• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

랜섬웨어 공격, 올 한 해 ‘표적형’으로 바뀌었다 2017.12.22

마구잡이로 살포하던 2016년...특정 지역과 회사, 산업만 노린 2017년
표적형으로 작게 공격하다가도 규모 커지면서 전략 바꾸기도

[보안뉴스 문가용 기자] 올 한해 랜섬웨어 공격자들은 작은 규모로 진행하는 표적형 공격을 선호한 것으로 나타났다. 그렇게 하는 것이 멀웨어를 대량 살포하는 것보다 효율이 좋았기 때문이다. 특정 산업, 특정 지역, 특정 업체를 집중적으로 공략하는 것이, 여기저기 랜섬웨어를 흩뿌려놓고 누군가 걸리기를 바라는 ‘스프레이 앤 프레이(spray and pray)’ 전략보다 낫다고 보안 전문가들도 말한다.

[이미지 = iclickart]


“2016년만 하더라도 랜섬웨어 공격은 대부분 스팸 형식으로 진행됐어요. 수천만 통의 이메일이 갑자기 발송되곤 했었죠.” 보안 업체 프루프포인트의 위협 첩보 책임자인 패트릭 윌러(Patrick Wheeler)의 설명이다. “스프레이 앤 프레이 전략이 선호된 이유는 빠른 시간 안에 최대한 많은 컴퓨터를 감염시킴으로서 돈을 내려는 피해자를 한 명이라도 더 만들려는 공격자들의 의도가 있었기 때문입니다.”

하지만 “당시에도 랜섬웨어 공격은 점점 표적형으로 옮겨갈 것이라는 예측이 있었다”고 카스퍼스키 랩의 멀웨어 분석가 안톤 이바노프(Anton Ivanov)는 말한다. “그 예측이 지금 이뤄지고 있는 것입니다. 요즘 랜섬웨어 공격자들은 특정 공격 대상만을 위한 프로젝트 팀을 짜서 공격을 펼칩니다. 그 대상이 사용하는 언어로 피싱 메일을 만들 정도죠.”

이렇게 변신하고 있는 랜섬웨어 공격의 최대 피해자들은 금융 조직, 고등 교육 기관, 의료 기관, 생산 시설, 기술 기업 등이다. “그 중에서도 의료 기관과 고등 교육 기관들에 대한 랜섬웨어 공격이 심각하게 증가했습니다. 왜 하필 이 두 산업이 랜섬웨어 공격자들의 높은 관심을 받고 있는지 잘 모르겠습니다만 아마 사용자 혹은 고객들이 많아서가 아닐까 합니다.” 윌러의 설명이다.

디프레이(Defray)라는 랜섬웨어의 경우 의료 산업과 교육 산업에만 공격을 실시하다가 최근에는 기술 기업들만을 노리며 새롭게 등장하기도 했다. 페트야(Petya)의 변종 중 하나인 페트랩(PetrWrap)은 금융 산업만 노리는 것으로 유명하다. 필라델피아(Philadelphia)라는 랜섬웨어어는 의료 산업만을 공격했고, 페트야 공격자들은 한 때 독일 지역을 집중적으로 노리기도 했다. 서펀트(Serpent) 랜섬웨어 공격자들은 네덜란드만을 노리다가 벨기에로 옮겨갔고 크라이시스(Crysis)는 독일 회사들을 집요하게 파고들었다.

크기에 따라 공격 대상을 결정하는 랜섬웨어 공격자들도 있다. “맘바(Mamba)라는 랜섬웨어의 경우는 엔드포인트가 1000개 이상인 대규모 조직들만 노립니다.” 이바노프의 설명이다. 맘바는 지난 해 샌프란시스코 경전철 시스템을 공격한 랜섬웨어다. “이유는 단순합니다. 큰 조직일수록 공격자들에게 돈을 지불할 여유가 있거든요. 그래서 맘바는 현재 중동 지역에서 집중적으로 발견되기도 합니다.”

하지만 모든 랜섬웨어가 표적형 공격 일변도로 변하는 건 아니다. 필라델피아와 페트야의 경우 특정 산업이나 지역만을 노리면서 등장했다가도, 감염 범위가 넓어지자 결국 전략을 ‘글로벌’하게 바꿨다. “감염이 확산되는데 굳이 공격 표적을 좁힐 필요가 없죠. 자연스럽게 피해자들을 넓혀가는 게 수익에 해가 되지는 않을 테니까요.” 윌러의 설명이다.

실제로 필라델피아는 의료 산업만 노리다가 글로벌하게 퍼져나가며 큰 문젯거리가 됐다. 공격자들은 사업 기회를 포착, 필라델피아를 서비스형 랜섬웨어(RaaS)로서 암시장에서 거래하기 시작했다. 페트야도 마찬가지였다. 서비스 사용자가 늘어나면서 두 랜섬웨어는 더욱 빠르게 퍼져나갔다.

표적형 랜섬웨어 공격이나 살포형 랜섬웨어 공격이나 방어 방법은 비슷하다. 주기적으로 백업을 하고, 엔드포인트를 강화하고, 아무 링크나 누르지 않고 아무 문서나 열지 않도록 직원들을 교육시키는 것이다. 이바노프는 2018년에 랜섬웨어 공격은 더 무서워질 것이라고 말한다. “표적형 랜섬웨어 공격들은 앞으로 더 다양한 전략을 등에 업고 기승을 부릴 겁니다. 랜섬웨어에 대한 방비가 더 철저해져야 할 것입니다.”

[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>