"중소기업 5중 1곳, 랜섬웨어에 돈내고도 파일 못찾아"

카스퍼스키, 보안뉴스레터 핵심 주제로 랜섬웨어 선정

컴퓨팅입력 :2016/12/12 18:36

중소중견기업(SMB) 5곳 중 1곳은 랜섬웨어 공격자에게 대가를 지불하고도 파일을 되찾지 못했다는 조사 결과가 나왔다.

보안솔루션업체 카스퍼스키랩은 이런 사실을 포함한 '연례 카스퍼스키 보안 뉴스레터' 내용 일부를 12일 소개했다. 회사측은 내년 사이버 보안 정세를 전망하는 취지로 2016년 핵심 주제로 랜섬웨어를 선정하고 그에 초점을 맞춘 기업 보안 환경 변화를 설명했다.

개인과 기업을 겨냥한 랜섬웨어 공격 빈도가 연초대비 급증했다. 지난 1월엔 1분마다 개인에 3회, 기업에 0.5회씩 발생했는데 10월들어 1분마다 개인에 6회, 기업에 1.5회로 각각 2배, 3배씩 많아졌다는 조사 결과가 나왔다.

카스퍼스키랩시큐리티불레틴(KSB) 2016 랜섬웨어혁명 보고서에 포함된 인포그래픽.

올해 신종 랜섬웨어 62가지가 발견됐다. 기업을 노린 공격 빈도가 지난 1월 2분당 1번에서 10월들어 40초당 1번으로 3배가 됐다. 악성코드를 자체 개발하지 않는 범죄자를 고객으로 대하는 서비스형 랜섬웨어(RaaS) 사업모델이 코드 개발자에게 실질적 이득을 누리게 했다.

기업 표적 공격이 늘었다. 세계 기업 5곳 중 1곳이 랜섬웨어 공격에 따른 IT 보안사고를 겪었고, 중소중견기업 5곳 중 1곳은 랜섬웨어 공격자에게 대가를 지불하고도 파일을 되찾지 못했다. 산업별로 공격당한 비중이 높은 분야는 교육(23%)이었고 낮은 분야는 소매 및 레저(16%)였다.

랜섬웨어 공격을 모의 실험할 수 있는 도구로 만들어진 '교육용' 랜섬웨어도 범죄자에의해 악용돼 데드크립터(Ded_Cryptor)와 팬텀(Fantom)이라는 신종 랜섬웨어를 탄생시켰다.

페트야(Petya)처럼 '디스크암호화' 공격 수법이 올해 처음 등장했다. 공격자가 파일 몇개가 아니라 모든 파일 접근을 한 번에 차단 또는 암호화하는 방식이다. 맘바(Mamba)로도 알려진 디크립터(Dcryptor)는 공격자가 표적으로 삼은 장치에 원격 접근하기 위해 무차별대입 공격을 시도해 전체 저장장치를 잠근다.

셰이드(Shade)는 감염 컴퓨터가 금융서비스업체 것으로 판단될 경우 피해자 파일을 암호화하는 대신 스파이웨어를 설치한다. 피해자에 접근하는 방식을 변경할 수 있는 능력을 갖춘 사례였다.

관련기사

카스퍼스키랩은 지난 7월 시작된 '노모어랜섬' 프로젝트를 상기시키며 올해는 랜섬웨어와 맞서 싸우기 위해 전세계가 힘을 합친 해라고 평했다. 프로젝트는 대규모 랜섬웨어군을 추적해 막기 위한 목적으로 사법기관, 보안업체가 공조하는 활동을 수행한다. 개인이 데이터를 복구할 수 있도록 돕고 범죄자 수익모델을 약화시키기도 한다.

이창훈 카스퍼스키랩코리아 대표는 "다른 악성코드처럼 랜섬웨어에도 제휴형 사업모델이 효과적인 것으로 보인다"며 "대가를 지불하는 피해자들이 있기에 범죄시장에 자금이 유통되고 이는 매일 새로운 랜섬웨어가 출현하는 결과를 낳는다"고 말했다.