이스트시큐리티는 자사 백신 프로그램 '알약'에 탑재된 '랜섬웨어 행위기반 사전 차단' 기능을 통해 올해 1분기 총 17만 7732건의 랜섬웨어 공격을 차단했다고 13일 밝혔다.

이를 일간 기준으로 환산하면 일평균 약 1974건의 랜섬웨어 공격이 차단된 것으로, 패턴 기반 공격까지 포함하면 전체 공격은 더 많을 것으로 추정된다고 회사 측은 설명했다.

이스트시큐리티는 올해 1분기 랜섬웨어 주요동향으로 ▲러시아-우크라이나 전쟁과 랜섬웨어 ▲비너스락커 조직 ▲타이포스쿼팅(Typosquatting)을 통해 유포되는 '매그니베르(Magniber) 랜섬웨어' ▲글로벌 기업들의 랜섬웨어 피해 지속을 선정했다.

먼저 회사는 올 1분기 가장 주목할 이슈로 러시아-우크라이나 침공 관련 랜섬웨어 공격을 꼽았다. 러시아-우크라이나 전쟁은 사회적, 경제적 등 다양한 방면에서 세계적 혼란을 야기했으며, 랜섬웨어 공격 조직들 역시 해당 이슈를 악용하고 있다. 이 중 대표적인 랜섬웨어로 '헤르메틱랜섬(HermeticRansom)'가 있다. 해당 랜섬웨어는 금전 갈취가 목적이 아닌 우크라이나 시스템을 타깃으로 데이터를 삭제하기 위한 와이퍼 공격의 미끼 역할을 한 것으로 확인됐다. 

비너스락커(VenusLocker) 조직 활동도 활발히 이어지고 있다. 지난 2017년부터 국내에 지속적으로 랜섬웨어를 유포하고 있는 비너스락커 조직은 최근에도 이력서, 저작권 위반 등 내용을 활용해 국내에 꾸준히 랜섬웨어를 유포 중이다. 기존에는 '마콥(Makop) 랜섬웨어'를 지속적으로 유포한 반면, 최근에는 '락빗(LockBit) 랜섬웨어'를 유포한 정황도 포착됐다.

타이포스쿼팅(Typosquatting) 방식을 이용한 '매그니베르(Magniber) 랜섬웨어' 유포 정황도 다시 발견됐다. 타이포스쿼팅은 도메인 주소를 잘못 입력하거나 철자를 틀리는 경우 다른 페이지로 리디렉션하는 공격 수법이다. 매그니베르 랜섬웨어는 타이포스쿼팅 방식을 활용하여 크롬(Chrome) 및 엣지(Edge) 브라우저 사용자를 대상으로 유포되고 있으며, 공격자가 유인한 페이지에서는 MSI 파일을 내려받도록 유도한다. MSI는 윈도우 인스톨러에서 사용하는 확장자로 사용자가 의심 없이 해당 파일을 실행하면 랜섬웨어에 감염된다.

글로벌 기업들의 랜섬웨어 피해도 지속되고 있다. 명품 의류 브랜드 몽클레르(Moncler)는 지난해 12월 '블랙캣 랜섬웨어' 공격을 받아 데이터가 유출됐으며, 올 1월에는 다크웹 토르(Tor) 네트워크에 유출된 데이터가 공개되기도 했다. 또 항공 서비스 회사 스위스포트 인터내셔널(Swissport International)도 랜섬웨어 공격을 받아 일부 항공편이 지연됐으며, 엔비디아(Nvidia) 역시 일부 시스템이 영향을 받은 것으로 확인됐다.

이스트시큐리티 시큐리티센터(ESRC) 관계자는 "최근 랜섬웨어 공격이 지속적으로 증가하는 것은 물론 배포 방식 역시 사회적 환경에 맞춰 진화해가고 있다"며 "재택근무를 수행하는 임직원이 증가하고 있는 만큼, 기업 내부망에 접속해 사용되는 재택근무 단말기의 OS·SW 보안 업데이트 현황 점검 의무화는 물론 임직원 보안 인식 교육도 병행해야 한다"고 말했다.

김가은 기자 7rsilver@techm.kr