[아이티데일리] 포티넷코리아(한국지사장 조현제)가 향후 랜섬웨어에 대한 전망을 1일 제시했다.

데릭 맨키(Derek Manky) 포티넷 글로벌보안전략가는 워너크라이(WannaCry) 랜섬웨어 공격이 다행히도 국내에서는 대규모 피해로 이어지지는 않았지만 랜섬웨어의 위협은 여전히 진행 중이며 더 강해져서 돌아올 것이라고 전망했다.

데릭 맨키는 여러 가지 면에서 워너크라이(WannaCry) 위기 사태가 어느 정도 진정됐다고 진단했다. 그 이유는 사이버 범죄자들이 기습이라는 요소를 잃어버렸다는 점과 전세계 법 집행기관, 국립 CERT 및 CTA(사이버 위협 연합) 등 다양한 인력이 해결방안을 제시하고 있다는 점을 들었다.

또한 이를 흉내낸 신형 공격은 방어되고 있지만 이에 대한 경계를 늦추면 안된다고 경고했다. 데릭 맨키는 “몰래 숨어서 작동하는 봇넷이란 원래 우리가 대비하고 있는 것에 비해 더 큰 성공을 거두고, 감지하기도 어려운 법”이라며, 현재 많은 기업이 워너크라이(WannaCry)나 그와 비슷한 익스플로잇의 공격이 반복될 가능성에 경계를 철저히 하고 있는 상태라고 밝혔다. 전세계 전기통신 제공업체들도 포트 445를 차단하기 시작해 SMB 익스플로잇의 확산을 막기 위한 조치를 취했고, 이 때문에 ‘아딜커즈(Adylkuzz)’ 등의 신형 공격은 한층 저해되고 있는 상황이다.

지금으로서는 이번 익스플로잇의 성공을 등에 업고 더 큰 규모의 피해를 초래할 수 있을 것이라는 징후가 보이지 않지만, 맬웨어 공격자들이 또 다른 전략을 찾아내 공격을 성공시킬 가능성이 있다고 설명했다.

데릭 맨키는 포티넷의 포티가드랩(FortiGuard Labs) 위협 연구 팀의 동향 데이터를 통해 방어가 느슨한 기업을 공격한 시점에 익스플로잇과 프로브의 수가 점차 늘어나 폭발적으로 급성장한 것을 확인할 수 있었다고 밝히며, 그 이후로는 공격 활동량이 대폭, 꾸준히 감소하는 것을 확인할 수 있었다고 언급했다.

이에 따르면 금요일과 토요일 공격이 최고 수위에 도달했고, 이후 일요일에는 성장률이 –44%로 관측됐고, 이후로는 익스플로잇 활동이 매일 반감됐다. 세계적인 공격 횟수는 최고 수위를 찍은 뒤 53%까지 떨어진 상태다. 이는 주로 가장 취약한 시스템은 이미 피해를 입었거나 보강했기 때문이다.

포티넷 측은 현재 쉐도우브로커(ShadowBroker) 익스플로잇 키트를 주목하고 있다. 악질적인(블랙햇) 사이버 범죄자들은 현재 주목받지 않는 참신하고 강력한 잠재력을 지닌 익스플로잇을 찾고 있을 가능성이 높다고 언급했다. 기습이라는 이점을 되찾기 위해서다.

데릭 맨키는 “앞으로 1,500만 건 이상의 감염이라는 최고 수위를 능가하는 세계 최대 규모의 봇넷이 출현할 가능성이 높다”고 언급했다. 이어 “그런 사건이 발생할 가능성이 가장 높은 경로는 사물인터넷(IoT)”이라며, “IoT 기기, 서비스, 중요 데이터 및 지적 재산에 대한 랜섬을 요구할 가능성이 높고, 데이터 수집, 표적형 공격 및 기타 다른 위협을 난독 처리(obfuscate)하는 등의 범죄 행위가 뒤를 이을 가능성이 높다”고 전망했다.