Offcanvas

랜섬웨어 / 보안 / 운영체제

"랜섬웨어 공격대상 95%는 윈도우, 2%는 안드로이드" 바이러스 토탈 보고서

2021.10.15 김달훈  |  CIO KR
구글의 자회사인 바이러스 토털(Virus Total)이 랜섬웨어 활동 보고서(Ransomware Activity Report)인 '글로벌 랜섬웨어 현황(Ransomware In a Global Context)'을 발표했다. 

'글로벌 랜섬웨어 현황'은 바이러스 토탈이 첫 번째로 내놓은 랜섬웨어 관련 보고서로, 2020년 1월부터 약 일 년 반 동안 제출된 8,000만 개 이상의 잠재적인 랜섬웨어 관련 샘플을 분석한 결과다.

바이러스 토털의 비센테 디아즈(Vicente Diaz)는 "전 세계 조직의 리더들은 랜섬웨어 위협의 놀라운 증가를 목격하고 있으며 비즈니스에 대한 공격은 만일의 문제가 아니라 시기의 문제일 수 있다는 냉정한 생각을 갖게 한다"라며 구글 블로그를 통해 랜섬웨어의 위험성을 경고했다. 랜섬웨어에 의한 공격과 피해가 '언제 일어날 것인지 시기만 정해지지 않았지, 누구에게나 생길 수 있는 위험'이라는 의미다.


랜섬웨어 샘플 제출이 가장 많은 10개 나라, 이스라엘이 가장 많고 그 뒤가 한국이다. (자료 : Virus Total, Ransomware In a Global Context)

바이러스 토털은 의심스러운 파일이나 인터넷 주소(URL) 등을 사용자가 직접 홈페이지에 업로드하거나 입력하는 방법으로 위험 여부를 분석한다. 이러한 방법으로 140개 나라에서 샘플이 제출되었고, 최소한 130개의 서로 다른 랜섬웨어 제품군이 활동한 것으로 파악됐다. 제출 건수 기준으로 이스라엘, 한국, 베트남, 중국, 싱가포르, 인도, 카자흐스탄, 필리핀, 이란, 영국 순으로 영향을 받은 것으로 나타났다.

샘플 제출이 가장 많았던 시기는 2022년 1분기와 2분기로, 2020년 1월과 4월에 랜섬웨어 공격이 정점을 찍은 것으로 분석됐다. 또한 2021년 7월에도 다른 기간에 비해 상대적으로 공격이 증가한 양상을 보였다. 2020년 1,2 분기의 공격은 갠드크랩(GandCrab)때문이며, 2021년 7월은 워싱턴 DC 경찰청의 공격 배후로 지목된 바북(Babuk)이라고 바이러스 토털은 밝혔다.

2020년과 2021년 상반기에 활동한 130개의 랜섬웨어 패밀리(Family) 3만 개의 멀웨어 클러스터로 그룹화되었고, 6,000개의 클러스터가 있는 갠드크랩이 가장 활동적인 랜섬웨어로 밝혀졌다. 갠드크랩 뒤를 이어 바북(Babuk), 케르베르(Cerber), 마츠누(Matsnu), 콩구르(Congur), 록키(Locky), 테슬라크립트(Teslacrypt), 알코(Rkor), 레비온(Reveon) 순으로 샘플 제출량이 많았다.

보고서는 "보안 업계에서 사용하는 다양한 명명 규칙을 고려할 때 식별은 간단한 작업이 아니다. 분석을 위해 선택한 샘플 세트는 유사성에 따라 서로 다른 클러스터로 그룹화할 수 있고, 클러스터는 유사해 보이기 때문에 함께 그룹화된 멀웨어 집합이다. 커뮤티티가 특정 시점에 직면한 개별 랜섬웨어 공격 수를 이해하는 한 가지 방법은 랜섬웨어 유사성 클러스터를 타임라인에 표시하는 것이다'라고 밝혔다.

이어 "분석 기간 동안 지속적으로 존재하는 1,000~2,000개의 처음 본 랜섬웨어 클러스터의 기준선이 있다는 점은 주목할 가치가 있다. 규모가 큰 랜섬웨어 공격이 왔다가 사라지는 것을 반복하지만, 약 100개에 달하는 랜섬웨어 패밀리는 오랜 기간 사라지지 않고 반복해서 활동하는 것을 주목해야 한다. 봇넷 맬웨어와 원격 액세스 트로이 목마(RAT;Remote Access Trojans) 등 다양한 방법으로 랜섬웨어를 퍼뜨리고 있다"라고 밝혔다.

특히 랜섬웨어로 탐지된 파일의 95%는 윈도우 운영체제에서 동작하는 실행 파일(.exe)과 동적 라이브러리 파일(.dll)이었다는 눈여겨볼 필요가 있다. 랜섬웨어의 2%는 안드로이드 기반의 맬웨어 형태로 사용자를 공격하고 있는 것으로 조사됐다.

이러한 랜섬웨어 분석을 통해 랜섬웨어로부터 안전하려면 ▶ 봇넷이나 RAT 탐지 강화 ▶ 모든 SMB 및 윈도 권한 취약점에 기반한 패치 전략의 우선순위 확인 ▶ 내부 모니터링 및 스크립팅 언어 사용 강화 ▶ 새로운 랜섬웨어 정기적인 모니터링과 탐지 기술이 마련되었는지 확인 ▶ 탐지에 실패할 경우를 대비한 복원 및 복구 전략 수립이 필요하다고 보고서는 권고했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.