2017년 4분기 주춤했던 랜섬웨어 유포가 2018년 1분기 다시 늘었다는 진단이 나왔다. 암호화폐 가치 급등락과 맞물린 추세로 분석됐다.
이스트시큐리티(대표 정상원) 시큐리티대응센터(ESRC)는 24일 백신 앱 알약으로 차단한 랜섬웨어 공격 건수 집계치를 공개하며 이를 설명했다.
회사측은 백신 앱 알약으로 차단한 랜섬웨어 공격이 2018년 1분기 33만1천42건을 기록했다고 밝혔다. 분기중 33만1천42건이라는 수치를 다른 기간으로 환산하면 월평균 11만347건, 일평균 3천678건이 된다.
이 기록은 공개용 알약의 '랜섬웨어 행위기반 사전 차단 기능'으로 차단된 공격 건수를 집계한 수치다. 여기에 포함되지 않은 알약의 패턴기반 랜섬웨어 공격 차단 건수를 포함할 경우 전체 랜섬웨어 공격 수치는 더 늘어날 수 있다. ESRC는 2018년 1분기 전체 랜섬웨어 차단 건수가 전분기대비 14% 가량 늘었다고 밝혔다.
ESRC 측은 지난해 5월 '워너크라이' 사태를 기점으로 랜섬웨어 공격이 폭증했고, 랜섬웨어가 여전히 심각한 보안위협이라 주의가 필요하다고 지적했다.
작년 4분기 랜섬웨어 유포가 소폭 감소한 배경은 암호화폐 가치 폭등이다. 당시 '코인마이너'라 불리는 채굴형 악성코드 유포가 급증했다. 올해 1분기엔 암호화폐 가치가 폭락하면서 정반대 상황이 연출됐다. 지난 3월부터 다시 랜섬웨어 유포가 늘어난 것이다.
ESRC 측은 올해 1분기중 유포된 ▲헤르메스(Hermes) ▲갠드크랩(GandCrab), ▲매그니베르(Magniber) 등을 주요 랜섬웨어로 꼽았다.
매그니베르는 매그니튜드 익스플로잇킷을 통해 2017년 4분기부터 2018년 1분기까지 유포된 랜섬웨어로 최근 유포 건수가 감소했다. 안랩에서 3월말 그 감염피해 복구툴을 내놨다.
헤르메스 변종은 국내 웹사이트를 통해 유포됐고 이메일로 암호화된 파일을 보내면 3개 파일을 복호화해준다고 안내하는 특징을 보인다.
관련기사
- 이스트시큐리티, 미국 ICSA랩 'EIST어워드' 수상2018.04.24
- 한국 집중 공격한 랜섬웨어 복호화 툴 등장2018.04.24
- 안드로이드용 백신 '알약M' 출시…편의기능 강화2018.04.24
- "게임을 시작해 볼까요"…직소 랜섬웨어 변종 발견2018.04.24
갠드크랩은 디자이너 또는 이력서 제출자를 사칭한 한국어 이메일 첨부파일 혹은 Rig 및 GrandSoft 익스플로잇킷에 의해 취약한 웹사이트 방문으로 감염되고 3월까지 두드러진 유포된 서비스형랜섬웨어(RaaS) 사례다.
이스트시큐리티 김준섭 부사장은 "랜섬웨어 공격 위협은 여전히 심각하며, 워너크라이 랜섬웨어 변종에 의한 피해가 꾸준히 발견되는 등 이미 패치가 이뤄진 취약점을 활용한 공격도 지속적으로 발생하고 있다"며 "랜섬웨어 감염 피해를 예방하려면 운영체제와 백신 업데이트, 중요자료 수시 백업, 알 수 없는 출처의 이메일 첨부파일 등을 열람하지 않는 등의 보안 수칙을 준수해야 한다"고 말했다.