보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

팩트 체크, 랜섬웨어 태풍 소멸될까

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2018-09-03

워너크라이, 페트야, 배드래빗 등 2017년 한 해가 랜섬웨어로 떠들썩했던 것에 비하면 올해는 잠잠하다. 반면 지난 연말부터 암호화폐(가상화폐) 채굴을 위한 악성코드 유포가 지속적으로 증가하고 있다. 이에 악성코드 제작자들의 관심이 암호화폐 채굴로 옮겨갔으며, 그에 따라 랜섬웨어 공격은 감소할 것이라는 관측도 나오고 있다. 한때 전 세계를 휩쓸었던 랜섬웨어 태풍은 과연 조만간 소멸할까? 결론부터 말하면 랜섬웨어 태풍의 규모가 줄어들더라도 그 영향은 계속될 전망이며, 우리나라는 당분간 랜섬웨어 태풍의 직접 영향권에서 벗어나기 어려울 것으로 보인다.

 

이 글에서는 2018년 랜섬웨어 동향 및 주요 사례를 통해 랜섬웨어 소멸론의 실현 가능성을 짚어본다.

 

‘랜섬웨어 소멸’을 기대하게 된 원인은 아이러니하게도 암호화폐 채굴 악성코드의 증가 때문이다. 2017년 연말부터 주요 랜섬웨어의 활동은 주춤한 반면, 암호화폐 채굴 악성코드가 꾸준히 증가하고 있다. 최근 한국인터넷진흥원(KISA)이 발표한 ‘2018년 상반기 악성코드 은닉사이트 탐지 동향 보고서’에 따르면 올해 국내에서 탐지된 전체 악성코드 중 랜섬웨어 비율은 지난해 하반기 28.3%에 비해 크게 감소한 14.9%로 나타났다. 반면 암호화폐 채굴 악성코드의 비율은 2017년 하반기에 비해 5.6% 증가한 14.1%의 비율을 보였다. 이것만 놓고 보면 랜섬웨어는 줄고 암호화폐 채굴 악성코드가 증가하는 것처럼 보인다. 그러나 랜섬웨어 위협이 줄어들 것으로 속단하기는 이르다. [그림 1]에서 확인할 수 있는 것처럼 랜섬웨어의 비율이 감소한 것은 사실이지만, 암호화폐 채굴 악성코드와 비슷한 수준이다.

 

[그림 1] 악성코드 유형별 비율 (*출처: 한국인터넷진흥원, KISA)

  

안랩 시큐리티대응센터(AhnLab Security Emergency response Center, ASEC)에 따르면 2017년에 비해 올해 상반기 랜섬웨어의 양은 다소 감소했으나 랜섬웨어 피해 건수는 오히려 증가했다. [그림 2]는 안랩 시큐리티대응센터에서 확인한 랜섬웨어 수(샘플 수 기준)와 감염 보고 추이다.

 

2018년 상반기 랜섬웨어 수(샘플 수 기준)는 479,982건으로, 지난해 동기 821,295건 대비 341,313건 감소했다. 그러나 감염 보고 건수는 2018년 상반기 642,927건으로, 2017년 상반기(515,197건)에 비해 127,730건 증가했다. 특히 지난 4월과 5월에 피해가 집중됐던 것으로 나타났다. 

 

 

[그림 2] 랜섬웨어 추이


국내 랜섬웨어 피해는 증가, 그 원인은?

다른 나라의 랜섬웨어 동향과 달리 국내에서 랜섬웨어는 매우 국지적인 양상을 보인다. 앞서 살펴본 것처럼 랜섬웨어 수는 감소 추세인 반면 피해는 증가했다는 것인데, 그 원인은 매그니베르(Magniber), 갠드크랩(GandCrab) 랜섬웨어와 밀접한 관련이 있다.

 

2018년 상반기에 유포된 랜섬웨어를 살펴보면 케르베르(Cerber), 록키(Locky), 갠드크랩, 헤르메스(Hermes), 매그니베르, 랜섬크립트(Ransomcrypt) 등이 주로 유포되었다. 이들 중에서도 가장 많이 유포된 랜섬웨어 4종의 감염 피해 추이를 월별로 살펴보면 [그림 3]과 같다.

 

 

[그림 3] 주요 랜섬웨어 월별 감염 추이 (2018년 1월~6월)

 

[그림 3]에서 볼 수 있는 것처럼 1분기에는 매그니베르 랜섬웨어가 가장 많은 피해를 입혔다. 이 시기에 유포된 매그니베르 랜섬웨어는 한국어 윈도우 운영체제를 타깃으로 삼았기 때문에 주로 국내에서 피해가 발생했다. 매그니베르는 2월까지 증가 추세를 보이다 3월 이후 급격히 감소했는데, 당시 안랩이 매그니베르 랜섬웨어 감염 파일을 복호화하는 툴을 배포한 것이 영향을 준 것으로 보인다.

 

매그니베르의 활동이 주춤한 사이 갠드크랩 랜섬웨어에 의한 피해가 빠른 속도로 확산됐다. [그림 3]에서 볼 수 있는 것처럼 4월과 5월에 갠드크랩 랜섬웨어 피해가 가장 많았다. 앞서 [그림 2]에서 살펴본 것처럼 국내 랜섬웨어 피해가 4월과 5월에 집중됐던 원인이 갠드크랩임을 알 수 있는 대목이다. 2분기 갠드크랩 랜섬웨어의 폭발적인 증가는 국내뿐만 아니라 다른 나라에서도 상당한 피해를 야기했다.

 

올해 1월 처음 발견된 갠드크랩 랜섬웨어는 이후 다양한 방식과 경로를 통해 유포됐다. 매그니베르 랜섬웨어 유포에 사용된 매그니튜드 익스플로잇 킷(Magnitude Exploit Kit)과 멀버타이징 방식을 이용하거나 스팸 메일의 첨부파일, 정상 소프트웨어로 위장한 파일 등 다양한 방식을 이용했다. 이와 함께 다양한 기법을 이용한 변종이 빠른 속도로 잇따라 나타났는데, 이 또한 갠드크랩 랜섬웨어 피해가 빠른 속도로 확산된 원인이다.

 

안랩이 일부 갠드크랩 변종을 무력화하는 툴을 배포하면서 지난 6월에는 갠드크랩 랜섬웨어 피해가 큰 폭으로 줄어들었다. 그러나 갠드크랩 랜섬웨어 제작자는 파일리스(Fileless) 방식을 이용하는 등 또 다른 변종을 지속적으로 제작, 유포하고 있어 하반기에도 피해가 우려된다.

 

랜섬웨어, 고도화된 변종으로 하반기에도 피해 지속될 듯

지난 1분기 대비 2분기에는 신종 랜섬웨어에 의한 피해 건수가 증가했다. 2분기를 기점으로 국내에서 발견되는 랜섬웨어는 다양한 유포 방식을 이용하고 있는데, 특히 파일리스 방식 등 더욱 고도화된 형태가 증가하는 추세다. 갠드크랩 랜섬웨어의 최근 변종 또한 파일리스 형태로 유포된 바 있다. 이러한 변화는 하반기에도 계속될 전망이다.

 

한편, 지난 4월 이후 급격히 감소했던 매그니베르 랜섬웨어가 최근 다시 나타나기 시작했다. 지난 6월 초부터 조금씩 감염 피해가 발생하고 있으며, 7월 초부터는 한국어 외에 중국어, 말레이시아어 등 8개의 언어가 추가된 매그니베르 랜섬웨어가 확인되고 있다. 이는 매그니베르 랜섬웨어가 이전보다 더 큰 피해를 가져올 수 있다는 의미기도 하다. 어쩌면 매그니베르 랜섬웨어는 더 큰 파괴력을 갖추기 위해 지난 2분기 동안 잠시 숨을 고르고 있었을 뿐인지도 모른다. 마치 태풍의 눈이 고요한 것처럼. ​ 

  • AhnLab 로고
  • 분석연구팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.