[IT비즈뉴스 김진수 기자] 지난해 4분기 일평균 3700여차례의 랜섬웨어 공격 시도가 발생된 것으로 나타났다. 오픈소스로 제작되거나 윈도우 복원 시점을 삭제하는 등 다양한 공격형태의 랜섬웨어도 다수 발견됐다.
이스트시큐리티 시큐리티대응센터(ESRC)가 2018년 4분기에 전세계적으로 유포된 주요 랜섬웨어이 공격형태 분석 내용을 공개했다.
발표된 자료에 따르면, 4분기 역시 갠드크랩(GandCrab) 랜섬웨어가 업데이트를 거듭하며 지속적으로 유포됐으며 입사지원서, 임금체불 관련 출석요구서, 저작권 위반 내용 등 다양한 형태의 악성메일을 통해 URL을 클릭하도록 유도하는 공격기법이 주로 사용됐다.
이스트시큐리티의 발표자료에 따르면 지난해 4분기 알약으로 차단된 랜섬웨어 공격건수는 33만2179건이다. 일간 기준으로 환산하면 일평균 약 3691건이다. 이번 통계는 공개용 알약 기능 중 하나인 '랜섬웨어 행위기반 사전 차단'을 통해 차단된 공격수를 기준으로 집계됐다.
이번 통계는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위기반 차단 기능을 통해 차단된 공격만을 집계한 결과다. 패턴 기반 공격까지 포함하면 전체 공격수는 더 많은 셈이다.
갠드크랩 외에도 4분기에는 다양한 유형의 공격사례가 발견됐다. 오픈소스로 제작된 페이스북 아이콘으로 위장한 랜섬웨어(Facebook Ransomware)나 랜섬머니 거래를 위한 연락처로 페이스북 계정을 사용하는(BOOM Ransomware) 사례도 보고됐다.
윈도우와 리눅스, 맥 등 다양한 OS 환경을 대상으로 IPMI(Intelligent Platform Management Interface) 카드를 통해 사용자 PC를 감염시키는(JungleSec Ransomware) 사례, 파일 관리 프로그램으로 위장, 윈도우 시스템 복원 지점을 삭제하는(Dharma Ransomware) 사례와 안티 머신러닝 기술이 탑재돼(PyLocky Ransomware) 분석·탐지가 어려운 지능화된 공격사례도 다수 발생됐다.
헤르메스(Hermes) 랜섬웨어의 변종으로 제조공장, 제조기업이나 인프라를 노리는 표적형 랜섬웨어(Ryuk ransomware)도 발견됐다.
ESRC 센터장 문종현 이사는 “갠드크랩은 대표적인 서비스형 랜섬웨어(RaaS) 기반으로서 2018년 초부터 현재까지 가장 많이 유포되는 보안 위협으로 작용하고 있다”며 “2017년 5월 전세계적으로 큰 이슈가 되었던 워너크라이(WannaCry) 랜섬웨어가 2018년 차단된 랜섬웨어 공격 Top5에 꼽힐 만큼 여전히 위협적인 것으로 나타났다”고 설명했다.
이어 “이는 워너크라이 랜섬웨어의 네트워크 웜 전파 기능을 차단할 수 있는 SMB 취약점(MS17-010) 패치가 적용되지 않은 시스템이 여전히 많이 존재한다는 것을 방증하는 것”이라며 사용하는 OS/SW의 최신 보안업데이트를 진행할 것을 당부했다.