[아이티데일리] 2분기 개인용 안티바이러스 솔루션 ‘알약’을 통해 차단된 랜섬웨어 공격이 16만 3,933건에 달하는 것으로 집계됐다. 특히 2분기에는 ‘넴티(Nemty) 랜섬웨어’와 ‘마콥(Makop) 랜섬웨어’가 기승을 부렸다.

6일 이스트시큐리티(대표 정상원)는 ‘알약’을 통해 차단된 랜섬웨어 공격 통계를 발표, 이 같이 밝혔다. 통계에 따르면 일평균 약 1,822건의 랜섬웨어 공격이 차단됐다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 추정된다.

이스트시큐리티는 2018년 3분기부터 현재까지 약 2년에 걸쳐 랜섬웨어 총 공격 수는 지속적으로 감소하는 추세를 보이고 있다고 분석했다. 또한 2분기 주요 랜섬웨어 동향으로 ▲‘비너스락커’ 조직의 지속적인 ‘넴티&마콥 랜섬웨어’ 공격 ▲‘코로나19’ 이슈 노린 공격 지속 ▲재택근무 확산에 따른 원격 연결 수요 증가 노린 RDP 취약점 악용 공격 등을 꼽았다.

2분기에 기승을 부린 ‘넴티&마콥 랜섬웨어’는 국내 사회적 이슈를 활용해 한글로 작성된 악성 이메일로 유포됐다. 사용자가 무심코 이메일의 첨부파일을 열면 랜섬웨어에 감염된다.

코로나19 이슈를 악용한 공격은 지난 1분기에 비해 감소하고 있는 것으로 나타났다. 하지만 ‘Filecoder_CoronaRansom’, ‘Corona Virus ScreenLocker’ 등 다양한 코로나 키워드를 활용한 랜섬웨어가 여전히 유포되고 있어 안심해서는 안 된다.

이 외에도 주요 랜섬웨어 공격 중 하나인 ‘소디노키비(Sodinokibi)’는 추적을 회피하기 위해 결제수단을 모네로로 변경하고 꾸준히 공격 활동을 전개하고 있는 것으로 확인됐다.

이스트시큐리티 시큐리티대응센터(ESRC) 측은 “2020년 2분기 유포된 랜섬웨어 중 비너스락커 조직이 넴티, 마콥 랜섬웨어 등을 활용해 활발히 활동 중인 정황이 수십 차례 포착된 바 있어 주의가 필요하다”고 강조하며, “또한 해외에서 기업, 의료 기관, 산업 시스템을 주로 노렸던 대규모의 랜섬웨어 캠페인의 경우, 국내에서는 아직 피해사례가 확인되지 않았으나 미리 대비하는 자세가 필요하다”고 당부했다.

문종현 ESRC장은 “코로나19 확산으로 재택근무가 정착됨에 따라, 원격 업무 처리를 위해 임직원 개인 PC 등을 활용해 외부에서 기업 내부망에 접속하는 사례가 증가하고 있다”며, “이에 따라 내부 업무용 PC 뿐만 아니라 원격 업무용 개인 단말기에 대한 OS, SW 보안 업데이트 점검은 물론, RDP 취약점을 활용 악성 파일 유포를 대비한 임직원 보안 인식 강화 교육도 반드시 병행돼야 한다”고 강조했다.

한편 이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과 상시 협력 체계 구축하고, 랜섬웨어 정보 수집과 대응 협력을 진행하고 있다.