"'디지털 인질' 랜섬웨어, 핵심표적은 기업"

시만텍, 글로벌 동향 보고서 통해 밝혀

컴퓨팅입력 :2016/07/27 18:25

랜섬웨어 감염 사례 43%가 기업이고, 피해자가 요구받는 평균 금액이 지난해 2배 이상으로 증가했다는 분석 결과가 나왔다. 개인 사용자뿐아니라 기업을 겨냥한 랜섬웨어 공격 위협과 잠재 피해 규모가 심화할 거란 전망이 이어졌다.

시만텍은 27일 '랜섬웨어 스페셜보고서 2016'을 공개하며 랜섬웨어가 더 정교한 공격 기법을 취하고 있으며 무차별 공격이 아니라 기업을 겨냥한 표적 공격 성향을 띠는 것으로 나타났다고 설명했다. 보고서는 시만텍의 인터넷 보안위협 데이터 수집체계 '글로벌인텔리전스네트워크'를 통해 파악된 랜섬웨어 동향을 분석한 결과를 담았다.

과거 개인 사용자 데이터를 볼모로 금전적 보상을 요구했던 랜섬웨어의 공격 범주가 최근 기업 대상으로 확대됐다. 2016년 7월 26일 글로벌 랜섬웨어 공격동향 분석 보고서 내용을 소개한 시만텍코리아는 이제 기업이 랜섬웨어 핵심 표적이라고 진단했다. (사진은 기사와 무관함)

보고서에 따르면 최근 기능 특성이 유사한 랜섬웨어 군집(family) 신규 출현 빈도가 늘었고, 평균 요구 금액이 상승했으며, 기업 겨냥 표적공격 조짐이 분명해졌고, 지능형지속위협(APT) 등 지능형 공격 기법과 신규 위협이 발생하는 한편, 랜섬웨어 유포와 데이터 복원 비용 취득 과정의 사업모델화 현상도 나타났다.

지목된 주요 랜섬웨어 감염 경로는 이메일 내 URL 또는 첨부 파일, 익스플로잇킷을 통한 감염 등이다.

시만텍은 기업 사용자 및 개인 사용자에게 ▲운영체제(OS)를 비롯한 모든 소프트웨어를 항상 최신으로 업데이트할 것 ▲링크나 첨부 파일을 포함한 이메일, 수상한 이메일을 주의할 것 ▲콘텐츠 확인을 위해 매크로 실행을 권고하는 마이크로소프트(MS) 오피스 이메일의 첨부 파일을 특히 조심하고, 출처를 신뢰할 수 없다면 매크로를 실행하지 말고 즉시 삭제할 것 ▲중요한 데이터는 주기적으로 백업할 것을 권고했다.

■신규 family 100개…'크립토 랜섬웨어'류 대부분

랜섬웨어 신규 패밀리 비율 [자료=시만텍코리아]

2015년 한 해 동안 100개의 신규 랜섬웨어 패밀리가 발견됐다. 2014년 77개 대비 약 30% 증가했다.

파일을 암호화하고 금전을 요구하는 크립토 랜섬웨어(crypto-ransomware)의 확산이 지속됐다. 올해 발견된 랜섬웨어 가운데 1개를 제외하고는 모두 크립토 랜섬웨어였다.

국가별 전체 감염 건수 비율은 미국(31%), 이탈리아(8%), 일본(8%) 순으로 나타났다. 한국은 28위였다.

랜섬웨어 지역별 감염율 [자료=시만텍코리아]

■상반기 평균 요구액, 2015년 대비 2.3배로 급증

랜섬웨어 공격을 통해 요구하는 금액(몸값)도 증가 추세다. 2014년 372달러(약 43만원)에서 2015년 294달러(약 34만원)로 감소했다가, 2016년 상반기에는 전년대비 2.3배 가까이 상승한 679달러(약 77만원)를 기록했다.

올 1월에는 7ev3n-HONE$T (Trojan.Cryptolocker.AD)로 알려진 랜섬웨어가 요구한 컴퓨터 1대 당 13비트코인, 5천83달러(약 577만원)가 최고 요구 금액으로 기록됐다.

■감염사례 43% 기업…"표적 공격 시작됐다"

랜섬웨어 기업 대 개인 감염 비중 [자료=시만텍코리아]

시만텍은 보고서를 통해 "랜섬웨어는 대규모로 무차별하게 감염시키는 공격 형태가 여전히 성행하고 있지만, 최근 공격 형태를 살펴보면 기업 사용자를 대상으로 하는 랜섬웨어 패밀리가 발견되는 등 이제 ‘기업’이 공격자들의 핵심 표적이 되고 있다"고 진단했다.

조사 결과 기업 사용자가 랜섬웨어 감염의 약 43%를 차지했다. 피해를 입은 산업별 비중은 서비스업(38%)과 제조업(17%), 공공(10%), 금융권 및 부동산(10%) 등이 주로 피해를 입은 것으로 나타났다.

기업을 겨냥한 공격은 성공 시 수천대 컴퓨터를 감염시켜 운영 장애와 매출, 평판에 심각한 타격을 입힐 수 있다. 그만큼 공격자 관점에선 피해 대상으로부터 기대할 수 있는 금전적 이익이 높다는 얘기다.

■APT 등 지능형 공격 기법 및 스크립트언어 기반 신규 위협 고조

윤광택 시만텍코리아 CTO. 그는 2016년 7월 26일 서울 역삼동 시만텍코리아 사무실에서 글로벌 랜섬웨어 공격 동향을 분석한 스페셜리포트 주요 내용을 발표했다. [사진=씨넷코리아 권봉석 기자]

시만텍은 "표적형 랜섬웨어 공격은 사이버 스파이 활동이나 APT 공격자들이 사용하는 것과 유사한 기술과 툴을 활용해 높은 수준의 전문성을 보이거나 암호화 기능 외에 새로운 위협을 가하기도 한다"고 밝혔다.

새로운 랜섬웨어 패밀리는 자바스크립트, 파워셸(Powershell), 파이썬(Python) 등 다양한 스크립트 언어를 사용해 보안 제품 탐지를 우회하기도 한다. 변종인 키메라(Chimera) 랜섬웨어는 돈을 지불하지 않으면 사진, 동영상 등 개인 데이터를 인터넷에 게시하겠다고 위협한다.

■사업화한 랜섬웨어 제작-공격

관련기사

시만텍에 따르면 사이버 암시장에서 주문형 랜섬웨어 공급이라는 비즈니스 모델이 자리 잡고 있다. 전문기술 수준이 상대적으로 낮은 공격자에게 자체 랜섬웨어를 제작하거나 공격을 대행하는 서비스 상품이 매매되는 식으로 사이버 공격자가 창궐하는 실정이다.

윤광택 시만텍코리아 CTO가 소개한 주문형 랜섬웨어 Ginx 관련 정보. [사진=씨넷코리아 권봉석 기자]

윤광택 시만텍코리아 CTO는 "랜섬웨어가 사이버 공격자들의 새로운 골드러시가 되면서 비즈니스 모델로 진화하고 있다"며 "랜섬웨어가 기업을 겨냥해 지능형 공격기법을 적용하고 표적 공격을 확대하고 있음을 고려했을 때, 단순히 랜섬웨어라는 악성코드만 대응하는 것이 아니라 신종 위협을 비롯해 기업 내 전방위적인 악성코드 대응 전략을 수립하는 것이 필요하다"고 말했다.