랜섬웨어 공격 3월 급증…전년 10월 대비 '22배' 증가

랜섬웨어 공격은 지속적으로 증가하는 추세이며, 특히 올해 3월에는 아태지역 전반에 걸쳐 기업체 대상 랜섬웨어 공격이 급증했다. 실제로 일본 기업을 대상으로 한 랜섬웨어 공격의 경우, 지난 해 10월 대비 올해 3월에 약 3600배 증가했으며, 같은 기간 홍콩에서는 약 1600배 증가한 것으로 나타났다. 국내에서도 같은 기간 기업체 대상 랜섬웨어 공격이 약 22배 가량 증가하며 한국 역시 랜섬웨어 공격에서 안전지대가 아님을 시사했다. 

파이어아이는 이러한 내용을 담은 아태지역 랜섬웨어 공격 트렌드를 발표했다.

랜섬웨어 공격 3월에 집중 

파이어아이 동적 위협 인텔리전스의 데이터에 따르면, 랜섬웨어 공격은 2015년 중반부터 지속적으로 증가하기 시작해서 올해 3월에는 급격한 증가세를 기록했다. 파이어아이 연구원들은 특히 록키(Locky) 랜섬웨어가 50개국에 걸쳐 전방위적으로 이메일 스팸 공격을 시도함에 따라, 현저한 증가세를 보였다고 밝혔다. 이메일을 통한 랜섬웨어 공격의 경우, 주로 인보이스 혹은 사진을 송부하는 메일로 가장하지만, 피해자들이 첨부 파일을 여는 순간 랜섬웨어 감염으로 이어지는 형태의 공격이다. 

언론 노출 즐기는 랜섬웨어 공격자들 

파이어아이는 랜섬웨어 공격자들은 자신들의 공격 내용이 언론에 보도되는 것에서 희열을 느끼며, 특히 피해자가 몸값을 지불했다는 헤드라인이 게재되는 것에 대해 만족감을 느낀다고 전했다. 따라서 최근의 랜섬웨어 공격에 대한 잇따른 언론의 보도가 다른 사이버 범죄자들의 랜섬웨어 공격을 촉진했을 가능성 있으며, 이 것이 3월의 랜섬웨어 공격 급증에 영향을 미쳤을 것이라고 파이어아이는 분석했다.

실제로 페트야(Petya) 랜섬웨어의 경우, 몸값(ransom) 지불 페이지에 최근에 보도된 기사들의 링크들을 포함시키며 이러한 추측에 신빙성을 더했다.

의료기관 타깃하는 랜섬웨어 

지난 2월 차병원 그룹 소유의 미국 로스앤젤레스(LA) 소재 할리우드 장로병원(Hollywood Presbyterian Medical Center, HPMC) 은 랜섬웨어 공격을 받아 병원 내 파일을 암호화하고 데이터에 대한 몸값을 요구한 공격자에게 1만7000달러(한화 약 2000만원)을 지불했다. 

또한, 독일 소재 루카스 병원(Lukas Hospital), 클리니쿰 아른스베르크 병원(Klinikum Arnsberg hospital)과 미 메릴랜드 주의 유니온 메모리얼 병원(Union Memorial Hospital), 워싱턴의 메드스타 병원(MedStar hospitals) 등 많은 전 세계 의료기관들이 랜섬웨어로 인해 데이터가 암호화가 됐으며, 복호화 키의 대가로 각 45비트코인 미화로 1만 8천5백 달러(한화 약 2,200만원) 상당의 몸값을 요구 받았다. 파이어아이는 이러한 일련의 사건들을 미루어 볼 때, 랜섬웨어 공격자들이 병원을 수익성이 좋은 타깃으로 인식하기 시작했다고 추정했다. 

사실 병원을 사이버 공격의 타깃으로 삼는 것은 그다지 놀라운 일은 아니다. 헬스케어 분야는 고객의 의료 정보와 같이 주요 데이터를 보유하고 있지만 이를 보호하기 위한 사이버 보안에 대해서는 많은 투자를 하지 않는 분야이기 때문이다.

랜섬웨어 활동 증가에 영향을 미친 요인 

언론의 랜섬웨어 보도는 공격자들이 공격을 개시하도록 자극하는 요인 중 하나일 수 있지만 이것이 랜섬웨어 공격의 급증을 모두 설명해주지는 않는다. 다음은 파이어아이가 밝힌 추가적인 급증 요인이다. 

• 랜섬웨어 공격은 수반되는 노력에 비해 상대적으로 높은 이익을 챙길 수 있다는 점에서 사이버 공격자들에게 매력적인 공격 방법이다. 일례로, 2015년에 크지 않은 규모의 랜섬웨어 공격들을 통해 공격자들은 7만 5천달러(한화 약 9천만원)의 부당 이익을 거뒀다 이에 따라, 사이버 범죄 시장에서는 랜섬웨어 툴 및 서비스에 대한 수요가 계속해서 높아지고 있다. 

• 크립토월(CryptoWall)과 같은 대중화된 랜섬웨어의 성공은 랜섬웨어 개발자들에게 계속해서 수익을 높이고 활동을 지속할 수 있다는 일종의 청사진으로 작용했다. 미 인터넷범죄신고센터(IC3: Internet Crime Complaint Center)에 따르면, 2014년 4월부터 2015년 6월 사이에 크립토월로 인해 피해자들이 입은 재정적 손해 규모는 1천 8백만 달러(한화 약 214억 5천만원)을 넘어선다. 

랜섬웨어 변종 

파이어아이는 랜섬웨어 활동의 눈에 띄게 증가한 2015년 중반부터 2016년 초반 동안 기존 랜섬웨어 변종은 기능적인 업그레이드를 하는 한편, 신규 랜섬웨어 변종들이 지속적으로 출현하는 등 랜섬웨어가 거듭 발전했다고 전했다.

실제로, 전 세계적으로 대규모 침해 사례를 만들어내고 있는 크립토월(CryptoWall), 토렌트락커(TorrentLocker)는 다수의 최근 침해 사례에서 파일 암호화 역량 혹은 위장 기능에서 한층 업그레이드된 정황이 포착됐다. 즉, 기존 랜섬웨어 변종들은 계속해서 악성코드로서의 기능, 암호화 기술 그리고 방어 솔루션 대응 기능 등을 업그레이드하고 있는 것이다. 

파이어아이는 랜섬웨어가 이러한 발전된 기술을 기반으로 글로벌 기업을 대상으로 한 위협을 지속할 것이라 예측한다고 전했다. 또한, 새로운 전술, 기술 등을 갖춘 신규 랜섬웨어 변종 역시 계속해서 등장하고 있다. 신규 랜섬웨어 변종들은 다음과 같다. 

• 키메라(Chimera): 키메라 랜섬웨어를 이용하는 공격자들은 악성코드를 통해 피해자의 파일을 암호화할 뿐 아니라 몸값을 지불하지 않을 시 암호화된 데이터를 공개할 것이라고 협박한다. 이 공격자들은 2015년 9월 중순부터 독일의 중소기업들을 대상으로 공격하기 시작했다. 

• 랜섬32(Ransom32): 랜섬32는 2015년 12월에 처음 대중적으로 알려졌으며, 자바스크립트를 기반으로 하는 최초의 랜섬웨어 변종 중의 하나로서, 리눅스와 맥OS 간 상호 호환성 및 패키징이 가능하다. 

• 로우레벨04(LowLevel04): 로우레벨04의 공격자들은 원격 데스크탑(Remote Desktop) 및 터미널 서비스(Terminal Services)를 악용하는 등 독특한 감염 방법을 통해 랜섬웨어를 유포하는 것으로 알려져 있다.

• 리눅스엔코더1(Linux.Encoder.1): 리눅스엔코더1은 리눅스 웹 기반 서버들을 타깃하는 랜섬웨어 변종으로서 2015년 말에 처음 등장했다. 복호화가 쉽게 가능해지는 등 암호화 키 관련 실패로 인해 초기 변종의 암호화 역량은 의심스럽지만, 기존에 윈도를 기반으로 한 공격과 다른 양상을 보이고 있다는 점에서 주목할 만 한다.

향후 우려되는 랜섬웨어 공격 

랜섬웨어 공격에서 가장 위협적인 공격 방법은 공격자가 타깃 네트워크에 이미 접근권한을 확보 한 후에 랜섬웨어를 유포하는 경우이다. 이러한 경우, 공격자들이 랜섬웨어를 유포하기 전에 내부 정찰을 통해 전략적으로 데이터 백업 파일을 삭제하거나 조직 내 가장 주요한 시스템을 파악할 수 있다는 점에서 위협적이다.

이를 방어하기 위해서 파이어아이는 기업들이 적절한 네트워크 분할 및 접근 제어를 시행하는 한편, 백업 전략을 정기적으로 검토해 파일 복구가 상시 가능한지 확인한 후, 백업 파일이 공격 당할 가능성을 항상 염두에 두고 백업 복사본을 따로 저장할 것을 권고했다. 

전수홍 파이어아이 코리아 지사장은 “국내 랜섬웨어 증가세는 다른 아태지역 국가에 비해 상대적으로 낮지만, 한국 역시 동일한 증가세를 기록하는 것은 시간문제일 것이며 랜섬웨어 공격이 지난 해 10월부터 올해 3월 사이 3600배 증가한 일본의 경우가 국내 상황의 전조가 될 것”이라며 “특히 기업체를 대상으로 한 공격이 급증함에 따라 국내 기업, 특히 헬스케어 기관들은 사이버 보안에 대한 적극적인 투자 노력이 필요하다”고 전했다.