개인사용자 이어 기업 겨냥 지능형 표적공격 증가

랜섬웨어 감염의 43%는 기업이고, 이같은 증가세는 개인 사용자에 이어 기업 겨냥 지능형 표적이 증가하고 있어 주의가 필요하다는 지적이다.

아울러 랜섬웨어 평균 요구 몸값 약 77만원, 2.3배 상승했고 랜섬웨어 서비스(RaaS)가 확대될 것으로 예측된다.

시만텍(www.symantec.co.kr)은 랜섬웨어의 최신 보안 위협 동향을 담은 ‘랜섬웨어 스페셜 보고서 2016’을 발표, 이같이 밝혔다.

이 보고서에 따르면, 랜섬웨어는 점차 정교화 된 공격 기법으로 비즈니스화 되고, 무차별적 공격에서 점차 ‘기업’을 겨냥한 표적 공격으로 변화하고 있는 것으로 나타났다.

시만텍은 전세계에서 가장 포괄적인 인터넷 보안 위협 데이터 수집 체계인 시만텍의 ‘글로벌 인텔리전스 네트워크(Global Intelligence Network)’를 통해 랜섬웨어 동향을 분석한 결과 ▲랜섬웨어의 기록 갱신 행진 ▲랜섬웨어의 평균 요구 몸값 상승 ▲‘기업’ 겨냥한 표적 공격의 시작 ▲APT 등 지능형 공격 기법 및 신규 위협 ▲랜섬웨어의 비즈니스 모델화 등이 주요 특징으로 조사됐다.

◆랜섬웨어의 기록 갱신 행진 = 2015년 한 해 동안 100개의 신규 랜섬웨어 패밀리가 발견되며 사상 최대치를 기록했다. 2014년 77개 대비 약 30%나 증가했다.<그림1 ‘램섬웨어 신규 생성 비율’>

▲ 그림1 ‘램섬웨어 신규 생성 비율’

또한 파일을 암호화하고 금전을 요구하는 크립토 랜섬웨어(crypto-ransomware)의 확산이 지속됐다.

올해 발견된 랜섬웨어 가운데 단 1개를 제외하고는 모두 크립토 랜섬웨어로 밝혀져 크립토 랜섬웨어가 가장 효과적인 형태로 자리매김하고 있음을 알 수 있다.

국가별 감염 현황을 보면, 전체 감염 건수에서 31%를 차지한 미국이 가장 높았고, 이어서 이탈리아(8%), 일본(8%) 순이었다.<그림2 ‘랜섬웨어 국가별 감염율’>

▲ 그림2 ‘랜섬웨어 국가별 감염율’

한국은 28위로 랜섬웨어 감염국 TOP 30에 포함됐다.

◆랜섬웨어의 평균 요구 몸값 상승 = 랜섬웨어 공격을 통해 요구하는 금액(몸값)도 지속적으로 증가하고 있다.

2014년에는 372달러(한화 약 43만원)에서 2015년 294달러(한화 약 34만원)로 감소했다가, 올 상반기에는 전년대비 2.3배 가까이 상승한 679달러(한화 약 77만원)를 기록했다.<그림3 ‘랜섬웨어 평균 요구액’ 참조>

▲ 그림3 ‘랜섬웨어 평균 요구액’

올 1월에는 7ev3n-HONE$T(Trojan.Cryptolocker.AD)로 알려진 랜섬웨어가 컴퓨터 1대 당 13개 비트코인 5083달러(한화 약 577만원)를 요구하면서 최고 몸값을 기록하기도 했다.

◆‘기업’ 겨냥한 표적 공격의 시작 = 랜섬웨어는 대규모로 무차별하게 감염시키는 공격 형태가 여전히 성행하고 있지만, 최근 공격 형태를 살펴보면 기업 사용자를 대상으로 하는 랜섬웨어 패밀리가 발견되는 등 이제 ‘기업’이 공격자들의 핵심 표적이 되고 있다.

이번 조사 결과, 기업 사용자가 랜섬웨어 감염의 약 43%를 차지했다.<그림4 ‘랜섬웨어 기업 vs 개인 비율’ 참조>

▲ 그림4 ‘랜섬웨어 기업 vs 개인 비율’

기업을 겨냥한 공격은 성공 시 수 천대의 컴퓨터를 감염시켜 운영 장애와 매출, 평판에 심각한 타격을 입힘으로써 몸값이 훨씬 늘어날 수 있기 때문인 것으로 풀이된다.

피해를 입은 산업별 통계를 보면, 서비스업(38%)과 제조업(17%), 공공(10%), 금융권 및 부동산(10%) 등이 주로 피해를 입은 것으로 나타났다.

◆APT(지능형지속위협) 등 지능형 공격 기법 및 신규 위협 = 랜섬웨어는 진화를 거듭해 지능형 공격 기법을 사용하고 있다.

표적형 랜섬웨어 공격은 사실상 사이버 스파이 활동이나 APT 공격자들이 사용하는 것과 유사한 기술과 툴을 활용해 높은 수준의 전문성을 보인다.

랜섬웨어 패밀리는 자바스크립트, 파워쉘(PowerShell), 파이썬(Python) 등 다양한 프로그래밍 언어로 사용하고 있으며, 스크립트형 언어를 사용하여 보안 제품의 탐지를 우회하기도 한다.

또한 암호화 기능 외에 새로운 위협을 가하기도 한다. 변종인 키메라(Chimera) 랜섬웨어는 돈을 지불하지 않으면 사진, 동영상 등 개인 데이터를 인터넷에 게시하겠다고 위협한다.

◆랜섬웨어의 비즈니스 모델화 = 랜섬웨어가 사이버 범죄의 인기 비즈니스 모델로 자리 잡고 있다.

랜섬웨어 서비스(Ransomware as a service • RaaS) 확산은 전문기술 수준이 상대적으로 낮은 공격자도 자체 랜섬웨어를 확보할 수 있도록 해서 더 많은 사이버 공격자를 양산시킨다.

실제로 랜섬웨어 공격을 위한 키트나 공격 대행 서비스 상품은 인터넷 암시장을 통해 마치 쇼핑몰에서 물건을 사듯 쉽게 거래되고 있다.

윤광택 시만텍코리아 CTO는 “랜섬웨어가 사이버 공격자들의 새로운 골드러시가 되면서 비즈니스 모델로 진화하고 있다”며 “랜섬웨어가 기업을 겨냥해 지능형 공격기법을 적용하고 표적 공격을 확대하고 있음을 고려했을 때, 단순히 랜섬웨어라는 악성코드만 대응하는 것이 아니라 신종 위협을 비롯해 기업 내 전방위적인 악성코드 대응 전략을 수립하는 것이 필요하다”고 강조했다.

랜섬웨어 공격 수단은 이메일 내 URL 또는 첨부 파일, 익스플로잇 킷을 통한 감염 등 다양하다.

시만텍은 기업 및 개인 사용자에게 ▲운영체제(OS)를 비롯한 모든 소프트웨어를 항상 최신으로 업데이트할 것 ▲수상한 이메일, 특히 링크나 첨부 파일을 포함하고 있는 이메일은 주의할 것 ▲콘텐츠 확인을 위해 매크로 실행을 권고하는 MS오피스 이메일의 첨부 파일의 경우 각별히 조심할 것. 이메일의 출처를 신뢰할 수 없다면, 매크로를 실행하지 말고 즉시 삭제할 것 ▲중요한 데이터는 주기적으로 백업할 것 등을 권고하고 있다.

<김동기 기자>kdk@bikorea.net