2024-03-29 01:50 (금)
랜섬웨어 26% 이상 기업을 타깃…2017년 랜섬웨어 변종만 9만6천종
상태바
랜섬웨어 26% 이상 기업을 타깃…2017년 랜섬웨어 변종만 9만6천종
  • 길민권 기자
  • 승인 2017.12.02 14:45
이 기사를 공유합니다

2017년에 랜섬웨어 공격 받은 기업은 65%에 달해

ka-2.jpg
기업을 노리는 랜섬웨어 공격은 2016년 22.6%에서 2017년 26.2%로 증가한 것으로 조사됐다. 그 이유로 기업 네트워크를 대상으로 한 전례 없는 공격이 세 건 발생한 후 치명적인 랜섬웨어의 판도가 완전히 바뀐 탓이라는 분석이 나왔다.

지능적인 해킹 조직이 웜 기능을 이용해 전 세계 기업을 상대로 목적이 불분명한 파괴적 랜섬웨어 공격을 잇따라 감행했던 2017년은 랜섬웨어 공격이 빠르고 획기적으로 발전한 해로 기억될 것이다. 대표적인 공격으로는 5월 12일 발견된 워너크라이(WannaCry), 6월 27일 발견된 ExPetr, 지난 10월 말 발견된 BadRabbit이 있으며 모두 기업 네트워크를 침해할 목적으로 설계된 익스플로잇을 사용했다. 또한 기업을 노린 다른 랜섬웨어 공격도 빈번했다.

카스퍼스키랩코리아 이창훈 지사장은 “2017년 발생한 몇몇 대표적인 랜섬웨어 공격은 기업을 노리는 공격이 증가하고 있음을 보여주는 명백한 사례다. 이 동향은 2016년 처음 발견된 후 2017년에 계속 가속화되어 좀처럼 누그러질 기미가 보이지 않는다. 기업은 이러한 공격에 매우 취약하다”며 “범죄자가 요구하는 대가가 개인보다 크지만 기업 운영을 계속해야 하므로 선뜻 지불하는 경우가 많다. 원격 데스크톱 시스템을 이용한 공격 등, 기업을 노린 새로운 감염 수법이 증가하는 현상은 어쩌면 당연한 일”이라고 말했다.

ka-1.jpg
2017년 그 밖의 랜섬웨어 트렌드는 다음과 같다.

랜섬웨어 공격의 피해를 입은 전체 순사용자의 수는 2016년 약 150만 명에서 2017년 95만 명 조금 아래로 떨어졌다. 이 차이는 대부분 탐지 방법의 변화 때문에 생긴 것으로, 현재 랜섬웨어 악성 코드와 관련된 다운로더는 휴리스틱 기술로 잘 탐지되기 때문에 카스퍼스키랩의 원격 분석으로 수집한 랜섬웨어 관련 통계에 포함되지 않는다.

앞서 언급한 세 개의 주요 공격을 비롯하여 비교적 공격 수위가 낮았던 AES-NI 및 Uiwix 등은 Shadow Brokers라는 해킹 집단이 지난 2017년 봄 온라인으로 유출시킨 정교한 익스플로잇을 사용했다.

한편 신종 랜섬웨어는 크게 감소한 양상을 보였다. 새로운 종은 2016년 62종에서 2017년 38종으로 줄어든 반면 기존 랜섬웨어의 변종은 증가했다. 기존 랜섬웨어의 변종은 2016년에는 5만4천종이었으나 2017년에 9만6천종이 넘는 수치를 기록했다. 변종이 증가한 이유는 보안 솔루션의 탐지 기능이 향상되면서 기존 랜섬웨어 역시 더 까다롭게 진화되었기 때문이다.

2017년 2분기부터 여러 해킹 집단이 랜섬웨어 활동을 종료하고 파일 복호화에 필요한 키를 공개했다. 여기에는 AES-NI, xdata, Petya/Mischa/GoldenEye, Crysis 등이 있었다. 이 중 Crysis는 나중에 다른 해킹 집단이 부활시켜 다시 등장했다.

원격 데스크톱 시스템을 통한 기업 감염의 증가세는 2017년에도 계속되었다. 이러한 공격 방식은 Crysis, Purgen/GlobeImposter, Cryakl 등, 폭넓게 사용되는 여러 악성 코드군의 주요 유포 방법 중 하나가 되었다.

2017년에 랜섬웨어 공격을 받은 기업은 65%에 달하며 전체 데이터 또는 상당한 양의 데이터에 접근할 수 없게 되었다고 한다. 또한 대가를 지불한 기업 중 1/6은 데이터를 되찾지 못했다. 이러한 수치는 2016년과 대체로 비슷한 수치이다.

다행히 2016년 7월 시작된 No More Ransom 프로젝트의 활동이 점점 더 활발해지고 있다. 이 프로젝트는 사법기관과 보안업체가 손잡고 대규모 랜섬웨어군을 추적 및 퇴치하며, 개인이 데이터를 되찾을 수 있도록 돕고 수익성 높은 범죄 사업 모델에 타격을 가하고 있다.

카스퍼스키랩은 진화하는 랜섬웨어 환경에 대한 위협 인텔리전스를 정기적으로 발표하고 있다.

★정보보안 대표 미디어 데일리시큐!★


■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★