"알약, 랜섬웨어 4만3천건 막았다"… 중소기업만 노리는 랜섬웨어도 기승

황국상 기자 2023. 7. 5. 10:41
음성재생 설정
닫기
번역beta Translated by kaka i
닫기
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

닫기

임종철 디자이너 /사진=임종철 디자이너

임종철 디자이너 /사진=임종철 디자이너


이스트시큐리티의 백신 프로그램에 탑재된 '랜섬웨어 행위기반 사전차단 기능'이 올 2분기에만 4만3000여건의 랜섬웨어 공격을 차단했다.

5일 이스트시큐리티에 따르면 알약 백신에 탑재된 '랜섬웨어 행위기반 사전차단 기능'은 올 2분기 일평균 485건의 공격을 차단해 총 차단 건수가 4만3645건에 이른다. 이스트시큐리티는 "패턴기반 탐지 건까지 포함한다면 전체 공격은 더 많을 것"이라고 했다.

랜섬웨어(Ransomware)란 몸값을 의미하는 랜섬(Ransom)과 소프트웨어를 의미하는 웨어(Ware)를 합성해 만든 단어다. 해킹 등 사이버공격으로 파일이나 시스템을 먹통으로 만든 후 이를 해제해주는 조건으로 돈을 요구하는 공격을 일컫는 용어이기도 하다.

바북 랜섬웨어 기승
올 2분기에는 바북(BABUK) 랜섬웨어의 기승이 눈에 띄었다. 2021년 1월 처음 등장한 바북록커 랜섬웨어는 피해자에 따라 고유 확장자, 랜섬노트, TOR URL 등을 달리했을 뿐 아니라 이중갈취 전략을 사용해 활발한 활동을 이어갔다. 2022년 하반기와 올 상반기 바북록커 소스코드를 이용해 제작된 랜섬웨어들의 변종들이 대거 발견됐다.

올 4월 처음 발견된 RA그룹 랜섬웨어도 바북록커 랜섬웨어의 코드를 활용해 제작됐다는 게 이스트시큐리티의 설명이다. RA그룹 랜섬웨어는 올 4월22일 다크웹에 데이터 유출 사이트를 개설하며 외부에 알려진 곳이다. 주로 미국과 한국의 제조, 자산관리, 보험, 제약 등 사업분야를 타깃으로 하고 있고 국내 제약사 1곳도 이 그룹의 공격으로 내부 정보가 유출됐다.

'로르샤흐'라는 이름의 랜섬웨어도 이번에 새로 발견됐다. 종전까지 임호화 속도가 가장 빠른 것으로 평가된 락빗3.0(LOCKBIT 3.0)에 비해서도 2배 더 빠른 암호화 속도를 기록한 것이 로르샤흐(Rorschach)다. 로르샤흐 역시 바북 코드를 이용해 만들어진 것으로 확인됐다.

윈두우와 리눅스, 맥OS(운영체제)를 모두 감염시킬 수 있는 랜섬웨어도 발견됐다. 새로 발견된 사이클롭스(Cyclops) 그룹은 RaaS(서비스형 랜섬웨어)가 그것이다. 사이클롭스는 GO언어로 작성돼 있고 비대칭 암호화, 대칭 암호화가 혼합된 복잡한 암호 알고리즘을 사용한다. 또 다양한 민감 데이터를 탈취하기 위해 GO기반의 인포스틸러도 제공한다.

이 인포스틸러는 윈도우, 리눅스 시스템을 대상으로 설계돼 운영체제 정보, 컴퓨터 이름, 특정 확장자와 일치하는 파일 등 세부 정보를 캡쳐해 원격 서버로 전송한다. 사이클롭스의 암호화 알고리즘과 문자열 난독화 기술은 바북, 락빗 랜섬웨어와 유사하다고 평가된다.

공격방식 진화, 中企만 노리는 랜섬웨어도
블랙캣(BlackCat)이라는 랜섬웨어는 보안 소프트웨어의 탐지를 피하기 위해 서명된 악성 윈도우 커널 드라이버를 사용하는 게 포착됐다. 악성 윈도우 커널 드라이버는 2022년말 랜섬웨어 공격에 사용된 푸어트리(POORTRY) 악성코드의 업데이트 버전으로 마이크로소프트 윈도우 하드웨어 개발자 프로그램에서 도난당한 키를 사용해 서명된 윈도우 커널 드라이버라는 게 이스트시큐리티의 설명이다.

공격자는 탈취하거나 유출된 교차 서명 인증서를 통해 서명된 업데이트 푸어트리 드라이버를 배포했고 이를 이용해 해킹된 시스템에서 권한 상승을 하며 보안 에이전트와 관련한 프로세스를 중지시키는 등 기능을 수행한다.

랩쳐(Rapture)라는 이름의 랜섬웨어는 RSA 키 구성 파일을 사용하고 '.net' 실행파일로 컴파일 한다는 점에서 파라다이스 랜섬웨어와 유사하지만 더미다(Themida)를 이용해 패킹하고 최소한의 흔적만 남겨 분석을 어렵게 하는 특징이 있다.

올 6월에는 클롭(Clop) 그룹이 MFT 솔루션인 무브잇트랜스퍼에서 SQL 인젝션 취약점을 이용해 공격을 진행한 것이 확인됐다. 클롭은 이미 2년 전 해당 취약점에 대해 알고 있었으나 올 6월1일부터 공격을 시장했고 BBC, 영국항공 등 무브잇트랜스퍼를 사용하는 많은 기업들이 피해를 입었다.

2022년 3월 처음 등장한 에잇베이스(8base) 랜섬웨어는 주로 보안이 취약한 중소기업들을 타깃으로 삼아왔다. 올 4,5월까지만 해도 공격이 활발하지 않았지만 6월부터 활동이 급증, 현재까지 80여곳의 조직이 에잇베이스 공격을 받은 것으로 확인됐다. 에잇베이스는 6월 한 달간 가장 많은 랜섬웨어 공격그룹 2위에 오르기도 했다.

황국상 기자 gshwang@mt.co.kr

Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지

이 기사에 대해 어떻게 생각하시나요?
머니투데이에서 직접 확인하세요. 해당 언론사로 이동합니다.