 그런 다음 cftmon.exe 프로세스를 올리면 svchost.exe 프로세스는 연기(Suspend) 모드로 변경돼 활동을 중지한다. 이후 새로운 svchost.exe 프로세스를 올려 파일 암호화를 진행하는데, 이는 공격자가 행위 기반 탐지를 우회하기 위한 목적으로 보인다.
보안전문 파워블로거 울지않는벌새는 “앱체크를 하는 랜섬웨어 백신에서는 파일을 암호화하는 프로세스를 탐지해 차단하고, 자동 복구를 수행한다”며 “이를 알고 공격자는 우회하는 크립토월 랜섬웨어를 유포하기 시작했다. 최근 유포된 크립토월 랜섬웨어는 파일을 암호화한 후, 자신의 존재를 숨길 목적으로 자동 삭제하는 과정에서 시작 프로그램 폴더에 .pif 파일 형태로 다시 추가해 부팅시 자동 실행되도록 설정한다”고 설명했다.
랜섬웨어 유포는 주로 익스플로잇 킷(Exploit Kit, 이하 EK)을 이용해 유포되고 있다. 지난 2월 25일 하우리가 발표한 국내 일일 Exploit Kit 유포현황을 살펴보면, 앵글러(Angler) EK가 50%, 매그니튜드(Magnitude) EK가 20%를 차지하고 있는데, 이 두 가지 익스플로잇 킷을 통해 랜섬웨어를 유포하는 것으로 조사됐다.
CK VIP EK를 통한 파밍 악성코드 유포 비율이 30% 정도이기 때문에 최근에는 파밍보다 랜섬웨어가 더 많이 유포되고 있는 것으로 집계됐다.
이렇듯 올해 들어 랜섬웨어 유포가 더욱 기승을 부리고 있는 가운데 랜섬웨어에 대해 제대로 알 수 있는 기회가 마련돼 주목된다.
오는 16일부터 18일까지 일산 킨텍스에서 진행되는 ‘제5회 전자정부 솔루션 페어 2016’에서는 랜섬웨어 관련 전시부스와 함께 다양한 강연을 접할 수 있다.
먼저 16일에는 △‘2016년 랜섬웨어 공격 전망 및 최선의 대응책: 랜섬웨어 해커의 잠재적 이익을 제거하라’란 주제로 가온아이(이노티움) 이형택 센터장(11:00~11:25/트랙 C) 이, 17일에는 △‘고도화된 랜섬웨어 대책 및 해결방안’이란 주제로 소프트캠프 김종필 상무(15:00~15:25/트랙 C)가 강연할 예정이다.
마지막날인 18일에는 △‘문서중앙화를 통한 공공업무 보안·협업과 랜섬웨어 차단’이란 주제로 넷아이디 유상열 대표(14:00~14:25/트랙 A)가 △‘APT 공격과 랜섬웨어 위협에 대한 효율적 방어 및 데이터 보호 방안’이란 주제로 솔루피아 이진원 팀장(15:00~15:25/트랙 A) △‘아직 한 파일 남았다(당신의 컴퓨터는 랜섬웨어로부터 안녕하십니까?)’란 주제로 인스소프트(업루트) 김남준 이사(15:00~15:25/트랙 B) △‘행위기반 탐지를 통한 랜섬웨어 대응 및 방법’이란 주제로 엔피코어 권경남 차장(14:30~14:55/트랙 C)이 각각 강연을 진행할 예정이다.
‘제5회 전자정부 솔루션 페어(eGISEC 2016, www.egisec.org)’에서 3일간 진행되는 컨퍼런스 전체 프로그램은 eGISEC 홈페이지에서 확인할 수 있으며, 무료 참관 등록도 가능하다. 이번 컨퍼런스는 행정자치부 주최 행사로 공무원들의 상시학습 인정은 물론 CISSP, CISA, CPPG 등 보안관련 자격증의 자격이수 시간도 인정된다.
[김경애 기자(boan3@boannews.com)]
앵글러 익스플로잇 킷 공격 통한 랜섬웨어 유포 50%...파밍보다 많아
16~18일 열리는 eGISEC 2016 컨퍼런스, 다양한 랜섬웨어 관련 강연 예정
[보안뉴스 김경애] 이용자 PC의 데이터를 납치해 파일을 암호화하고 돈을 요구하는 랜섬웨어 공격이 갈수록 기승을 부리고 있다. 2015년 4월 한글판 랜섬웨어가 국내에 유포되기 시작한 이후 최근까지 다양한 공격방식을 통해 랜섬웨어가 유포됐으며, 여러 기능을 탑재한 랜섬웨어 변종까지 등장하며 이용자들을 괴롭히고 있다.
지난 한 주간에도 국내 웹사이트를 타깃으로 한 랜섬웨어 유포는 그칠 줄 몰랐다. 지난 2월 29일에는 IP관리/네트워크 접근제어 솔루션을 취급하는 보안전문 업체와 식품의약품안전처가 지정한 의료기기 지정업체에서도 랜섬웨어 유포행위가 포착됐다.
특히, 의료분야의 경우 최근 미국 할리우드장로병원처럼 독일 병원에서도 랜섬웨어에 감염되는 사건이 발생했다. 그만큼 의료분야는 중요한 의료정보와 민감정보를 다루고 있어 공격자들의 집중 타깃이 되고 있다.
이에 대해 제로서트 측은 “랜섬웨어 유포는 국내 웹사이트를 중심으로 지속적으로 확대되고 있다”며 “한국의 차병원이 투자한 미국의 할리우드장로병원도 랜섬웨어에 감염돼 공격자에게 비용을 지불한 바 있는데, 의료분야의 경우 환자의 개인정보와 의료정보를 취급하고 있어 보안사고에 대비한 적극적인 대책수립이 필요하다”고 당부했다.
이보다 앞서 지난 2월 26일에는 크립토월(CryptoWall) 랜섬웨어도 발견됐다. 이번에 발견된 크립토월은 svchost.exe 프로세스를 생성한다. 그런 다음 cftmon.exe 프로세스를 올리면 svchost.exe 프로세스는 연기(Suspend) 모드로 변경돼 활동을 중지한다. 이후 새로운 svchost.exe 프로세스를 올려 파일 암호화를 진행하는데, 이는 공격자가 행위 기반 탐지를 우회하기 위한 목적으로 보인다.
보안전문 파워블로거 울지않는벌새는 “앱체크를 하는 랜섬웨어 백신에서는 파일을 암호화하는 프로세스를 탐지해 차단하고, 자동 복구를 수행한다”며 “이를 알고 공격자는 우회하는 크립토월 랜섬웨어를 유포하기 시작했다. 최근 유포된 크립토월 랜섬웨어는 파일을 암호화한 후, 자신의 존재를 숨길 목적으로 자동 삭제하는 과정에서 시작 프로그램 폴더에 .pif 파일 형태로 다시 추가해 부팅시 자동 실행되도록 설정한다”고 설명했다.
랜섬웨어 유포는 주로 익스플로잇 킷(Exploit Kit, 이하 EK)을 이용해 유포되고 있다. 지난 2월 25일 하우리가 발표한 국내 일일 Exploit Kit 유포현황을 살펴보면, 앵글러(Angler) EK가 50%, 매그니튜드(Magnitude) EK가 20%를 차지하고 있는데, 이 두 가지 익스플로잇 킷을 통해 랜섬웨어를 유포하는 것으로 조사됐다.
CK VIP EK를 통한 파밍 악성코드 유포 비율이 30% 정도이기 때문에 최근에는 파밍보다 랜섬웨어가 더 많이 유포되고 있는 것으로 집계됐다.
이렇듯 올해 들어 랜섬웨어 유포가 더욱 기승을 부리고 있는 가운데 랜섬웨어에 대해 제대로 알 수 있는 기회가 마련돼 주목된다.
오는 16일부터 18일까지 일산 킨텍스에서 진행되는 ‘제5회 전자정부 솔루션 페어 2016’에서는 랜섬웨어 관련 전시부스와 함께 다양한 강연을 접할 수 있다.
먼저 16일에는 △‘2016년 랜섬웨어 공격 전망 및 최선의 대응책: 랜섬웨어 해커의 잠재적 이익을 제거하라’란 주제로 가온아이(이노티움) 이형택 센터장(11:00~11:25/트랙 C) 이, 17일에는 △‘고도화된 랜섬웨어 대책 및 해결방안’이란 주제로 소프트캠프 김종필 상무(15:00~15:25/트랙 C)가 강연할 예정이다.
마지막날인 18일에는 △‘문서중앙화를 통한 공공업무 보안·협업과 랜섬웨어 차단’이란 주제로 넷아이디 유상열 대표(14:00~14:25/트랙 A)가 △‘APT 공격과 랜섬웨어 위협에 대한 효율적 방어 및 데이터 보호 방안’이란 주제로 솔루피아 이진원 팀장(15:00~15:25/트랙 A) △‘아직 한 파일 남았다(당신의 컴퓨터는 랜섬웨어로부터 안녕하십니까?)’란 주제로 인스소프트(업루트) 김남준 이사(15:00~15:25/트랙 B) △‘행위기반 탐지를 통한 랜섬웨어 대응 및 방법’이란 주제로 엔피코어 권경남 차장(14:30~14:55/트랙 C)이 각각 강연을 진행할 예정이다.
‘제5회 전자정부 솔루션 페어(eGISEC 2016, www.egisec.org)’에서 3일간 진행되는 컨퍼런스 전체 프로그램은 eGISEC 홈페이지에서 확인할 수 있으며, 무료 참관 등록도 가능하다. 이번 컨퍼런스는 행정자치부 주최 행사로 공무원들의 상시학습 인정은 물론 CISSP, CISA, CPPG 등 보안관련 자격증의 자격이수 시간도 인정된다.
[김경애 기자(boan3@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
