8천만 랜섬웨어 샘플 분석했더니 1위가 이스라엘, 2위가 한국

2021-10-14 13:21
  • 카카오톡
  • url
지난 코로나 기간 동안 가장 많은 공격을 받았던 나라는 이스라엘과 한국이었다. 두 나라 사이에 격차가 크긴 하지만 나란히 1, 2위를 기록했다. 시스템 별로 봤을 때는 윈도의 압승이었다. 지금은 ‘오직 윈도만’ 공격한다고 봐도 과언이 아니다.

[보안뉴스 문가용 기자] 2020년 한 해와 2021년 전반기 동안 사이버 공격자들은 약 130개의 랜섬웨어 패밀리들을 사용했다. 이 많은 패밀리들 중 가장 눈에 띄는 건 갠드크랩(GandCrab)인 것으로 밝혀졌다. 지금은 주춤하지만 해당 기간 동안 가장 많은 피해자를 양산한 것이 갠드크랩이라는 것이다. 바이러스토탈(VirusTotal)에 업로드 된 랜섬웨어 샘플을 분석했을 때 나타난 결과다.


[이미지 = utoimage]

바이러스토탈은 구글의 자회사 중 하나로 최근 8천만 개의 랜섬웨어 샘플을 분석해 결과 보고서를 발표했다. 이 8천만이라는 숫자는 지난 1년 반 동안 바이러스토탈에 업로드된 랜섬웨어 샘플의 수다. 갠드크랩 다음으로 빈번히 나타난 샘플은 바북(Babuk), 케르베르(Cerber), 마츠누(Matsnu), 콩구르(Congur), 록키(Locky), 테슬라크립트(Teslacrypt), 알코르(Rkor), 레비온(Reveon)인 것으로 나타났다.

바이러스토탈로 샘플을 업로드 한 국가들은 총 140여개다. 가장 많은 샘플을 올린 건 이스라엘이고, 그 다음은 대한민국과 베트남, 중국, 싱가포르, 인도, 카자흐스탄, 필리핀, 이란, 영국 순서인 것으로 나타났다. 이들 국가들에서 랜섬웨어 공격이 빈번하게 일어난다는 것이다. 요즘 랜섬웨어 잡기에 앞장서고 있는 미국은 10위 안에 못 들었다.

바이러스토탈의 위협 첩보 전략가인 빈센트 디아즈(Vincente Diaz)는 “2020년 1사분기와 2사분기에 랜섬웨어 공격 행위가 급증했다”며 “이는 갠드크랩이라는 랜섬웨어 사업자들이 왕성하게 활동했기 때문”이라고 설명한다. 참고로 갠드크랩은 2020년 하반기에 급속도로 활동량을 줄이며 현재는 거의 사라지다시피 한 상태다. 그 다음 랜섬웨어 공격이 급증한 건 2021년 7월이다. 이 유행을 이끈 건 바북이었다고 한다.

디아즈는 “유행을 선도하는 대형 랜섬웨어 그룹이 나타났다가 사라졌다가 또 다른 랜섬웨어가 나타났다가 사라지는 건 늘상 있는 일”이라고 설명한다. “그렇지만 꽤나 오랜 기간 동안 사라지지 않고 사이버 범죄자들 사이에서 사용되는 랜섬웨어 패밀리들도 있습니다. 이 패밀리들은 약 100가지 정도 됩니다. 공격자들은 랜섬웨어를 퍼트리는 데에 봇넷과 원격 접근 도구를 가장 많이 사용합니다.”

또한 사이버 공격자들은 최신 버전의 멀웨어 샘플을 가장 선호하는 것으로도 나타났다. 100개 정도의 패밀리 안에서 약간씩 변경된 최신 샘플들로 방어 솔루션들을 무력화시키거나 우회한다는 것이다. 시그니처 기반 방어 솔루션들은 랜섬웨어를 막는 데에 그리 적합하지 않다는 뜻이 된다. 하지만 아마추어 해커들의 ‘찔러보기 식’ 공격을 막는 데에는 시그니처 기반의 솔루션들도 도움은 된다.

랜섬웨어 샘플들은 극소수만 제외하고 전부 윈도 시스템 기반 파일들이라는 사실도 이번 분석을 통해 드러났다. 무려 95%가 윈도 체제의 실행파일(.exe)과 라이브러리 파일(.dll)이었던 것이다. 2%는 안드로이드 기반의 멀웨어 형태로 유포되고 있었다. 또한 직접 익스플로잇을 실시하는 기능까지 갖춘 랜섬웨어 패밀리는 거의 보이지 않고 있다는 점도 특이할 만하다. “이는 랜섬웨어 페이로드가 소셜 엔지니어링 공격이나 로더 멀웨어를 통해 감염된다는 것을 보여줍니다. 그게 실제로 조사되고 있는 랜섬웨어 트렌드인 것도 사실입니다.”

그렇다면 랜섬웨어를 퍼나르는 로더 멀웨어 혹은 다른 다운로더 멀웨어에는 어떤 게 있을까? 이번 분석에 따르면 이모텟(Emotet)이 압도적 1위인 것으로 나타났다. 이모텟은 현재 가장 많이 나타나고 있는 10개의 랜섬웨어 패밀리들 모두가 활용하고 있는 유포 수단이었다. 그 뒤로 지봇(Zbot), 드리덱스(Dridex), 고짐(Gozi), 다나봇(Danabot)이 월등히 많이 활용되고 있는 것으로 분석됐다.

이번 조사를 마치며 구글은 결론을 다섯 가지로 항목으로 요약했다.
1) 랜섬웨어 생태계는 유행에 매우 민감하지만, 그 기저에는 ‘상수’로서 항상 존재하는 위협 요소들도 있다.
2) 공격자들은 랜섬웨어를 유포하기 위해 다양한 방법을 사용하지만 현재는 봇넷과 원격 접근 도구가 가장 선호되고 있다.
3) 랜섬웨어를 퍼트리기 위해 공격자들은 주로 권한 상승 취약점과 횡적 움직임을 가능케 하는 취약점을 익스플로잇 한다.
4) 랜섬웨어 공격자들은 다 윈도를 노린다고 보면 된다. 그 다음 위험한 게 안드로이드 정도다.

3즐 요약
1. 바이러스토탈 보유한 구글, 8천만 랜섬웨어 샘플 분석.
2. 이스라엘이 가장 많은 공격을 받는 국가, 그 다음이 한국.
3. 현재로서는 윈도 시스템 방비만 잘 해도 랜섬웨어 막을 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 하이크비전코리아

    • 인콘
      통합관제 / 소방방재

    • 비티에스

    • 이노뎁

    • 아이브스

    • 아이디스

    • 엔토스정보통신

    • 웹게이트

    • 쿠도커뮤니케이션
      인공지능 영상분석

    • 하이크비전

    • 그린아이티코리아
      번호인식 카메라

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 한일에스티엠

    • 현대틸스
      팬틸트 / 카메라

    • 지오멕스소프트
      XEUS 통합플랫폼

    • 이화트론

    • 에이치엔시큐리티(주)

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 씨게이트

    • 다후아테크놀로지코리아

    • 미래정보기술(주)

    • 슈프리마
      출입통제 / 얼굴인식

    • ITX_AI

    • 다누시스

    • 경인씨엔에스
      CCTV / 자동복구장치

    • Tiandy

    • 성현시스템

    • 하이앤텍

    • 비전정보통신

    • 씨엠아이텍

    • CVT

    • 이오씨

    • 아이쓰리시스템(주)

    • A3시큐리티

    • (주)투윈스컴

    • 트루엔
      IP 카메라 / 인공지능 ..

    • (주)씨유박스

    • (주)에펠

    • 대경무선통신
      재난경보시스템 IP방송 경..

    • (주)우경정보기술

    • (주)동양유니텍

    • AIS테크놀러지

    • 디비시스
      CCTV토탈솔루션

    • 주식회사 비앤에스

    • 구네보코리아주식회사

    • 보쉬빌딩테크놀러지

    • 한국씨텍(주)

    • 네티마

    • 엔에스티정보통신

    • 옵텍스

    • 아이엔아이
      울타리 침입 감지 시스템

    • 신우테크
      팬틸드 / 하우징

    • (주)에프에스네트웍스

    • 에이앤티코리아

    • 케이제이테크
      지문 / 얼굴 출입 통제기

    • 새눈
      CCTV 상태관리 솔루션

    • (주)알에프코리아

    • 사라다

    • 모스타

    • 주식회사 에스카

    • (주)일산정밀

    • 이후커뮤니케이션

    • 태정이엔지
      CCTV 스마트폴 / 함체..

    • 엔에스게이트

    • 퍼시픽솔루션

    • 다원테크

    • (주)에이앤티글로벌

    • 두레옵트로닉스
      카메라 렌즈

    • 포커스테크

    • 티에스아이솔루션
      출입 통제 솔루션

    • 메트로게이트
      시큐리티 게이트

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 글로넥스
      카드리더 / 데드볼트

    • (주)넥스트림

    • 대산시큐리티
      CCTV 폴 / 함체 / ..

    • 포커스에이치앤에스
      지능형 / 카메라

    • 지엘에스이

    • 세환엠에스(주)

    • 유진시스템코리아
      팬틸트 / 하우징

    • 카티스
      출입통제 / 외곽경비

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기