전체 랜섬웨어 피해사례 34%는 '클롭'
3분기 들어 랜섬웨어 공격이 증가 흐름을 보인 가운데, 암호화나 비주류 언어 등을 통해 탐지를 피하는 사례가 늘어 주의가 요구된다.
3일 보안업체 SK쉴더스에 따르면 7월 랜섬웨어 공격에 따른 피해 발생 건수는 전월 대비 약 10.9% 증가한 487건으로 집계됐다. 랜섬웨어 공격이란 사용자 PC에 있는 데이터를 인질로 삼아 몸값을 요구하는 사이버 보안 공격을 뜻한다.
7월에 가장 많이 발견된 랜섬웨어는 '클롭'(170건)으로 전체 피해 사례의 34%를 차지했다. 클롭은 시스템 파일의 확장자를 '.clop'으로 바꿔 시스템을 잠그거나 데이터를 암호화해 사용할 수 없도록 하는 것으로 유명하다.
SK쉴더스는 파일전송 관리 프로그램 '무브잇'의 제로데이 취약점을 이용해 유출된 자료들이 다크웹 등에 속속 게시되고 있다는 점을 원인으로 꼽았다.
피해 기업 중에서는 미국 화장품 기업 에스티로더도 포함된 것으로 알려졌다.
'락빗'(49건)과 '에잇베이스'(36건), '블랙캣'(29건) 등의 랜섬웨어가 그 뒤를 이었다.
피해 사례를 업종별로 보면 제조업이 124건으로 가장 많았고, 정보기술(IT)·웹·통신업(66건)과 은행·금융업(44건), 서비스업(43건) 순이었다.
아울러 전체 랜섬웨어 피해의 절반 이상은 미국(248건)에서 발생했다.
SK쉴더스는 다크웹에 새롭게 등장하거나 활동을 시작한 랜섬웨어 그룹으로 '캑터스'와 '사이클롭스', '언더그라운드' 등을 짚었다.
캑터스는 가상사설망(VPN) 제공업체 '포티넷'의 제로데이 취약점을 이용해 시스템에 침투한 뒤, 백도어를 설치해 시스템 접근 권한을 늘려가는 형태를 띤다.
특히 백신 프로그램 등에 의한 분석·탐지를 피하기 위해 랜섬웨어 구동에 필요한 키를 암호화하기 때문에 감염 여부를 파악하기가 쉽지 않다는 특징이 있다.
공격 대상은 주로 미국 정보기술(IT) 및 제조 대기업으로 파악됐으며, 7월 다크웹에 유출 사이트를 만든 뒤 피해 사례 18건을 동시에 올리기도 했다.
사이클롭스나 '소포스인크립트'처럼 비주류 컴퓨터 언어 '고'나 '러스트'를 이용해 랜섬웨어 분석 및 탐지를 우회하는 경우도 포착됐다.
언더그라운드는 마이크로소프트 오피스와 윈도 HTML의 원격코드 실행(RCE)에서 발견된 제로데이 취약점을 이용했으며, 지난해 5월 등장한 랜섬웨어 '인더스트리얼 스파이'와 유사한 공격 수법을 사용한다.
SK쉴더스는 네트워크 접속 권한을 거래하며 초기 침투를 돕는 '초기 액세스 브로커'(IAB)의 등장으로 랜섬웨어 생태계가 조직적이고 치밀해지고 있다고 분석했다.
회사는 "서비스형 랜섬웨어 그룹이 계열사를 고용해 초기 침투 권한을 얻은 뒤 얻은 수익을 세탁하는 경우도 늘어나고 있다"면서 "전문적인 지식 없이도 랜섬웨어 공격이 가능하게 되면서 피해 사례가 증가하고 있다"고 우려했다.
헬로티 김진희 기자 |