Home > 전체기사

2022년 3분기 랜섬웨어 키워드: LockBit 3.0, 매그니베르, 북한, Go언어 제작

  |  입력 : 2022-10-04 16:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
북한 배후 랜섬웨어도 지속, 국내 기업 타깃 ‘귀신’ 랜섬웨어 등 피해사례 잇달아
이스트시큐리티 ESRC “빠른 패치 중요, 주기적인 임직원 보안인식 교육도 필요”


[보안뉴스 김영명 기자] 올해 3분기 랜섬웨어 주요 동향으로는 LockBit 3.0과 매그니베르(Magniber) 랜섬웨어의 지속적인 공격, Go 프로그래밍 언어로 작성된 새로운 타깃형 랜섬웨어로 요약할 수 있다.

[이미지=utoimage]


이스트시큐리티 시큐리티대응센터(ESRC)는 올해 7월부터 9월까지 국내에서 발생한 랜섬웨어의 특징을 △록빗(LockBit 3.0) 위협 지속 및 랜섬웨어 빌더 유출 △매그니베르(Magniber) 랜섬웨어 확장자 변경을 통한 지속 유포 △북한 배후 랜섬웨어 △국내 기업을 타깃으로 하는 랜섬웨어 △Go 프로그래밍 언어로 작성된 새로운 타깃형 랜섬웨어 등으로 요약했다.

첫 번째로 LockBit 3.0 버전은 지난 7월 초에 발견됐다. LockBit은 2019년 처음 등장한 서비스형 랜섬웨어(RaaS)로 발견된 이후 꾸준히 업데이트 후 활동을 해오고 있다. LockBit은 저작권, 입사지원서를 위장한 이메일을 통해 국내에도 지속해서 유포되고 있어 주의가 필요하다. 9월 말에는 LockBit 3.0 빌더가 외부에 공개되기도 했다. 이 공개된 빌더를 이용하면 비전문가도 쉽게 LockBit 3.0 랜섬웨어를 커스터마이징해 제작할 수 있어 LockBit 3.0의 위협은 시간이 지날수록 더욱 증가할 것으로 예상된다.

매그니베르 랜섬웨어는 2017년 케르베르(Cerber) 랜섬웨어의 후속으로 등장했으며, 현재까지 활발히 활동 중인 랜섬웨어로, 유포 방식은 지속해서 변화하고 있다. 최근에는 대량 유포를 위해 타이포스쿼팅 및 광고 서버 해킹을 통해 불특정 다수에게 업데이트 파일로 위장한 파일을 자동으로 내려주는 공격 방식을 사용하고 있다. 유포 파일의 확장자도 .msi, .cpl, .jse, .jse, .wsf 등으로 지속적으로 변경하며 보안 프로그램 우회를 시도하고 있다.

이러한 공격 방식의 경우, 광고가 포함된 정상 페이지를 통해서도 악성 프로그램 유포가 가능하며, 이를 통해 쉽게 사용자들의 실행을 유도할 수 있다는 특징이 있어 주의가 필요하다.

북한의 암호화폐 탈취를 통한 외화벌이 활동도 이어지고 있다. 북한의 사이버 공격은 단순히 해킹뿐만 아니라 랜섬웨어 제작 및 유포도 포함된다. 지난해 5월, 의료 및 공중보건 분야를 공격 대상으로 하는 마우이(Maui) 랜섬웨어가 등장했으며, 6월에는 홀리고스트(H0lyGh0st) 랜섬웨어가 여러 국가의 기업들을 공격하기도 했다. 해당 랜섬웨어들의 배후에는 북한의 지원을 받는 공격 조직이 있는 것으로 추정되고 있다.

올해 3분기에는 특히, 다수의 우리나라 기업들이 국내 기업을 주 타깃으로 하는 랜섬웨어의 희생양이 됐다. 대표적인 사례인 귀신(Gwisin) 랜섬웨어는 지난해 하반기에 처음 등장해 국내 기업들을 공격한 후, 공격 활동이 잦아들었다가 올해 3분기 많은 국내 기업들을 공격해 피해를 입혔다. 귀신 랜섬웨어는 한글을 사용하며, 랜섬노트에 국정원, KISA 등의 국내 전문기관을 언급하는 등의 특징을 갖고 있어 한글을 사용하는 조직이 배후에 있는 것으로 추정되고 있는 상황이다.

귀신 랜섬웨어는 주로 공휴일이나 새벽과 같이 사람들이 많이 활동하지 않은 시간대에 공격을 진행했으며, 기업별 맞춤형 랜섬웨어를 유포하는 등 높은 수준의 공격기술을 보유하고 있다. 인크립트(EnCrypt) 랜섬웨어 역시 7월 초 국내 콜택시 관리 업체를 공격해 전국의 콜택시 운영을 마비시키기도 했다.

또 다른 특징으로는 랜섬웨어 공격 조직들이 Go 언어를 사용하기 시작했다는 점이다. Go 언어는 구글이 개발, 지난해 3월 정식 발표된 프로그래밍 언어로, Golang으로 불리기도 한다. Go 언어는 플랫폼에 구애받지 않고 분석 난이도가 높아 공격자들의 환영을 받고 있으며, 최근 Go 언어로 제작된 랜섬웨어들도 발견되고 있다.

Agenda 랜섬웨어는 다양한 국가의 의료 및 교육기관을 공격 대상으로 하고 있으며, ‘안전모드’ 기능을 이용해 보안 프로그램의 탐지 회피를 시도한다. 7월에 등장한 비안리안(BianLian) 랜섬웨어는 제조, 교육, 헬스케어 등의 분야를 타깃으로 하고 있는데, 끊임없이 변화하면서 새로운 기능이 추가되고 있다. 앞으로 Go 언어로 제작된 랜섬웨어는 더욱 증가할 것으로 전망된다.

이밖에도 취약한 MS-SQL 서버, VMware ESXI를 타깃으로 하는 랜섬웨어 위협이 이어지고 있으며, 새로운 유포 및 탈취 전략 등 공격 방식과 협박 방식이 꾸준히 변화하고 있는 등 랜섬웨어의 위협은 날로 거세지고 있다. 올해 3분기에 새로 발견됐거나 주목할 만한 랜섬웨어는 다음과 같다. 

▲올해 3분기 랜섬웨어의 주요 특징[자료=보안뉴스]


랜섬웨어 공격은 점점 더 공격자들이 증가하고 있으며, 공개된 랜섬웨어 빌더를 이용하면 비 전문가도 쉽게 랜섬웨어를 제작할 수 있는 만큼, 4분기에는 더 많은 랜섬웨어 변종과 함께 새로운 방식을 이용한 공격이 나타날 것으로 예상되고 있다.

이스트시큐리티 시큐리티대응센터(ESRC) 관계자는 “기업 보안담당자들은 사내 시스템에 존재하는 취약점에 대한 빠른 패치를 진행하고, 바로 패치 적용이 힘들면 임시 조치로 공격을 완화하기를 권고한다”며 “주기적인 임직원 보안인식 교육을 통해 사회공학적 기법에 의한 공격에도 대비해야 한다”고 말했다. 이어 “개인 사용자들은 알약과 같은 백신 설치, 자주 사용하는 소프트웨어를 항상 최신 버전으로 유지하고, 주기적인 백업 등 보안조치를 통해 랜섬웨어 공격을 차단하고, 랜섬웨어 감염 시 피해를 최소화하도록 해야 한다”고 덧붙였다.
[김영명 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)