docm 포맷 첨부파일 이용, 한국 전 세계서 세 번째로 많은 공격 받아

▲ 국가별 공격 노출 순위. 한국이 미국과 일본에 이어 세 번째로 많은 공격을 받았다. (자료제공: 파이어아이코리아)

[아이티데일리] 파이어아이가 이달 들어 록키(Locky) 랜섬웨어를 유포하는 대량의 이메일 공격을 포착했다고 24일 밝혔다. 특히, 한국은 전 세계에서 세 번째로 해당 랜섬웨어 유포 시도가 가장 많이 탐지된 국가였다.

파이어아이는 이달부터 록키 랜섬웨어가 DOCM 포맷의 첨부파일을 통해 대량으로 유포되기 시작한 정황을 포착했다. 이는 자바스크립트 기반 다운로더를 통해 유포됐던 지난 3월 대규모 공격과 비교했을 때 기법이 변화된 것이다. 파이어아이는 사이버 범죄자들이 랜섬웨어를 이용해 부당 이익을 얻고자 지속적으로 공격 방법을 변화시키고, 또 감염 시도를 늘리고 있다고 강조했다.

해당 공격은 전 세계 다양한 국가들을 대상으로 했으며 특히 미국, 일본, 한국 순으로 가장 많이 공격에 노출됐다. 산업별로는 비교적 다양한 분야를 타깃으로 하고 있지만, 헬스케어 산업이 가장 많은 공격을 받았다.

파이어아이의 분석에 따르면, 8월 9일, 11일, 15일에 DOCM 포맷의 첨부파일을 통한 랜섬웨어 유포가 두드러졌다. 이 때 사용된 매크로 코드는 악성 멀웨어 서버로부터 록키 랜섬웨어 페이로드를 다운받기 위해 사용되는 일회용 특정 공격 코드를 가지고 있었다. 또한, 매크로 코드 안에 포함된 악성 URL은 각 공격마다 같은 인코딩 함수를 이용해 인코딩됐지만 다른 키가 이용됐다. 다운로드된 페이로드는 32바이트의 롤링 XOR키를 이용해 인코딩됐고, 각 공격마다 다른 키가 사용됐다.

한편, 파이어아이는 록키 랜섬웨어가 급증한 데 반해 금융 정보를 수집하는 트로이목마 ‘드라이덱스(Dridex)’의 유포는 거의 중단됐다고 밝혔다. 이는 공격자들이 금융 트로이목마 보다 수익성이 좋은 랜섬웨어를 활용하면서, 최근 사이버 범죄 트렌드가 변화하고 있다는 것을 보여준다.

전수홍 파이어아이코리아 지사장은 “록키 랜섬웨어가 또 다시 대량으로 유포되기 시작했다. 특히 한국은 이번 공격의 집중 타깃 국가가 됨에 따라 각별한 주의가 필요하다”며 “이메일 내 첨부파일을 열기 전에 항상 주의를 기울여야 한다는 랜섬웨어 예방의 기본적인 수칙은 아무리 강조해도 지나치지 않는다. 함부로 이메일 첨부파일을 실행할 시 랜섬웨어 감염의 위험에 처할 수 있음은 물론 나아가 기업의 비즈니스에 치명적인 피해를 입을 수 있다는 것을 명심해야 한다”고 말했다.

저작권자 © 아이티데일리 무단전재 및 재배포 금지