[아이티데일리] 랜섬웨어가 기승을 부리고 있다. 연일 스미싱, 피싱 메일 등을 통해 배포되는 악성코드, 랜섬웨어와 관련된 뉴스가 나오고 있다. 특히 최근 랜섬웨어는 개인을 노리는 것뿐만 아니라 기업을 노린 타깃형 공격으로도 이어지고 있다. 단순히 데이터를 암호화하고 복호화를 위한 몸값을 요구하는 것을 넘어, 데이터를 유출시키겠다는 협박으로 더욱 많은 비용을 요구하는 정황도 발견되고 있다. 랜섬웨어 외에 분산서비스거부(DDoS, 이하 디도스) 공격도 계속되고 있다. 디도스 공격 또한 단순히 서비스에 장애를 발생시키는 것을 넘어, ‘또 다시 디도스 공격을 실행하겠다’는 협박성 메시지로 비용을 요구하고 있다.

이와 같이 금전적인 이득을 노리고 진행되는 사이버 공격 사례는 가 다수 발견되고 있다. 올해에도 협박성 사이버 공격이 계속 기승을 부릴 것으로 전망된다.

작년 3분기부터 랜섬웨어 공격 50% 이상 급증

랜섬웨어와 관련된 사건 사고가 계속 늘어나고 있다. 국내뿐만 아니라 전 세계 각지에서 랜섬웨어로 인한 피해가 발생하고 있다. 글로벌 보안기업 체크포인트소프트웨어테크놀로지스에 따르면 작년 3분기에 발생한 랜섬웨어 공격이 상반기 대비 50% 이상 급증했다.

랜섬웨어는 ‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어다. 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 만든 뒤, 이를 인질로 금전을 요구하는 악성 프로그램을 일컫는다.

지난해 랜섬웨어로 인해 국내외에서 많은 사고가 발생했다. 대표적인 사례들을 살펴보면 지난 5월에는 국내 웹호스팅 기업이 랜섬웨어 공격을 받아 서버 일부가 감염되는 사고가 발생했다. 당시 웹호스팅 기업은 서버 40대가 랜섬웨어에 감염됐지만, 백업데이터를 기반으로 자료복구 및 OS 재설치로 데이터 복구 작업을 진행, 서비스를 정상화했다.

지난 9월에는 미국과 영국에서 400여개의 의료시설을 운영하는 UHS(Universal Health Services)가 랜섬웨어 공격을 받아 전체 의료시스템이 마비되는 사태가 발생했다. UHS가 감염된 랜섬웨어는 ‘류크(Ryuk)’ 랜섬웨어로 추정되고 있으며, 주요 의료시스템이 마비됨에 따라 응급 환자를 다른 병원으로 이송하는 등 피해가 발생한 것으로 알려지고 있다. 독일에서는 랜섬웨어 공격 때문에 환자가 사망하는 사건이 발생했다. 의료 시스템에 대한 랜섬웨어 공격의 심각성을 알리는 사례가 됐다.

지난해 9월 SK하이닉스 및 LG전자의 미국법인도 메이즈 랜섬웨어 공격을 받았으며, 11월에는 일본 게임사 캡콤이 랜섬웨어 공격으로 총 35만 건의 주요 문서가 유출되는 사건이 발생했다. 국내에선 이랜드 그룹 본사 서버를 타깃으로 한 랜섬웨어 공격으로 인해 영업점이 휴점하거나 부분 영업 피해가 발생했다. 특히 이랜드 그룹을 공격한 클롭(CL0P) 그룹은 해당 공격으로 이랜드가 갖고 있던 신용카드 정보 200만 건을 탈취했다고 주장하며 4,000만 달러(약 442억 원) 상당의 비트코인을 요구, 비용을 지불하지 않으면 정보를 공개하겠다고 협박하면서 다크웹에 일부 정보를 공개하고 있다. 금융당국은 현재 해당 정보가 실제 정보인지 분석하고 있다.

<관련 뉴스> 이랜드 그룹, 랜섬웨어 공격으로 백화점 및 아울렛 등 영업 중단

지난해 11월 22일 이랜드 그룹이 랜섬웨어 공격을 받아 엔씨(NC)백화점 등 오프라인 영업점 절반 가량이 휴점하거나 부분 영업을 하는 피해가 발생했다.

이랜드 그룹에 따르면 22일 새벽 사내 네트워크 시스템을 대상으로 한 랜섬웨어 공격이 발생했으며, 복구작업에 차질이 생겨 오프라인 영업점 운영에 차질이 생겼다. 특히 랜섬웨어에 감염된 시스템이 일부 매장의 포스(POS) 단말기 등과 연동돼 영향을 미친 것으로 분석됐다.

이랜드 그룹은 공식 발표문을 통해 “민감한 데이터는 암호화돼 별도 서버에 저장, 안전한 상태”라고 설명했다. 하지만 클롭 랜섬웨어 운영자들은 약 1년 전부터 이랜드 그룹 네트워크에 침투했으며, POS 단말기에 멀웨어를 심어 신용카드 정보를 탈취하고 있었다고 주장했다.

클롭 랜섬웨어 조직은 이번 랜섬웨어 공격으로 200만 건의 신용카드 정보를 탈취했다고 밝히며, 4,000만 달러의 비용을 지불하지 않으면 정보를 공개하겠다고 협박했다. 클롭 랜섬웨어 조직은 예고했던 대로 지난 12월 3일부터 신용카드 정보를 다크웹에 공개하고 있다. 현재까지 약 70만 개의 정보가 다크웹에 올라와 있는 상태다. 금융당국은 해당 정보가 실제 신용카드 정보인지 수사에 나서고 있다. 클롭 랜섬웨어 조직은 협상을 시도하며, 비용도 2,700만 달러로 낮춘 것으로 알려졌다.

 

지난해 기승을 부린 랜섬웨어 종류는 ▲매그니베르(Magniber, 개인 타깃) ▲블루크랩(BlueCrab, 개인 타깃) ▲메이즈(Maze, 기업 타깃) ▲클롭(CL0P, 기업 타깃) ▲라그나로커(Ragnar Locker, 글로벌 기업 타깃) 등이다. 특히 ‘클롭’ 랜섬웨어는 이랜드 그룹 등 국내 기업을 공격한 사례가 있으며, 캡콤은 ‘라그나로커’ 랜섬웨어에 감염된 것으로 분석된다.

랜섬웨어 공격의 진행과정을 살펴보면, 개인을 타깃으로 한 경우는 대부분 이메일 첨부파일로 유포돼 랜섬웨어를 실행하도록 유도한다. 랜섬웨어는 공격자와 통신해 파일을 암호화하고, 공격자는 파일을 복호화하는 조건으로 비용을 요구한다.

기업을 대상으로 한 공격은 더욱 치밀하다. 이메일 첨부파일로 유포되는 방식은 유사하지만, 랜섬웨어가 기업 내부 시스템으로 침입하기 위한 정보 수집 절차가 추가된다. 공격자는 이를 통해 내부 시스템에 접속, 관리 권한을 획득하고 주요 정보 탈취 및 파일 암호화를 수행한다.

코로나19 및 비트코인 가격 상승으로 랜섬웨어 급증

최근 랜섬웨어 공격이 급증하는 요인으로 비트코인 가격 상승이 꼽힌다. 랜섬웨어 공격 트렌드를 보면 암호화폐 가격 상승과 비례하는 것을 확인할 수 있다. 최근 폭증하고 있는 랜섬웨어의 위협과 피해 증가세에 비트코인 가격 상승이 기인하고 있는 것으로 분석된다.

암호화폐는 기존 화폐와 달리 관리 주체가 없기 때문에 개인들 사이에 자유로운 거래가 가능하고, 실제 거래 기록 추적이 어렵다. 추적을 피해 현금화가 쉬워졌기 떄문에 사이버 공격자들이 선호하는 결제 수단으로 각광받고 있다. 사이버 공격자들은 금전적인 이득을 위해 사이버 공격을 진행하는 경우가 늘어나고 있다. 미국 연방수사국(FBI)에 따르면, 지난 6년간 약 1,700억 원 상당의 암호화폐가 랜섬웨어 복구 비용으로 해커에게 지급된 것으로 나타났다.

지난해 랜섬웨어가 급증하는 또 다른 요인으로는 ‘코로나19(COVID-19)’ 이슈가 꼽힌다. 코로나19가 전 세계적인 이슈가 됨에 따라, 이를 악용한 사회공학적 기법의 공격이 급증하고 성공률 또한 높아지고 있는 것으로 나타났다. 비대면 업무 확산 등 IT 환경이 변화하는 가운데 보안이 미흡한 점을 악용한 공격사례가 증가하고 있으며, 코로나19를 키워드로 한 공격도 지속되고 있다.

특히 코로나19로 인해 사람들의 생활양식이 온라인 중심으로 변화하는 트렌드를 반영해 랜섬웨어 역시 코로나19 관련 정보로 위장하거나, 업무 관련 SW 다운로드, 게임 및 온라인 개학 관련 내용을 악용해 악성코드를 유포하는 사례가 지속적으로 발견되고 있다.

한국인터넷진흥원에 신고된 랜섬웨어 현황을 보면 지난 2018년은 22건, 2019년은 39건에 그쳤으나, 지난해는 73건을 돌파했다.

<유포사례 ①> ‘넴티’ 및 ‘마콥’ 랜섬웨어, 이력서·공정거래위 관련 문서로 위장해 유포

지난해 채용 시즌을 노려 이력서로 위장한 ‘넴티(NEMTY)’ 및 ‘마콥(Makop)’ 랜섬웨어가 유포된 바 있다. ‘넴티 랜섬웨어’는 메일 본문에 ‘공고를 본 지는 조금 됐지만 지원한다. 이력서와 포트폴리오를 같이 보낸다’는 자연스러운 한글 메시지를 포함하고 있다. 이는 메일 수신자의 의심을 피하고 모집 기간이 아닌 기업의 담당자도 악성 첨부파일을 열어보도록 유도하기 위한 것으로 추정된다.

‘마콥’ 랜섬웨어 역시 이력서로 위장해 유포됐다. 첨부파일을 이력서처럼 속여 다운로드 받아 실행하도록 유도하는 방식이었으며, 내용을 확인하기 위해 파일을 열면 ‘비다르(Vidar)’ 악성코드에 감염되고, 다른 파일을 실행하면 ‘마콥’ 랜섬웨어에 감염되는 것으로 나타났다.

또한 ‘넴티’ 및 ‘마콥’ 랜섬웨어는 공정거래위원회의 ‘전자상거래 위반 행위 조사통지서’처럼 위장해 유포된 바 있다. 공정거래위원회 사무관이 보낸 것처럼 위장하고 있으며, 메일 본문에는 공정거래위원회가 보낸 공문처럼 한글로 정교하게 작성된 내용이 포함돼 있다. 첨부된 압축파일에는 내에는 PDF문서처럼 위장한 랜섬웨어 파일과 함께, HWP문서처럼 위장한 정보탈취 악성코드가 함께 포함돼 있었다.

이스트시큐리티는 ‘알약 랜섬웨어 행위기반 차단 통계’를 통해 지난 2분기에는 ‘넴티’와 ‘마콥’가 기승을 부렸다고 발표한 바 있다. 통계에 따르면, 2분기 약 16만 건의 랜섬웨어 공격이 차단됐다. 특히 ‘넴티’ 및 ‘마콥’ 랜섬웨어는 국내 사회적 이슈를 활용해 한글로 작성된 악성 이메일로 유포됐다.

<유포사례 ②> ‘블루크랩’ 랜섬웨어, 유튜브 영상 다운로드 등으로 위장해 유포

지난해에 ‘유튜브 영상 고화질 다운로드’로 위장한 피싱 사이트를 통해 ‘블루크랩 랜섬웨어’가 유포됐다.

이 사례의 경우 공격자가 취약한 웹서버를 탈취해 ‘유튜브 영상 고화질 다운로드’라는 키워드로 악성 게시글을 업로드했다. 이후 검색 사이트에 피싱 사이트가 노출돼, 검색을 통해 접근할 수 있도록 유도했다. 사용자가 해당 피싱 사이트에 접속해 다운로드 링크를 클릭하면 압축파일이 다운로드 되며, 이 압축파일에 블루크랩 랜섬웨어가 포함돼 있다.

사용자가 압축을 해제한 뒤, 자바스크립트 형태(.js)의 파일을 실행하면 ‘관리자 권한’을 요구하는 팝업창이 나타나고, ‘예’ 버튼을 클릭하면 블루크랩 랜섬웨어에 감염된다. ‘아니요’ 버튼을 누르거나 재부팅을 시도해도 해당 팝업창이 지속적으로 나타나 사용자를 괴롭힌다.