보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
2019년 1분기, 알약 랜섬웨어 공격 행위차단 건수: 320,506건!
2019년 1분기 알약을 통해, 총 32만 506건의 랜섬웨어 공격이 차단된 것으로 확인되었습니다.
이번 통계는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격수를 기준으로 집계되었습니다. 통계에 따르면 2019년 1분기에는 알약을 통해 랜섬웨어 공격이 총 32만 506건 차단되었으며, 이를 일간 기준으로 환산하면 일평균 약 3,561건의 랜섬웨어 공격이 차단된 것입니다.
<'알약 랜섬웨어 행위기반 차단 기능'을 통해 감지된 2019년 1분기 랜섬웨어 차단 건수>
이는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격수는 더욱 많다고 볼 수 있겠습니다.
이번 1분기 역시 갠드크랩(GandCrab) 랜섬웨어가 업데이트를 거듭하며 지속적으로 유포되었고, 입사지원서, 지방 경찰서 출석통지서, 유명 쇼핑몰 할인쿠폰, 헌법재판소 소환장, 이미지 저작권 위반 등 다양한 형태의 악성 메일을 배포했습니다.
공격자는 랜섬웨어 감염률을 높이기 위한 목적으로, 메일 수신자가 관심을 가질만한 내용의 이메일을 발송해 첨부 파일이나 URL을 열람하도록 유인하는 ‘사회 공학적 기법’을 주로 사용하고 있는 것이 특징입니다.
또한, 1분기 랜섬웨어 공격은 지난해 4분기 차단 통계에 비해 약 3.5% 소폭 감소한 것으로 나타났지만, 1분기가 2월로 인해 타 분기 대비 날짜 수가 적고 설 명절 연휴가 포함되었다는 점을 감안했을 때 공격 빈도는 비슷한 수준으로 유지되고 있다고 판단할 수 있습니다.
이 밖에도 1분기에는 기존 ‘비너스 락커(Venus Locker)’ 랜섬웨어 유포 조직이 한국맞춤형으로 갠드크랩 랜섬웨어 유포에 활발한 가운데, 새로운 공격 특징을 보이는 신생 유포 조직이 등장했습니다.
현재 ESRC는 이 조직을 ‘리플라이 오퍼레이터(Reply Operator)’로 명명하고 공격 패턴 모니터링과 분석을 진행하고 있습니다.
갠드크랩 랜섬웨어 외 1분기에 전 세계적으로 유포된 주요 랜섬웨어는 다음과 같습니다.
랜섬웨어명 | 특징 |
CLOP | Windows 서버를 주 타깃으로, 특히 기업의 중앙관리 시스템인 Active Directory 서버를 주로 공격하는 랜섬웨어. 해당 악성코드에 감염되면 관리 서버에 연결된 모든 드라이브가 암호화되고 유효한 인증서를 사용하여 백신 제품의 탐지 우회를 시도 |
Djvu | STOP 변종 랜섬웨어로 파일 암호화와 동시에 사용자 몰래 정보 유출 트로이 목마를 추가로 다운로드하며, 피해자의 계정 인증정보, 가상 화폐 지갑, 사용자 PC에 저장된 비밀번호, 시스템 OS 정보 등을 탈취 |
JNEC.a | WinRAR의 ACE에 존재하는 코드 실행 취약점 익스플로잇을 통해 배포되며, 랜섬머니 지불과 파일 복호화 키를 받는데 필요한 임의의 Gmail 주소를 사용하는 랜섬웨어로, .NET으로 작성되어 있고, GoogleUpdate.exe로 구글 업데이트 프로세스인 것처럼 위장 |
Gorgon | 중국에서 유포되고 있는 랜섬웨어로 기존의 FilesLocker 랜섬웨어의 UI와 보안성을 개선하여 제작된 랜섬웨어이며, 중국어, 영어, 한국어를 지원하며, 랜섬노트의 경우 .txt 확장자에서 html 확장자로 변경됨 |
Cr1ptT0r | 임베디드 시스템용으로 제작되었으며 NAS 장비를 노리는 신종 랜섬웨어로 오래된 펌웨어의 취약점을 악용함. 파일 끝 마커에 "_Cr1ptT0r_"을 붙이는 것이 특징 |
B0r0nt0K | Base64를 이용해 데이터를 암호화하며, 암호화된 파일명에 .rontok 확장자를 붙임. 랜섬노트 대신 랜섬머니 지불 사이트 주소를 피해자에게 제공하며, 우분투 리눅스 서버가 감염된 것이 보고됨 |
Anatova | 난독화 기능이 뛰어나고 네트워크 공유 자원까지 감염시킬 수 있는 랜섬웨어로, 모듈 구조로 되어 있어 공격자들이 원하는 기능을 덧붙일 수 있으며, 샌드박스 환경에서 실행되는 것을 방지하기 위해 가상 환경 탐지를 수행함. 주로 게임이나 앱 아이콘으로 위장하여 사용자들을 속임 |
이번 1분기는 갠드크랩처럼 불특정 다수가 아닌 기업에서 사용하는 중앙관리 서버(AD)를 타깃으로 하는 클롭(Clop) 랜섬웨어의 위협이 높아져, 기업 담당자분들의 주의가 더욱 필요합니다.
특히 클롭 랜섬웨어는 명령제어 서버(C&C) 연결 없이도 암호화 공격을 진행하기 때문에, 보안을 위해 폐쇄망을 사용하는 기업 역시 피해를 입을 수 있다는 점을 유념해 주시기 바랍니다. 무엇보다 랜섬웨어의 위협에 대비하여 시스템 운영체제와 애플리케이션을 항상 최신 업데이트 버전으로 유지하시길 권고 드립니다.
출처가 불분명한 메일에 첨부된 URL 링크나 첨부 파일을 실행하는 경우에도 매우 주의가 필요합니다. 또한 중요한 자료는 외부 저장 매체에 백업하는 습관과, 백신을 항상 최신 버전으로 업데이트하시는 등 보안 수칙을 준수하시기 바랍니다.
이스트시큐리티는 국내 사용자의 랜섬웨어 감염 피해를 미연에 방지하기 위한 상시 모니터링 및 대응 체계 유지와 동시에, 한국인터넷진흥원(KISA)과의 랜섬웨어 정보 수집, 대응 협력을 진행하고 있습니다. 더욱 발전된 기술로 세상을 안전하게 만들고자 힘쓰겠습니다.