1Q 랜섬웨어 공격 933건, 3월에만 전월比 78% ↑

SK쉴더스 중심 민간 랜섬웨어 대응 협의체 KARA 보고서 발간
작년 4분기 813건→올 1분기 933건으로 증가
월평균 300여건에서 3월에만 464건으로 ↑

해킹 등 방식으로 컴퓨터나 시스템을 마비시킨 후 몸값을 받고서야 이를 해제해주는 랜섬웨어(Ransomware) 공격이 올해 1분기에만 933건이 확인됐다.

21일 SK쉴더스 주도로 구성된 랜섬웨어 대응 민간 협의체 KARA(한국 안티 랜섬웨어 동맹)가 발간한 '랜섬웨어 동향 보고서'에 따르면 올 1분기 확인된 랜섬웨어 공격은 933건으로 지난해 4분기(813건) 대비 15% 가량 늘었다.

특히 올 3월 공격 건수는 464건에 달해 1월(209건) 2월(260건) 대비 대폭 늘었다. 클롭(Clop)이라는 랜섬웨어 그룹이 파일 전송 소프트웨어의 취약점을 악용해 100여곳이 넘는 기업에 피해를 입혔기 때문이었다.

2017년부터 한국을 타깃으로 유포되기 시작한 마그니베르(Magniber) 랜섬웨어는 지난해 4분기 코로나 관련 파일명을 위장해 유포됐는데 올 1분기에는 윈도우 인스톨러를 위장해 유포되고 있다. 이력서나 저작권 사칭 메일을 위장해 유포되는 락빗(Lockbit 2.0) 랜섬웨어도 올 1분기에도 지속적으로 확인됐다.

올 2,3월에는 국내 반도체 기업과 로펌에서 탈취한 데이터를 유출하는 사고가 확인됐다. 2월에는 특히 국내 기업을 타기승로 하는 공격 캠페인이 확인됐고 국내 제조업체가 몬스터 랜섬웨어에 감염된 사례가 발견되기도 했다.

C/C++ 등 주류 프로그래밍 언어가 아닌 비주류 언어로 만들어진 랜섬웨어도 눈에 띄었다. 'GO'나 'RUST'와 같은 비주류 언어로 개발된 랜섬웨어들은 하나의 코드로 다양한 운영 체제를 타깃으로 한 공격이 가능하기 때문에 공격의 범위가 넓은 데다 주류 언어로 만들어진 랜섬웨어에 비해 분석 데이터가 부족해 탐지 확률이 낮다. 이같은 비주류 언어를 이용한 랜섬웨어는 앞으로도 꾸준히 늘어날 것으로 전망됐다.

피해자를 협박하고 데이터를 유출하는 방법도 더 다양해지고 있다. 유출된 데이터에 접근하는 동영상을 다크웹에 게시하는 '메두사' 그룹의 사례나 피해 기업의 사이트와 비슷한 도메인을 생성해 해당 도메인에 탈취한 데이터를 공개하는 행태를 보인 '블랙캣' 그룹의 사례가 대표적이다. 초기 침투를 전문으로 수행하는 IAB(초기접속 브로커) 등장도 눈에 띄었다.

원격 근무가 늘어난 상황을 이용해 RDP(원격 데스크톱 프로토콜)을 통해 국내에 유포시키기 위한 랜섬웨어도 발견됐다. 윈도우 운영 체제에 탑재돼 있는 '비트로커'(BitLocker)를 악용해 드라이브를 암호화하고 협박하는 랜섬웨어도 등장했다.

KARA는 "다변화되고 고도화되는 랜섬웨어 공격에 대비하기 위해 공격 발생 전부터 네트워크와 인프라, 자산에 대한 관리가 우선적으로 이뤄져야 하고 사고 대응 프로세스도 철저히 수립돼야 한다"며 "공격자는 공격 대상을 선정하기 위해 다양한 방법으로 침투 방법을 강구하고 내부 인프라에 침입 후 데이터를 암호화시키고 탈취해 협박하는 행위를 반복하고 있어 단계별 보안 요소와 프로세스를 마련, 공격자가 공격을 수행하기 전에 예방책을 사전에 마련해야 한다"고 했다.

김병무 SK쉴더스 클라우드사업본부장은 "전 세계적으로 랜섬웨어 공격과 협박이 복합적으로 진행되며 그 피해규모는 폭발적으로 증가하고 있어 실질적인 대책 수립이 시급하다"며 "SK쉴더스는 국내에서 유일하게 랜섬웨어 대응서비스를 원스톱으로 제공하고 있는 만큼 선도적으로 대응방안 구축과 서비스 제공에 앞장설 것"이라고 했다.

KARA는 SK쉴더스를 비롯해 △보안 솔루션을 제공하는 트렌드마이크로 지니언스 베리타스와 △보안 위협 정보를 분석하는 맨디언트 에스투더블유(S2W) △피해보상 보험 상품을 제공하는 캐롯손해보험 △법률 자문을 위한 법무법인 화우 등으로 구성됐다. 사고 접수와 대응, 복구, 대책까지 통합적으로 대응하기 위해서다.

황국상 기자 gshwang@mt.co.kr