보안

랜섬웨어, 더 이상 안전지대 없다

발행일시 : 2017-11-07 00:00

소포스(한국지사장 김봉근)는 지난 6일 소포스 고객 데이터를 기반으로 랜섬웨어(Ransomware) 및 기타 사이버 보안 동향을 분석, 요약한 ‘소포스랩 2018년 멀웨어 예측 (SophosLabs 2018 Malware Forecast)’ 보고서를 발표했다.

보고서에 따르면 지난 2017 년 4 월 1 일부터 10 월 3 일까지 6개월 동안 전 세계 소포스 고객 컴퓨터를 분석한 결과 랜섬웨어가 주로 윈도우 시스템을 공격했지만 안드로이드(Android), 리눅스(Linux) 및 맥(Mac)OS 플랫폼도 더 이상 안전하지 않다고 나타났다. 그간 랜섬웨어는 주로 윈도우 컴퓨터를 대상으로 해왔으나, 올해는 전방위로 암호화 공격이 다양한 디바이스와 플랫폼으로 확산되고 있다. 이제 그 어떤 플랫폼도 랜섬웨어 안전지대는 없다.

소포스는 랜섬웨어의 성장 패턴을 추적해, 2017 년 5 월에 등장한 워너크라이(WannaCry)가 2016 년 초에 처음 발견돼 오랜 기간 랜섬웨어 선두자리를 지키던 케르베르(Cerber)를 제치고 1위를 기록했다고 밝혔다. 워너크라이는 트래킹된 모든 랜섬웨어의 45.3 %를, 케르베르는 44.2 %를 차지했다.

소포스 2017 멀웨어 예측보고서 <소포스 2017 멀웨어 예측보고서>

올해 6 월에 큰 타격을 준 낫페트야 악성코드도 급격한 등락이 있었는데 낫페트야는 초기에 우크라이나 회계 소프트웨어 패키지를 통해 배포돼 지리적 영향이 적었다. 워너크라이와 마찬가지로 이터널블루(EternalBlue) 익스플로잇을 통해 확산됐지만 워너크라이가 이미 대부분 노출된 시스템에 감염돼 패치적용이 많이 이뤄진 상태로 크게 확산되지 않았다. 낫페트야의 공격으로 많은 문제와 균열, 결함이 발생했으나 그 확산 동기는 여전히 명확하지 않다. 예를 들면 피해자가 공격자에게 연락하는데 필요한 이메일 계정이 작동하지 않아 피해자가 데이터를 해독하고 복구할 수 없었기 때문이다.

낫페트야는 빠르게 확산돼 기업의 컴퓨터 데이터를 영구적으로 파괴해 비즈니스에 큰 피해를 끼쳤으나, 빠르게 진정됐다. 소포스랩은 “사이버 범죄자가 실험을 하고 있는 것이거나, 목표가 랜섬웨어가 아닌 데이터 와이퍼처럼 파괴적인 것으로 의심하고 있다. 어쨌든 그 의도와 상관없이 소포스는 랜섬웨어에 대한 대응을 강력히 권고하고 데이터 백업 및 패치를 최신 상태로 유지할 것을 권장한다"고 밝혔다.

다크웹(Dark Web, 정상적인 경로로는 접속할 수 없는 사이트)에서 랜섬웨어 키트로 판매되는 케르베르는 심각한 위협으로 남아 있다. 케르베르의 제작자는 코드를 지속적으로 업데이트하고 ‘중간상(middle-men)’으로 불리는 공격자가 희생자로부터 받는 몸값의 일정 비율을 청구한다. 케르베르는 정기적인 새로운 기능 추가로 효과적인 공격 도구일 뿐만 아니라 사이버 범죄자들이 수년간 이용할 수 있다. 다크웹 비즈니스 모델은 안타깝게도 합법적인 회사와 유사한 방식으로 작동하면서 케르베르의 지속적인 개발에 자금을 지원할 가능성이 있다. 소포스랩은 그 이익금이 이 악성코드를 유지하는데 동기를 부여해준다고 추정하고 있다.

안드로이드 랜섬웨어 또한 사이버 범죄자들을 끌어 들이고 있다. 소포스랩 분석에 따르면 안드로이드 기기를 사용하는 소포스 고객에 대한 공격 건수는 2017 년 거의 매월 증가했다.

2017년 9 월 한 달만해도 소포스 랩이 처리한 안드로이드 악성코드의 30.4 %가 랜섬웨어였다. 보고서는 10 월에는 약 45 %로 증가할 것으로 보고 있다. 안드로이드에서 랜섬웨어가 늘어나고 있는 한 가지 이유는 사이버 범죄자들이 연락처와 SMS를 훔치거나 복잡한 팝업 해킹 기술을 필요로 하는 은행 피싱 (phishing) 또는 도용 대신에 돈을 벌 수 있는 손쉬운 방법이기 때문이다. 안드로이드 랜섬웨어는 주로 구글 플레이(Google Play)가 아닌 곳에서 발견된다는 점에 유의해야 한다. 사용자가 다운로드하는 앱의 종류에 대해 매우 신중해야 하는 또 다른 이유다.

소포스랩 보고서에 따르면 두 가지 유형의 안드로이드 공격 방법이 발견됐다: 데이터를 암호화하지 않고 전화를 잠그거나, 데이터를 암호화하는 동안 전화기를 잠그는 것이다. 안드로이드 랜섬웨어의 대부분은 사용자 데이터를 암호화하지 않아 피해를 많이 볼 수 있다. 소포스는 데이터를 보존하고 액세스 권한을 회복하고 금전적 피해를 막으려면 컴퓨터와 마찬가지로 정기적으로 전화를 백업하라고 권하고 있다. 또한 보고서는 안드로이드 랜섬웨어가 내년에도 모바일 플랫폼에서 새로운 유형의 악성 코드로 계속 증가해갈 것으로 전망했다.

이향선기자 hslee@nextdaily.co.kr
 

© 2017 nextdaily.co.kr 무단전재 및 재배포금지

(주)넥스트데일리 | 등록번호 : 서울 아 01185 | 등록일 : 2010년 03월 26일 | 제호 : 넥스트데일리 | 발행·편집인 : 이선기
서울시 금천구 가산디지털2로 123, 701호ㅣ발행일자 : 2005년 08월 17일 | 대표전화 : 02-6925-6318 | 청소년보호책임자 : 나성률

Copyright © Nextdaily. All Rights Reserved