3분기 랜섬웨어 공격 지형에 변화가 포착됐다. 소디노키비(Sodinokibi)와 넴티(Nemty) 등의 신생 랜섬웨어가 새롭게 등장해 위협을 더했지만 워너크라이(WannaCry)의 영향력이 낮아진 탓에 2분기보다 공격수가 줄었다.
이스트시큐리티는 7월에서 9월까지 3개월간 알약으로 랜섬웨어 공격을 약 23만 건 차단했다고 10일 밝혔다. 2분기와 비교해 랜섬웨어 공격 차단 건수는 7%가량 감소했다.
이번 통계는 일반 사용자를 대상으로 하는 공개용 알약의 ‘랜섬웨어 행위기반 차단 기능'으로 차단된 공격을 집계한 결과다. 패턴 기반 공격까지 추가 집계할 경우 전체 공격 건수는 더 늘어난다는 게 이스트시큐리티의 설명이다.
이스트시큐리티 시큐리티대응센터(ESRC)는 3분기 주요 랜섬웨어 공격동향으로 3가지를 꼽았다. ▲주요 랜섬웨어 위협으로 소디노키비 등장 ▲넴티 유포 급격히 증가 ▲워너크라이 감염 감소 등이다.
소디노키비는 올해 2분기에 처음 등장한 랜섬웨어지만 그 수를 급격히 늘려 현재는 랜섬웨어 중 가장 큰 위협으로 꼽혔다. 넴티는 8월 말 등장 후 9월부터 유포 수를 늘리며 3분기 주요 랜섬웨어 위협으로 떠올랐다. 워너크라이는 3분기에 진입하며 감염 수가 감소한 것으로 드러났다.
ESRC 모니터링 분석 결과 3분기 알약의 랜섬웨어 공격 차단 통계는 2분기와 비교해 약 7.33% 감소했다. 소디노키비의 유포는 증가했지만 워너크라이 영향력이 크게 감소한 탓이다. 네트워크를 통해 시스템을 감염시키는 워너크라이 특성상 오랜 시간 일정 수치 이상으로 감염 건수를 유지하다가 최근에 영향력이 낮아진 것으로 보인다.
ESRC 센터장을 겸하는 문종현 이스트시큐리티 이사는 "최근 소디노키비와 함께 스캐럽(Scarab) 등 다양한 랜섬웨어가 공격에 활용된 정황이 발견됐다"며 "공격 조직의 활동을 지속해서 살펴 추적할 계획"이라고 밝혔다.
ESRC는 그밖에 ▲저먼와이퍼(GermanWiper) ▲티플라워(Tflower) ▲리락드(Lilocked) ▲에취오랙스(EchOraix) 등의 랜섬웨어도 3분기에 새롭게 발견됐거나 주목을 모은다고 밝혔다.
문종현 이사는 "외부에 노출된 기업의 원격 데스크톱 서비스를 노리는 티플라워나 리눅스 기반 서버를 노리는 리락드 등 다양한 랜섬웨어가 지속해 기업 내부 네트워크와 시스템을 노린다"면서 "사용 중인 시스템 운영체제(OS)와 소프트웨어의 취약점을 점검 및 보완해야 한다. 내부 임직원이 출처가 불분명한 이메일을 열람하지 않도록 보안 교육도 강화해야 한다"고 당부했다.