보안칼럼
이스트시큐리티 보안 전문가의 전문 보안 칼럼입니다.
알약 1분기 랜섬웨어 행위기반 차단 건수: 154,887건!
2021년 1분기, 알약을 통해 총 154,887건의 랜섬웨어 행위기반 공격이 차단된 것으로 확인되었습니다.
이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위 기반 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 탐지건까지 포함한다면 전체 공격은 더욱 많을 것으로 예상됩니다.
통계에 따르면, 2021년 1분기 알약을 통해 차단된 랜섬웨어 공격은 총 154,887건으로, 이를 일간 기준으로 환산하면 일 평균 약 1,720건의 랜섬웨어 공격이 차단된 것으로 볼 수 있습니다. 다만, 2019년부터 현재까지 약 2년에 걸쳐 전체 랜섬웨어 공격 건수는 지속적으로 감소하는 추세를 보이고 있습니다.
ESRC는 2021년 1분기 랜섬웨어 주요 동향을 다음과 같이 선정하였습니다.
1) MS Exchange Server 취약점 악용하는 DearCry, Black Kingdom 랜섬웨어 등장
2) 국내 유명 자동차 제조 기업, 랜섬웨어 공격으로 데이터 유출 피해 발생
3) '비너스락커' 그룹이 유포하는 Makop 랜섬웨어 공격 꾸준히 발생
4) Emotet, Netwalker 랜섬웨어 무력화 및 Ziggy 랜섬웨어 운영 종료
2021년 1분기에는 이메일 내 입사 지원서, 이력서, 포트폴리오 등으로 위장한 첨부파일 형태로 유포되는 Makop 랜섬웨어가 꾸준히 상위권을 유지했으며, 랜섬 머니 지불을 강요하기 위해 DDoS 공격 및 언론인과 피해자의 사업 파트너에게 음성 전화를 시도하는 등 새로운 전략을 추가한 Sodinokibi 랜섬웨어 공격이 등장했습니다. 또한 랜섬웨어 공격 건수는 지난해 4분기에 비해 전반적으로 감소 추세를 나타냈습니다.
1분기에 주목할만한 위협으로는 지난 3월에 등장한 DearCry, Black Kingdom 랜섬웨어가 눈에 띕니다. 3월 초부터 이슈가 되고 있는 Microsoft Exchange 서버의 ‘ProxyLogon’ 취약점(CVE-2021-26855)를 악용하며 미국, 캐나다, 영국, 독일, 호주 등 전 세계 다양한 국가를 타깃으로 공격을 감행하고 있습니다.
또한 Doppelpaymer 랜섬웨어 그룹이 현대기아자동차의 기업 내부 자료를 다크웹에 대거 공개했습니다. Doppelpaymer 해커들이 운영하는 다크웹 사이트에는 실제로 현대기아차를 비롯해 현대글로비스 등 관련 계열사 데이터가 대거 발견되었고, 해당 데이터에는 제니시스 자동차 도면, 기업 재무 자료, 내부 직원 아웃룩 이메일 백업 파일 등 민감한 문서들도 포함되었습니다. Doppelpaymer 운영자들은 거액의 협상 금액을 제시하며 탈취한 대규모 내부 정보를 다크웹에 유출하겠다고 협박했으며, 기아차 미국 법인에서는 IT 서비스 장애가 며칠간 지속되었습니다.
1월부터 3월까지 비너스락커 그룹이 유포하는 Makop 랜섬웨어도 꾸준히 발견되었습니다. Makop 공격자들은 주로 입사지원서, 이력서, 경력 사항, 포트폴리오 또는 이미지 저작권 관련 문서로 위장한 EXE 파일을 첨부한 스피어피싱 이메일 형태로 랜섬웨어를 유포했으며, 기존에 주로 사용하던 HWP, PDF 방식에서 Word 아이콘으로 변경하고, 암호화 파일에 추가하는 확장명을 변경해가며 탐지망을 교묘히 피해가는 수법을 보이고 있습니다.
2021년 1분기에는 또한 여러 국제 수사 기관들의 공조로 Netwalker 랜섬웨어와 Emotet 등 유명 악성코드 조직이 무력화되었으며, 이로 인해 Ziggy 랜섬웨어 운영자들이 스스로 운영을 중단하겠다 선언하고 피해자들에게 복호화 키를 공개하기도 했습니다.
이밖에도 첫 기업용 랜섬웨어인 Babuk Locker가 발견되었으며, 웜 기능을 갖춘 Ryuk 랜섬웨어 변종이 발견되었습니다. 2021년부터 새롭게 활동을 시작한 Babuk Locker는 피해자에 따라 고유 확장자, 랜섬노트, Tor URL 등을 달리 하였고, 안전한 암호화 알고리즘을 사용해 파일 복구를 방지했습니다. 또한 피해자로부터 탈취한 데이터를 유출하겠다고 협박하는 이중 갈취 전략을 사용하며, 데이터 유출을 위한 사이트도 개설하겠다는 계획도 밝혔습니다. 3월에 발견된 Ryuk 랜섬웨어의 새로운 변종에는 웜 기능이 포함되어, 피해자의 로컬 네트워크 내에 있는 다른 장치로 확산이 가능합니다. 전파는 실행 파일을 식별된 네트워크 공유에 복사하는 방법으로 이루어지며, 원격 시스템에서 예약 작업을 생성해 해당 프로세스를 지속적으로 반복합니다.
ESRC 센터장 문종현 이사는 “2021년 1분기 내 유포된 랜섬웨어 중 비너스락커 조직이 Makop 랜섬웨어를 지속 활용한 정황이 수십 차례 포착된 바 있다."고 언급하며, “랜섬웨어 공격 양상이 기존의 공격 방식에서 새로운 기능을 추가하거나 여러 공격 기법을 결합한 형태로 점점 진화하고 있기 때문에 관련 기업과 개인들은 주기적인 백업 및 안전한 보안 시스템 구축 등을 통해 미리 대비하는 자세가 필요하다."고 강조했습니다.
이밖에 ESRC에서 밝힌 2021년 1분기에 새로 발견되었거나, 주목할만한 랜섬웨어는 다음과 같습니다.
랜섬웨어 명 | 주요 내용 |
Babuk Locker | 주로 기업 피해자를 노리는 '사람이 운영하는(human-operated)' 랜섬웨어로, 확장 프로그램, 랜섬노트, Tor URL이 피해자 별로 커스텀되어 있음. 코딩 형태가 전문적이지는 않지만, Elliptic-curve Diffie–Hellman 알고리즘이 포함된 안전한 암호화를 사용해 피해자가 파일을 무료로 복호화할 수 없도록 예방함. |
DearCry | Microsoft Exchange 서버의 ProxyLogon 취약점을 악용하는 랜섬웨어로, 설치된 후 ‘msupdate’라는 비정식 윈도우 서비스 종료를 시도함. 파일 암호화를 위해 AES-256 및 RSA-2048을 사용하며, 암호화된 각 파일의 시작 부분에 'DEARCRY!' 문자열을 추가함. |
Black Kingdom | DearCry 랜섬웨어와 마찬가지로, Microsoft Exchange 서버의 ProxyLogon 취약점을 악용하는 랜섬웨어로, Pulse VPN 취약점을 악용하여 기업 네트워크를 해킹한 공격에도 사용된 바 있으며, 윈도우 실행파일로 컴파일된 Python 스크립트가 랜섬웨어 파일로 사용됨. |
HelloKitty | 비디오 게임 업체, 전력 회사, IT 서비스 기업 등을 노리는 랜섬웨어로, 탈취한 데이터 유출을 빌미로 사용자를 협박하는 이중 갈취 전략을 사용함. 랜섬노트에 피해 기업명, 개인정보, 탈취된 데이터 양 등의 정보가 포함되며, 랜섬 지불 기한을 1-2일로 제한하여 빠른 랜섬 지불을 유도하고 피해자의 추가 대응을 방지함. |
Vovalex | Ccleaner 시스템 최적화 프로그램의 설치 파일로 위장하여 유포되는 랜섬웨어로, 디지털 서명이 포함된 정상 설치 파일을 사용해 사용자를 속이며, 랜섬노트에는 영어와 러시아어를 사용해 모네로(XMR) 암호화폐를 지불하도록 요구함. |
Ziggy | 최근 운영을 중단하고 피해자에게 복호화 키 공개 및 랜섬 머니를 환불한 랜섬웨어로, SQL 파일 내 포함된 키를 사용할 수 있는 복호화 툴을 공개했으며, 피해자에게 지정 이메일 주소를 통해 비트코인 결제 증빙 등 랜섬 지불 내역을 보낼 것을 안내함. |
Ryuk | 로컬 네트워크를 통해 자가 확산되는 웜 기능을 갖춘 새로운 변종으로 재등장한 랜섬웨어로, 실행되면 윈도우 RPC 접근이 가능한 모든 기기에 자기 자신을 확산시킴. 실행 파일을 식별된 네트워크 공유에 복사하는 방법으로 전파가 이루어지며, 예약 작업 생성을 통해 지속성을 확보함. |
Sodinokibi | 최근 피해자의 랜섬 지불을 강요하기 위해 DDoS 공격 및 언론인과 피해자의 비즈니스 파트너에게 음성 통화를 수행하겠다고 협박하는 전략을 추가한 랜섬웨어로, 홈페이지에 랜섬웨어 제휴 파트너에게 3계층과 7계층 DDoS 공격을 수행할 수 있는 유료 서비스를 제공한다고 안내함. |
DeroHE | 윈도우 유틸리티 개발 업체 IObit 포럼으로 위장해 유포되는 랜섬웨어로, ZIP 첨부파일에는 디지털 서명된 합법적인 IObit 라이선스 관리자 프로그램 파일을 포함시키며, DLL 파일을 서명되지 않은 악성 버전으로 바꿔치기 하는 방법으로 공격을 수행함. |
랜섬웨어 유포 케이스의 대다수는 이메일 형태지만, 코로나19 바이러스 확산 방지를 위해 재택 근무를 수행하는 임직원이 증가함에 따라 기업 내부망 접속을 위해 사용되는 재택 근무 단말기 OS/SW 보안 업데이트 점검을 의무화하고 임직원 보안 인식 교육도 병행해야 합니다.
이스트시큐리티는 랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해, 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적인 대응 협력을 진행하고 있습니다.