2023년 1분기 랜섬웨어 주요 동향 분석해보니

이스트시큐리티, 올해 1분기 알약 랜섬웨어 행위기반 차단 건수 총 4만7,075건
어베스트는 비안리안 복호화 툴, 비트디펜더는 메가코텍스 및 모탈콤뱃 복호화 툴 공개

[보안뉴스 김영명 기자] 보안 전문기업 이스트시큐리티(대표 정진일)는 올해 1분기 자사 백신 프로그램 ‘알약(Alyac)’에 탑재돼 있는 ‘랜섬웨어 행위기반 사전 차단’ 기능을 통해 총 4만7,075건의 랜섬웨어 공격을 차단했다고 밝혔다. 이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약 백신 프로그램의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과다.

▲2023년 1분기 랜섬웨어 행위기반 차단 통계[자료=이스트시큐리티]

이스트시큐리티는 올해 1분기 랜섬웨어 주요 동향으로 △VMware ESXi 취약점을 이용한 대규모 랜섬웨어 공격 발생 △글로벌 백신업체, 랜섬웨어 복호화 툴 공개 △락빗(LockBit) 랜섬웨어 공격의 지속 △Nim 프로그래밍 언어로 제작된 랜섬웨어 발견 △북한 랜섬웨어 관련 한미 합동 사이버보안 권고 발표 등을 선정했다.

먼저, VMware ESXi는 전 세계적으로 많은 기업에서 사용 중인 가상화 플랫폼으로, 해당 취약점을 이용한 대규모 랜섬웨어 공격이 발생했다. 엑시악스(ESXiArgs) 랜섬웨어는 주로 유럽 국가들을 대상으로 진행됐으며, 취약점이 패치되지 않은 ESXi 인스턴스를 공격 대상으로 삼았다. 해당 랜섬웨어는 암호화 후 파일 확장자를 ‘.args’로 변경하며, 피해 기업에 몸값으로 약 2만3,000달러(약 3,036만6,900원)의 비트코인을 요구하는 것으로 확인됐다.

이에 대해 프랑스 CERT는 주의를 당부하는 공지를 발표했으며, FBI와 CISA는 복구 스크립트를 개발해 배포했다. 하지만 공격자들이 복구 스크립트 공개 이후 암호화 타깃으로 삼는 구성 파일의 비율을 확대해 배포된 복구 스크립트를 무력화했다.

또한, 콘티(Conti) 랜섬웨어의 제작자가 제작한 것으로 추정되는 로얄(Royal) 랜섬웨어의 리눅스 버전이 발견됐다. 로얄 랜섬웨어 역시 ESXi를 공격 대상으로 하고 있으며, 파일을 암호화한 이후후 확장자를 .royal_u로 변경한다.

1분기에는 다양한 랜섬웨어들에 대한 복호화 툴이 공개됐다. 어베스트(Avast)는 지난해 7월에 등장한 일부 비안리안(BianLian) 랜섬웨어에 대한 무료 복호화 툴을 공개했다. 해당 툴은 어베스트 홈페이지에서 내려받을 수 있으며, 비안리안 랜섬웨어로 암호화된 파일에서만 동작한다. 비트디펜더(Bitdefender)는 2021년 10월 메가코텍스(MegaCortex) 랜섬웨어 조직원 일부를 체포하는 과정에서 수집한 정보들을 기반으로 여러 집행기관과 협력을 통해 메가코텍스 랜섬웨어 복호화 툴을 제작해 공개했다. 이어 피싱 메일을 통해 유포됐던 모탈콤뱃(MortalKombat) 랜섬웨어에 대한 복호화 툴도 공개했다.

락빗(LockBit) 랜섬웨어의 위협도 지속됐다. 공격자들은 여전히 입사지원서를 위장한 피싱 메일 내 락빗 랜섬웨어가 포함된 압축파일을 첨부하는 형태로 유포했다. 파일명과 파일 확장자 사이에 다수의 공백을 추가하고 아이콘을 문서 아이콘으로 위장해 사용자의 실행을 유도한 점이 특징이며, 락빗 랜섬웨어와 함께 비다(Vidar)와 같은 악성코드들도 함께 유포했다.

지난달 말, 락빗은 다크웹 희생자 목록에 국세청 홈페이지 주소를 추가하고 4월 첫째날 탈취한 정보들을 공개하겠다고 밝혔다. 당시 국세청은 공식적으로 드러난 피해가 없다고 밝혔으며, 결과적으로 해당 이슈는 단순 협박으로 결론났다.

이밖에도 새로운 랜섬웨어인 다크파워(Dark Power)가 등장했다. 다크파워 랜섬웨어는 2월 말부터 활동하기 시작했으며, 한 달도 채 안 되는 사이에 10개의 조직들을 감염시켰다. 다크파워는 Nim 프로그래밍 언어로 제작됐으며, 다른 랜섬웨어들과 마찬가지로 이중협박 전략을 사용한다. 전 세계 사용자들을 대상으로 공격 중이며, 두 개의 버전으로 유포됐다. Nim, Rust와 같은 새로운 프로그래밍 언어로 제작된 랜섬웨어들은 점차 더 늘어날 것으로 예상된다.

북한발 랜섬웨어와 관련해서는 한국과 미국이 합동 사이버보안 권고를 발표했다. 보안권고문에는 북한이 자체 개발한 마우이(Maui) 랜섬웨어, 홀리고스트(H0lyGh0st) 랜섬웨어 등에 대한 자세한 TTPs(Tactics, Techniques, Procedure, 공격 전략 행위) 및 침해지표(IoC) 정보와 함께 예방 대책이 포함됐다. 주로 국방 및 방산업체를 공격 대상으로 삼지만 다른 분야 역시 공격 표적이 될 수 있기 때문에 기업 보안담당자들은 한미 합동 사이버보안 권고의 내용을 확인하고 적절한 보안조치를 취해 랜섬웨어의 위협을 최소화하도록 노력해야 한다.

▲올해 1분기 새로 발견되거나 주목할 만한 랜섬웨어의 목록과 주요 특징[자료=이스트시큐리티]

이 밖에 ESRC에서 선정한 올해 1분기 새로 발견됐거나 주목할 만한 랜섬웨어는 ESXiArgs, Mimic, IceFire, Darkbit, Dark Power, Medusa, Lorenz 등이 있다.
[김영명 기자(boan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)