이스트시큐리티는 자사 백신 프로그램 '알약(ALYac)'에 탑재된 '랜섬웨어 행위기반 사전 차단' 기능으로 올 2분기 총 14만8689건의 랜섬웨어 공격을 차단했다고 8일 밝혔다.
이스트시큐리티 시큐리티대응센터(ESRC) 통계에 따르면 이는 30일 기준으로 환산 시 일평균 약 1652건이 차단된 것으로, 전 분기 대비 2만9000여건 감소한 수치다.
다만 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 제품을 통해 차단된 수치만 집계한 결과로, 실제 전체 공격 건수는 더 많을 것으로 예상된다. 이스트시큐리티 측은 "현재 랜섬웨어 차단 건수는 지난 달부터 감소추세로 전환한 양상"이라면서도 "패턴을 기반으로 한 탐지 수치에는 큰 변화가 없어 변종 공격으로 인한 일시적 소강상태 등 다양한 가능성을 열어두고 3분기까지 지켜봐야할 필요가 있다"고 설명했다.
이스트시큐리티는 2분기 랜섬웨어 주요 동향으로 ▲비너스락커 (VenusLocker) 그룹의 이력서 및 저작권 위반 사칭 메일을 통해 유포된 한국 맞춤형 마콥(Makop), 락빗(LockBit) 랜섬웨어 기승 ▲'타이포스쿼팅(Typosquatting)' 기법을 통한 '매그니베르 (Magniber)' 랜섬웨어 유포 ▲러시아-우크라이나 전쟁과 관련된 랜섬웨어 위장 '와이퍼(Wiper)' 공격 등을 선정했다.
비너스락커 그룹으로 알려진 랜섬웨어 유포 조직은 오랜 기간 동안 국내에서 활동 중이다. 최근에는 마콥 또는 락빗 랜섬웨어 변종을 유포하고 있다. 현재, 해당 조직은 이용자 업무적 필요성 및 심리적 불안감을 이용해 교묘한 방식을 사용 중이다. 대표적으로 이력서가 담긴 첨부 파일을 보낸 것처럼 위장하거나, 이미지 파일 저작권을 위반했다는 내용 등을 활용한 사례가 있다.
매그니베르 랜섬웨어도 기승을 부렸다. 이 랜섬웨어는 인터넷 사이트 주소를 잘못 입력하면 영문 철자가 유사한 악성 사이트로 연결되도록 하는 일명 '타이포스쿼팅' 공격 기법을 활용한다. ESRC 분석에 따르면 2분기 많은 사용자가 윈도우 업데이트용 설치 프로그램으로 위장한 랜섬웨어 공격에 속아 감염 피해를 입은 것으로 나타났다.
아울러 러시아-우크라이나 전쟁이 지속되고 있는 가운데, 익명의 사이버 그룹들이 자신들이 지지하는 국가를 공개하고, 상대 국가에 대한 사이버 공격을 감행한 것으로 분석됐다. 지난 5월에 발견된 '카오스(Chaos)' 랜섬웨어 변종은 사용자 컴퓨터를 감염시킨 후 확장자를 'fuckazov'로 바꾸는데, 여기서 azov는 우크라이나 아조프 대대를 의미하는 것으로 알려졌다.
새로운 랜섬웨어도 등장했다. 류크(.Ryuk) 확장자를 사용한 '워너프렌드미(WannaFriendMe)'로 카오스(Chaos) 랜섬웨어 변종에 가까운 것으로 알려졌다. 이 랜섬웨어는 비트코인이나 이더리움 대신 '로블록스(Roblox)' 게임스토어를 통해 복호화 툴(Ryuk Decrypter)을 판매하고, '로벅스(Robux)' 코인으로 몸값을 지불하도록 유도한 점이 특징이다.
마지막으로 기업 사용이 많은 가상화 플랫폼 'VM웨어 ESXi'의 플랫폼 'ESXi'를 공격 대상으로 한 랜섬웨어도 다수 발견됐다. 지난 4월 발견된 '블랙바스터(Black Basta)' 랜섬웨어는 초기 윈도우 시스템을 공격 대상으로 삼았지만, 이후 발견된 리눅스 변종은 ESXi 서버만을 노리도록 설계됐다. 또 ESXi 서버만을 노린 '치어스(Cheers)' 랜섬웨어 변종인 '치어스크립트(Cheerscrypt)'도 발견돼 향후 ESXi 서버를 공격 대상으로 한 랜섬웨어는 점점 더 증가할 전망이라고 이스트시큐리티 측은 설명했다.
문종현 ESRC 센터장은 "랜섬웨어는 이메일을 이용한 전통적 수단뿐만 아니라 타이포스쿼팅, APT 공격 결합 등 다양한 방식을 통해 전개 중으로 긴장을 늦춰선 안된다"며 "특히, 운영 중인 웹 서버를 최신버전으로 유지하고, 파일 업로드 취약점과 웹셸(Webshell) 등록 등으로 서버 내 랜섬웨어 공격에 피해를 보지 않도록 보안관리에 힘써야 한다"고 강조했다. 이어 "주기적 데이터 백업과 임직원 보안 인식 교육을 통해 이미 알려진 유사 위협에 대비할 필요가 있다"고 덧붙였다.
김가은 기자 7rsilver@techm.kr
관련기사
- 이스트시큐리티, ICT 중소기업 정보보호 지원사업 공급기업 선정
- 이스트시큐리티 "6·15 남북공동선언 위장 北 연계 해킹 시도"
- 크립토 윈터에 곤란해진 해커들?…다음 화두는 'BEC'
- 범죄용 SaaS로 사업화된 해킹...전문가들 "보안 일상화 시급, 사용성보다 보안이 중요"
- 정부 '약한 고리' 노리는 北, 국회입법조사처 사칭해 '국방·외교·안보' 분야 교수 해킹 시도
- 진화하는 랜섬웨어 공격…"탐지·방어도 중요하지만 '복구도구'로 피해 최소화 해야"
- '북한발 해킹 사건' 수사한다더니 北 해커?…공무원증까지 위장해 해킹 시도
- 북 해커조직, 한미연합훈련 기간 중 방위산업체 대상 해킹 시도
- 이스트시큐리티 '알약' 오류 "단순 기능 오작동…PC 손상 없어"
- '알약' 사태에 고개 숙인 정상원 이스트소프트 "안정적 서비스 제공 만전 기하겠다"(종합)
- '알약 사태' 재발 방지 약속한 이스트시큐리티 "모니터링·차단 시스템 개선"
- 지니언스, 사이버보안 전문가 문종현 이사 영입…'시큐리티센터' 설립 추진