지난해 초 처음 등장한 ‘갠드크랩(Gandcrab)’ 랜섬웨어가 1년 동안 유포 방식을 다변화하고, 꾸준히 업데이트되면서 국내에서 가장 위세를 떨친 랜섬웨어에 등극했다.

갠드크랩처럼 불특정 다수를 노린 랜섬웨어뿐 아니라 최근에는 기업 내 중앙관리 서버를 타깃으로 하는 랜섬웨어도 등장해 주의가 요구된다.

랜섬웨어 이미지. / 카스퍼스키랩 제공
랜섬웨어 이미지. / 카스퍼스키랩 제공
안랩, 이스트시큐리티 등 국내 보안 업계에 따르면, 올 1분기 랜섬웨어 탐지 건수는 월 평균 10만건을 조금 상회한 것으로 집계됐다.

안랩은 자사 백신을 통해 2019년 1분기 34만건의 신규 랜섬웨어 샘플을 수집했다. 직전 분기와 비교하면 21% 감소했지만, 2018년 1분기와 비교하면 48% 증가한 수치다.

수집한 랜섬웨어 샘플은 갠드크랩(66%)과 워너크립터(27%)가 전체의 93%를 차지했다. 특히 갠드크랩 계열 랜섬웨어는 지난해 4분기와 대비 탐지 건수가 77% 증가해 국내에서 가장 활발하게 활동하는 랜섬웨어로 나타났다.

갠드크랩 랜섬웨어는 2018년 1월 최초로 발견된 이후 버전 업데이트를 반복하며 지속적으로 유포됐다. 구매자 주문을 통해 특정 집단이 제작하고 갈취한 수익을 분배하는 서비스형 랜섬웨어(RaaS, Ransomware as a Service) 모델을 따르고 있는 것으로 알려진다.

이스트시큐리티도 1분기 공개용 알약으로 총 32만506의 랜섬웨어를 차단했다. 지난해 4분기 차단 통계와 비교하면 3.5%쯤 감소했지만, 1분기가 다른 분기보다 날짜 수가 적고, 설 명절 연휴도 포함됐다는 점을 고려하면 공격 빈도는 비슷한 수준으로 유지된 것으로 보인다.

역시 가장 많이 차단한 랜섬웨어는 갠드크랩으로, 유포 방식이 타깃별로 더욱 다양해진 점이 눈에 띈다. 공격자는 감염률을 높이기 위해 메일 수신자가 관심을 가질 많한 내용의 이메일을 발송해 첨부파일이나 URL을 열람하도록 유인하는 ‘사회공학적 기법’을 주로 사용한다.

기업의 특정 업무 담당자를 타깃으로 이력서, 구매송장, 경고장 등 문서 파일을 위장한 유포 사례가 가장 많았다. 보안 업데이트가 미흡한 사용자를 노려 사용자 컴퓨터 환경을 분석해 각종 취약점을 악용하는 랜섬웨어 유포 사례도 발견됐다.

특히 기업 서버 관리자 계정을 탈취한 후 조직 내 하위 시스템을 랜섬웨어에 감염시켜 기업에 치명적인 피해를 입힐 수 있는 유포 사례가 발견되기도 했다.

대표적인 예가 윈도 서버를 주 타깃으로 하는 클롭(CLOP) 랜섬웨어다. 이 랜섬웨어는 기업의 중앙관리 시스템인 액티브 디렉토리 서버를 주로 공격하는데, 감염되면 관리 서버에 연결된 모든 드라이브가 암호화되고 유효한 인증서를 사용해 백신 제품의 탐지 우회를 시도한다.

문종현 이스트시큐리티 시큐리티대응센터장은 "이번 1분기는 갠드크랩처럼 불특정 다수가 아닌 기업에서 사용하는 중앙관리 서버를 타깃으로 하는 클롭 랜섬웨어의 위협이 높아져 더욱 주의가 필요하다"며 "특히 클롭 랜섬웨어는 명령제어 서버 연결 없이도 암호화 공격을 진행하기 때문에 보안을 위해 폐쇄망을 사용하는 기업 역시 피해를 입을 수 있다"고 말했다.