"기업 메일・윈도7 지원 종료 노린다"…이스트시큐리티, 2019년 4분기 랜섬웨어 동향 발표

김평화 기자
입력 2020.01.09 10:22
기업의 공개된 그룹 메일을 노리는 랜섬웨어가 두드러져 업계 주의가 요구된다. 윈도(Window)7 지원 종료가 다가오면서 운영체제(OS) 취약점을 파고드는 랜섬웨어 위협도 떠오르는 보안 과제다.

보안 기업 이스트시큐리티는 백신 프로그램 ‘알약'으로 2019년 4분기 총 20만7048건의 랜섬웨어 공격을 차단했다고 9일 밝혔다. 해당 기간 중 소디노키비와 넴티, 비너스락커 등 다수 랜섬웨어의 활동이 두드러져 업계 주의가 필요하다는 설명이다.

랜섬웨어는 ‘몸값(Ransom)’과 ‘소프트웨어(Software)’의 합성어이다. 시스템을 잠그거나 데이터를 암호화해 사용하지 못하도록 한 뒤 금전을 요구하는 악성 프로그램이다.

2019년 4분기 랜섬웨어 차단 통계. 연말에 PC 사용률이 줄면서 차단 수가 낮아졌다. / 이스트시큐리티 제공
2019년 4분기 알약으로 차단한 랜섬웨어 공격은 총 20만7048건으로 일평균 약 2226건을 차단한 것으로 드러났다. 같은 해 3분기보다 차단 수치가 약 9.8% 감소한 결과다.

이스트시큐리티 시큐리티대응센터(ESRC)는 연말연시 많은 사용자가 휴가를 떠나면서 PC 사용률이 낮아진 영향을 받은 것으로 분석했다. 실제 2019년 12월 랜섬웨어 공격 차단 수는 약 6만5000건으로 그해 랜섬웨어 차단 수치에서 최저를 기록했다.

이번 통계는 일반 사용자에게 제공하는 공개용 알약에서 집계한 결과다. 행위 기반 사전 차단 기능에서만 집계해 패턴 기반 공격까지 포함하면 총 공격 수는 더 많을 것으로 추정한다는 게 ESRC 평가다.

ESRC는 4분기 주요 랜섬웨어 동향으로 소디노키비(Sodinokibi)와 넴티(Nemty)의 위협 증가를 꼽았다. 소디노키비는 2019년 3분기와 4분기 가장 많이 유포된 랜섬웨어다. 넴티는 그해 8월 말 처음 등장해 급격한 증가세를 보여 사용자에 큰 위협이 되고 있다. 넴티는 주로 기업의 공개된 그룹 메일 주소에 입사지원서나 공문 등으로 위장한 피싱 메일을 발송하는 공격 수법을 보인다.

ESRC는 한국에서 활동하는 랜섬웨어 특징을 살핀 결과 배후에 비너스락커(VenusLocker) 조직이 중요 역할을 맡는다고 분석했다. 비너스락커는 서비스형 랜섬웨어(Ransomware as a Service, RaaS)를 활용해 추적을 회피하는 모습이다.

그밖에 2019년 4분기 모습을 드러낸 다른 랜섬웨어로는 ▲FT코드 파워셸(Code PowerShell) ▲사이보그(CYBORG) ▲메두사락커(MedusaLocker) ▲데스랜섬(DEATHRansom) ▲안테프리구스(AnteFrigus) 등이 있다.

문종현 이스트시큐리티 이사 겸 ESRC 센터장은 "공격자는 주로 기업이 외부 활동을 목적으로 공개한 그룹 메일 주소 등을 수집해 랜섬웨어가 포함된 피싱 메일을 발송한다. 해당 메일 주소는 다양한 경로에서 이메일을 수신하기에 의심 없이 악성 메일도 열어보게 된다"며 "첨부 파일이나 링크가 포함된 이메일을 열어 볼 때는 항상 주의를 기울여야 하며 주기적인 백업도 습관화해야 한다"고 당부했다.

그는 이어 "윈도7 지원이 1월 14일에 종료한다. 윈도7을 사용하는 기업은 이른 시일 안에 윈도10 등의 상위 버전으로 이전해 OS 취약점과 결합한 랜섬웨어 감염 위험성을 최소화해야 한다"고 덧붙였다.

T조선 뉴스레터 를 받아보세요! - 구독신청하기
매일 IT조선 뉴스를 받아보세요 닫기