[파이낸셜뉴스] 신변종 랜섬웨어 공격이 증가세를 보이고 있다. 8일 국내 최대 사이버보안 서비스 기업 SK쉴더스가 2023년 3·4분기 KARA 랜섬웨어 동향 보고서에 따르면, 3·4분기 동안 랜섬웨어 공격은 총 1384건이 발생했다. 특히 9월에만 496건의 공격이 집중됐다. 이번 보고서에는 지난 3·4분기 가장 활발하게 활동한 랜섬웨어 공격 그룹의 동향과 공격 전략을 상세히 다뤘다. 이는 클롭(Clop), 락빗(LockBit) 등 유명 랜섬웨어 그룹의 대규모 공격뿐만 아니라, 신규 랜섬웨어 그룹의 등장으로 인한 것으로 파악됐다. 신규 랜섬웨어의 공격 비중은 전체 공격의 17.6%나 차지했다. 특히, 지난 9월에는 락빗이 국내 한 대기업의 데이터 800GB를 탈취하고 업무 관련 문서, 데이터베이스 관련 파일 등 데이터 100GB를 공개해 파장이 일었다. 이들은 기업을 대상으로 데이터 탈취뿐만 아니라 데이터 공개를 빌미로 금전을 요구하는 이중 협박 전략을 쓰고 있어 기업의 피해가 커지고 있다. 랜섬웨어 공격 시 초기 침투를 전문으로 하는 IAB와의 협업은 더욱 강화되고 있는 것으로 조사됐다. 대형 랜섬웨어 그룹들이 초기 침투 경로를 IAB에게 구매해 공격을 수행한 뒤 얻은 암호화폐 수익을 숨기는 ‘믹싱 서비스’를 이용하는 등 체계화된 공격 전략을 보이고 있기 때문이다. 이 밖에도, 초기 침투 방법으로 취약점을 악용한 전문적인 공격 방법과 비교적 공격이 쉬운 피싱, 스팸 메일, 사회공학기법을 이용한 상반된 전략이 모두 발견되고 있는 것으로 조사됐다. 김병무 SK쉴더스 인포섹의 클라우드보안사업본부장은 “특색 있는 신규 랜섬웨어들이 계속 발견되고 매분기 공격 건수가 늘어나는 만큼 공격자의 관점에서 전략과 기법을 사전에 파악해 선제적이고 능동적인 조치가 필요한 시점”이라며 “이번 복호화 도구 무료 제공을 계기로 랜섬웨어 예방에서부터 사후 조치까지 기업 환경에 맞는 맞춤형 대응 방안을 지속적으로 제시할 것”이라고 말했다. kjw@fnnews.com 강재웅 기자
2023-11-08 10:06:25[파이낸셜뉴스] 과거 한동안 유행했다 사라졌던 랜섬웨어들을 최근 해커들이 다시 유포시키면서 '랜섬웨어도 복고 유행'이 이어지고 있다. 특히 사이트 방문만으로 감염시키는 '매그니베르', 서비스형 랜섬웨어 '락빗', 새로운 버전의 '갠드 크랩' 등 랜섬웨어 등이 다시 활개를 치고 있다. 보안업계 관계자들은 "해커드이 사용자들의 한순간 방심을 노리고 있어 이메일 첨부파일이나 링크를 클릭하는데 주의해야 한다"고 강조했다. 16일 안랩에 따르면, 마이크로소프트(MS) 익스플로러의 취약점을 이용해 메일에 첨부된 웹페이지만 방문해도 랜섬웨어를 감염시키는 '매그니베르'가 다시 유포되고 있다. 지난 8월 MS가 익스플로러를 종료하면서 유포되는 모습이 사라지는 듯했으나 최근 다시 해커들이 사용하고 있다. 이전과의 차이점은 웹브라우저 취약점을 악용해 공격하는 것이 아니라 코로나19 관련 파일이나 보안 업데이트 파일로 위장해 피해자들을 노리고 있다. 안랩 관계자는 "매그니베르는 첨부파일 클릭시 파일 실행에 대해 묻지 않고 바로 실행돼 특히 조심해야 한다"며 "자신도 모르게 다운로드된 파일을 열어보지 말아야 한다"고 당부했다. 또 다른 랜섬웨어 중 재 유행중인 것은 2019년 처음 등장했던 서비스형 랜섬웨어 '락빗'. 락빗은 발견 초기 당시에는 시스템의 취약점 등을 노려 랜섬웨어 공격이 이뤄졌다. 하지만 올 7월부터 발견되고 있는 '락빗 3.0'은 중소 무역업체에 '화물 탁송 확인 필수'라는 제목의 파일을 메일로 보낸다. 이처럼 랜섬웨어가 숨어있는 파일 실행을 유도하고 있다. 또 2020년 이후 사실상 자취를 감췄던 '갠드 크랩' 랜섬웨어도 새 버전으로 확산되고 있다. 갠드 크랩은 과거 국내 이용자를 노린 이력서나 한글 파일 형식 등으로 위장해 피해를 입혔다. 최근에는 최근 입사 지원서, 행정업무 프리랜서 계약비용 등의 파일로 위장해 재 등장했다. 이처럼 과거 유행했다가 다시 등장하고 있는 랜섬웨어들의 특징을 살펴보면 인간의 심리현상 중 신뢰를 이용하는 '사회공학적 기법'이 대세다. 안랩 관계자는 "해커들이 취약점을 발견하는 노력을 하기보다는 사용자를 현혹해 걸려들게 하는 것이 더 쉽다고 판단한 것 같다"고 설명했다. monarch@fnnews.com 김만기 기자
2022-12-16 09:20:33