[IT비즈뉴스 김소현 기자] 올해 1분기 위장한 파일로 이메일에 첨부돼 공격이 시행되는 마콥(Makop) 랜섬웨어 위협이 증가했다는 조사결과가 나왔다.

10일 이스트시큐리티대응센터(ESRC)에 따르면 백신 프로그램 ‘알약’을 통해 차단한 랜섬웨어 공격을 조사한 결과 1분기에 이메일 내 입사 지원서, 이력서, 포트폴리오 등으로 위장한 첨부파일로 유포되는 마콥 랜섬웨어 위협이 증가했다고 밝혔다.

랜섬머니 지불을 강요하기 위한 목적의 디도스(DDoS) 공격, 언론인 및 피해자의 사업파트너에게 음성으로 전화를 시도하는 등 새로운 전략을 추가한 소디노키비(Sodinokibi) 랜섬웨어 공격도 새로 등장했다.

허나 1분기 총 랜섬웨어 공격수는 지난해 4분기 대비 감소한 것으로 집계됐다. 랜섬웨어가 대거 발생하기 시작한 2019년부터 현재까지의 공격 추이도 전반적으로 감소하는 추세를 보였다.

ESRC는 1분기 주목할만한 보안위협으로 지난달 등장한 디어크라이(DearCry), 블랙킹덤(Black Kingdom) 랜섬웨어를 꼽았다. 이 랜섬웨어는 3월 초부터 이슈가 된 마이크로소프트 익스체인지(Microsoft Exchange) 서버의 ‘ProxyLogon’ 취약점(CVE-2021-26855)을 악용했다.

도플페이머(Doppelpaymer) 랜섬웨어그룹의 현대기아자동차의 기업 내부 자료 다크웹 공개된 사건도 이슈로 꼽았다.

이외에도 ▲비너스락커 조직의 RaaS 형태의 마콥 랜섬웨어 ▲국제수사기관 공조성과에 따른 지기(Ziggy) 랜섬웨어 운영자의 운영중단 선언 ▲기업용 랜섬웨어인 바북 라커(Babuk Locker)의 등장과 웜 기능을 갖춘 류크(Ryuk) 랜섬웨어 변종 발견 등이 포함됐다.

1분기에는 도플페이머 랜섬웨어 그룹이 운영하는 다크웹 사이트에서는 실제로 현대차와 현대글로비스 등 계열사 데이터가 대거 발견됐다.

이 데이터에는 제네시스 자동차 도면과 기업의 재무자료, 내부 직원 아웃룩 이메일 백업 파일 등 민감한 문서도 다수 포함된 것으로 알려졌다.

동기간 국제수사기관의 공조로 넷워커 등의 랜섬웨어가 무력화돼 운영자들이 스스로 운영을 중단하겠다 선언하고 피해자들에게 복호화 키를 공개해 눈길을 끌었다.

1분기 처음 등장한 바북 라커는 피해자에 따라 고유 확장자, 랜섬노트, 토르(Tor) URL 등을 다르게 지정하고 안전한 암호화 알고리즘을 사용해 파일 복구를 방지하는 고도화된 수법을 사용한 점, 류크 랜섬웨어 변종은 웜 기능을 통해 피해자의 로컬 네트워크 내에 있는 다른 장치로 감염을 확산하는 특징 등도 주목할 이슈로 ESRC는 꼽았다.

ESRC 센터장 문종현 이사는 “1분기 비너스락커 조직이 마콥 랜섬웨어를 지속 활용한 정황을 다수 포착했다”며 “공격양상이 기존의 공격 방식에서 새로운 기능을 추가하거나 여러 공격 기법을 결합한 형태로 점점 진화하고 있어 주기적인 백업 및 안전한 보안 시스템 구축 등을 통해 미리 대비하는 자세가 필요하다”고 조언했다.