Home > 전체기사 > 기획특집
워너크라이로 폭발한 랜섬웨어 사태! 2017년 공격현황 살펴보니...
  |  입력 : 2017-05-23 18:15
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
2017년 등장한 랜섬웨어만 17종...알려지지 않은 변종은 포함되지 않아
6월 윈도우 10 공격 예고, 잇따른 변종 출현...앞으로도 지속될 랜섬웨어 공격


[보안뉴스 원병철 기자] 워너크라이(WannaCry)의 충격 때문일까? ‘랜섬웨어’란 단어에 대한 국민들의 관심이 엄청나게 높아졌다. 다행히 우리나라에서 워너크라이 랜섬웨어로 인한 피해는 애초 우려한 것보다는 최소화 된 게 사실이다. 그러나 오는 6월 윈도우 10 운영체제를 타깃으로 한 랜섬웨어 공격이 예고된 상태이고, 워너크라이로 인한 실제 피해규모조차 정확히 파악되지 않은 만큼 워너크라이 사태는 아직 끝난 것이 아니라는 지적이다.

[이미지=iclickart]


사실 랜섬웨어 공격과 이로 인한 피해는 꾸준하게 예견되어 왔다. 특히, 국내외 보안기업들은 올해 보고서를 통해 ‘2017년은 랜섬웨어의 해’라고 부를 만큼 랜섬웨어가 늘어날 것으로 예상했다. 또한, 본지에서 취재했던 11곳의 백신 기업들도 ‘2017년 화두’의 하나로 ‘랜섬웨어’를 꼽으며 그 위험성을 강조했다.

그렇다면 실제 올해 등장한 랜섬웨어는 어떤 것들이 있을까? 본지에서 집계한 바에 따르면 1월부터 이번 워너크라이까지 국내외에 주로 유포됐던 랜섬웨어는 총 17종이다. 기존에 활동하던 랜섬웨어 변종까지 포함하면 그 수는 더 늘어난다.

올해 들어 가장 빠른 1월에 등장한 랜섬웨어는 △비너스락커 변종을 들 수 있다. 방을 예약한다는 메일로 위장해 숙박업소를 노린 이 랜섬웨어는 확장자명을 숨겨 악성파일을 열어보게 하는 방법으로 공격했다. 해외에서는 ‘사용자 친화적인’ 서비스형 랜섬웨어 △사탄(Satan)이 등장했다. 사탄은 수익의 30%를 제작자에게 주는 조건으로 누구나 사용할 수 있는 랜섬웨어로 특히, 멀웨어, 드롭퍼, 번역, 계정, 알림, 메시지 등 단계를 거쳐 ‘맞춤형’으로 제작할 수 있는 것이 특징이다.

2월에는 무려 8개의 신규 및 변종 랜섬웨어가 발견됐다. 특히, 윈도우가 아닌 애플 △‘맥(Mac)’ 컴퓨터를 노린 랜섬웨어가 등장해 이슈가 된 바 있다. 뿐만 아니라 맥 컴퓨터를 노린 멀웨어가 2월에 6개나 발견되는 등 공격이 꾸준하게 증가했다. 현 미국 대통령인 ‘트럼프’의 이름을 딴 △트럼프락커(TrumpLocker)가 나타나 사회공학적 공격을 퍼붓기도 했다. 크립토믹스의 변종인 △크립토실드 랜섬웨어가 등장한 것도 2월이다. 크립토실드는 ‘리그 익스플로잇 킷(RIG Exploit Kit)’을 이용해 사용자는 웹서핑 도중 자기도 모르게 감염됐다.

△세이지(Sage) 랜섬웨어는 이메일에 첨부된 워드 파일을 통해 유포됐으며, 고객센터를 운영해 피해자가 쉽게 복호화를 할 수 있도록 한 것이 특징이다. 10만원(0.085 비트코인)을 요구한 저가형 랜섬웨어인 △에레보스(Erebus)는 ‘사용자 계정 제어(UAC) 보안 기능’ 우회 기법을 활용했다.

안드로이드용 랜섬웨어도 등장했다. 피해자들에게 글을 읽도록 강요하는 △록드로이드(Lockdroid)와 △록스크린(Lockscreen)은 음성인식기능 API를 탑재해 ‘QQ 메신저’로 공격자들과 대화를 할 수 있도록 한 것이 특징이다. 북한에서 제작된 것으로 의심받는 △비너스락커(VenusLocker)의 변종은 한글문서 취약점을 이용하는 등 우리나라 사용자를 노린 맞춤형 공격을 선보였다.

3월에는 악명 높은 랜섬웨어 ‘페트야(Petya)’의 각종 기능들을 훔치는 랜섬웨어 △페트랩(PetrWrap)이 발견됐다. 페트랩은 랜섬웨어 범죄자끼리 경쟁구도가 심화되고 있다는 사실을 증명했다. 2월에 등장했던 크립토실드처럼 리그 익스플로잇 킷을 이용한 랜섬웨어 △리벤지(Revenge)도 등장했다. 특히, 리벤지는 랜섬노트에 한글을 지원하는 등 한국을 노린 랜섬웨어로 이름을 날렸다. △록키(Locky)는 파워쉘을 이용해 감염시키는 랜섬웨어로 사용자 PC의 사진과 그림파일, 각종 오피스 문서 등을 암호화해 몸값을 요구했다.

▲ 2017년 상반기 등장한 랜섬웨어[자료=보안뉴스]


4월에는 우리가 워너크라이로 알고 있는 △워너크립터(WannaCryptor)가 등장했다. 워너크립터는 한글문서를 포함하면서 ‘한국’을 타깃으로 하는 랜섬웨어의 한 종류로 알려졌다. 또한, 4월에는 고객의 개인정보가 유출됐다며 인터파크의 사과 메일로 위장한 △비너스락커 변종이 또 등장해 화제를 모으기도 했다. 해당 랜섬웨어는 지난 2016년 인터파크의 고객정보 유출 사건을 이용한 것으로, 이번에 또 고객정보가 유출됐다며 메일을 보내 감염을 유도했다.

역대 최악의 웜 바이러스로 꼽히는 ‘컨피커(Conficker)’의 이름을 본뜬 △컨피커 랜섬웨어도 4월에 등장했다. 컨피커 웜이 윈도우 SMB 취약점을 노렸기 때문에 컨피커 랜섬웨어도 비슷하지 않을까 걱정했지만, 결국 워너크라이 랜섬웨어가 윈도우 SMB 취약점을 공략하면서 컨피커 웜은 잊혀졌다.

5월에는 기존 랜섬웨어와는 조금 다른 색다른 랜섬웨어들이 발견되고 있다. 홈페이지를 방문하는 것만으로 감염되도록 드라이브 바이 다운로드 기법을 사용한 △매트릭스(Matrix) 랜섬웨어는 사용자 IP 주소가 포르노, 아동포르노, 동물 및 아동 학대가 포함된 웹사이트를 방문하는 데 사용됐으며, 빨리 비트코인을 지불하지 않으면 체포될 것이라고 협박했다.

△펫보이(Fatboy) 랜섬웨어는 피해자의 위치에 따라 협박하는 금액이 자동으로 바뀌는데, 생활수준이나 평균소득이 더 높은 지역에 있는 피해자에게 더 높은 금액을 요구하도록 프로그램되어 있다. 마치 빅맥지수(Big Mac Index)와 비슷한 펫보이는 러시아에서 처음 등장했다.

전 세계를 충격과 공포에 빠트린 워너크라이 랜섬웨어까지 포함해 2017년에 벌써 17종에 달했다. 더욱이 17종은 본지에서 소개한 랜섬웨어를 중심으로 정리한 것이라서 해외에서는 더 많은 랜섬웨어가 사용자들을 공격하고 있을 것으로 우려된다.

보안전문가들이 말하듯, 워너크라이 때문에 많은 사람들이 윈도우 최신 업데이트를 수행하면서 보안위협으로부터 조금은 더 안전해졌을지 모른다. 그러나 이것만으로는 안 된다. 데이터를 정기적으로 백업하고, 백신 등 꼭 필요한 보안 솔루션들은 과감히 구입하며, 출처가 불분명한 파일을 다운받거나 웹사이트를 방문하는 것은 항상 조심해야 한다. 이제 랜섬웨어 공격은 흔한 일상이 될지도 모르기 때문이다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 4
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 사태로 인해 화상회의, 원격교육 등을 위한 협업 솔루션이 부상하고 있습니다. 현재 귀사에서 사용하고 있는 협업 솔루션은 무엇인가요?
마이크로소프트의 팀즈(Teams)
시스코시스템즈의 웹엑스(Webex)
구글의 행아웃 미트(Meet)
줌인터내셔녈의 줌(Zoom)
슬랙의 슬랙(Slack)
NHN의 두레이(Dooray)
이스트소프트의 팀업(TeamUP)
토스랩의 잔디(JANDI)
기타(댓글로)