'데이터 인질극' 랜섬웨어 해킹공격 증가 계속..의심 파일 실행말아야

[이데일리 이재운 기자] 파일에 암호를 걸어버린 뒤 대가를 요구하는 ‘랜섬웨어’ 공격이 계속 기승을 부리고 있다. 보안업계도 대응을 서두르며 방어에 나서고 있다. 사용자들에게는 미심쩍은 웹사이트 접속이나 이메일 실행을 하지 말 것을 당부하고 있다.

10일 안랩(053800)과 이스트시큐리티 등 국내 보안업체들은 나란히 1분기 랜섬웨어 통계를 발표했다.

이스트시큐리티 제공

전년비 48% 증가..갠드크랩 유형 피해 크게 늘어

안랩은 올 1분기 동안 신규 랜섬웨어 샘플 수집 건수가 34만개로 전년 동기 대비 48% 증가했고, 랜섬웨어 탐지 건수는 ‘갠드크랩 랜섬웨어(57%)’이 가장 많았다고 밝혔다.

갠드크랩은 전분기 대비 400% 증가했고, 워너크립터라는 랜섬웨어도 전분기 대비 117%로 증가하며 빠른 증가수치를 보였다.

‘알약’ 백신을 서비스하는 이스트시큐리티도 공개용 제품을 통한 랜섬웨어 행위 기반 사전 차단’ 기능을 통해 총 32만 506건의 랜섬웨어가 탐지됐다고 밝혔다. 일평균 3561건에 달한다. 이스트시큐리티 시큐리티대응센터(ESRC) 역시 안랩과 마찬가지로 1분기 주요 랜섬웨어 공격 동향으로 ‘갠드크랩(GandCrab) 랜섬웨어의 꾸준한 업데이트와 유포’를 꼽았다.

특히 갠드크랩이 구매자의 주문을 통해 특정 집단이 제작하고 갈취한 수익을 분배하는 서비스형 랜섬웨어(RaaS)로, 버전 업데이트를 반복하며 지속적으로 유포되고 있다고 분석했다.

문종현 ESRC센터장(이사)은 “이번 1분기는 갠드크랩처럼 불특정 다수가 아닌 기업에서 사용하는 중앙관리서버(AD)를 타깃으로 하는 클롭(Clop) 랜섬웨어의 위협이 높아져, 더욱 주의가 필요하다”며 “특히 클롭 랜섬웨어는 명령제어서버(C&C) 연결 없이도 암호화 공격을 진행하기 때문에, 보안을 위해 폐쇄망을 사용하는 기업 역시 피해를 입을 수 있다”고 강조했다.

이력서, 소환장, 쿠폰, 송장..다양해지는 유형

유포방식도 다양해졌다. 관련 업무 담당자를 겨냥해 이력서, 구매송장, 경고장 등 문서파일 위장 랜섬웨어 유포 사례가 발견됐고, ‘보안 업데이트가 미흡한 사용자’를 노려 사용자 PC환경을 분석해 각종 취약점을 악용하는 랜섬웨어 유포 사례도 발견됐다.

이 밖에 지방 경찰서 출석통지서, 헌법재판소 소환장, 유명 쇼핑몰 할인쿠폰 등을 사칭한 경우도 있었다.

심지어 해커가 기업 서버 관리자 계정을 탈취한 후 조직 내 하위 시스템을 랜섬웨어에 감염시켜 기업에 치명적인 피해를 입힐 수 있는 유포 사례가 발견되기도 했다.

랜섬웨어 피해를 예방하기 위해서는 △출처가 불분명한 메일의 첨부파일 실행 자제 △OS(운영체제) 및 인터넷 브라우저(IE, 크롬, 파이어폭스 등), 응용프로그램(어도비, 자바 등), 오피스 SW등 프로그램의 최신 버전 유지 및 보안 패치 적용 △정품 소프트웨어·콘텐츠 다운로드 △의심되는 웹사이트 방문 자제 △백신 프로그램 최신버전 유지 및 주기적 검사 등 보안 수칙을 실행해야 한다.

안랩 관계자는 “랜섬웨어 유포가 지속적으로 증가한다는 것은 공격자가 랜섬웨어로 수익을 내고 있다는 의미”라며 “신규 랜섬웨어 제작 및 유포 방식 다양화로 랜섬웨어가 지속 유포될 가능성이 높은 만큼 개인사용자 및 조직의 각별한 주의가 필요하다”고 말했다.

안랩 제공