올해 2분기 동안 랜섬웨어 차단이 전분기 대비 약 22% 적게 이뤄진 것으로 나타났다.
통합 보안 전문 기업 이스트시큐리티(대표 정상원)은 올해 2분기 자사 백신 제품 '알약'을 통해 총 24만7천727건의 랜섬웨어 공격을 차단했다고 11일 밝혔다.
일 평균 약 2천723건의 랜섬웨어 공격이 차단된 셈이다.
이번 통계는 일반 사용자를 대상으로 제공하는 공개용 알약의 랜섬웨어 행위 기반 차단 기능을 통해 차단된 공격만을 집계한 결과다. 패턴 기반 탐지까지 포함하면 전체 공격은 더 많을 것으로 전망된다.
이스트시큐리티는 랜섬웨어 공격이 대폭 감소한 주요 원인으로 갠드크랩의 유포 감소를 짚었다. 그 외 암호화폐 채굴(마이너) 악성코드가 주로 채굴을 시도하는 암호화폐 '모네로(XMR)'의 시세 상승에 따른 마이너 악성코드 증가도 랜섬웨어 공격 감소 원인으로 추정했다.
이스트시큐리티 시큐리티대응센터(ESRC)는 약 1년간 꾸준히 버전 업데이트가 이뤄졌던 랜섬웨어 '갠드크랩'의 운영이 지난달 초 중단된 점을 언급했다. 갠드크랩 운영 중단이 선언된 후 무료 복호화툴도 공개됐다.
실제 모니터링 결과에서도 알약에서 해당 랜섬웨어를 탐지, 차단한 통계 수치가 지난 5월과 6월사이 현저히 줄어든 것으로 나타났다.
갠드크랩 공격 감소를 대체해, 지난 4월 말 등장한 랜섬웨어 '소디노키비' 공격이 급증하고 있다고 진단했다.
관련기사
- 네이버 로그인 사이트 가장한 '스피어피싱' 주의2019.07.12
- 랜섬웨어 '갠드크랩' 가고 '소디노키비' 활개2019.07.12
- "해커 그룹 '코니', 북한 '김수키'와 연관성 깊어"2019.07.12
- 이스트시큐리티, '국방 사이버 AI 보안' 워크숍 개최2019.07.12
문종현 ESRC 센터장 이사는 “소디노키비가 공격 방식, 코드 유사점, 활용하는 서브 도메인, 감염 제외 대상 언어팩, 연결되는 유포 시기 등 여러 측면에서 갠드크랩과 유사 형태를 띠고 있다”며 “갠드크랩, 소디노키비 모두 동일한 공격 그룹이 운영하는 것으로 판단된다”고 말했다.
문 이사는 “새롭게 발견된 소디노키비나 지난 1분기부터 기업을 타깃으로 중앙 전산 자원관리(AD) 서버를 노리고 있는 랜섬웨어 '클롭' 등 이메일 첨부파일을 통한 공격이 지속되고 있다”며 “이 공격들은 주로 국가기관, 금융회사, 기업 보안 담당자 메일로 위장해 첨부파일을 열어보도록 유도하고 있으며, 첨부파일을 실행하면 랜섬웨어 감염에 따른 중요 문서 암호화는 물론 기업 내부 네트워크 정보와 시스템 정보가 외부로 유출될 수 있다”고 주의를 당부했다.