침해사고/위협동향

악성 랜섬웨어 잇단 출몰…1분기만 165% 증가

이유지

[디지털데일리 이유지기자] 사용자 PC에 있는 주요 파일을 암호화한 뒤 이를 풀어주는 대가로 금전을 요구하는 ‘랜섬웨어(Ransomware)’가 다시 기승을 부리고 있다. 이전보다 더욱 정교한 방식의 새로운 랜섬웨어가 출몰하고 있다.

인텔시큐리티가 19일 발표한 최신 ‘맥아피 연구소 위협보고서’에 따르면, 2015년 1분기에 새로운 랜섬웨어가 165%까지 증가했다. 이 기간에는 탐지가 어려운 CTB락커(CTB-Locker) 랜섬웨어와 테슬라크립트라는 새로운 랜섬웨어가 확산됐다. 크립토월(CryptoWall), 토렌트락커(TorrentLocker) 및 밴다코어(BandarChor)의 새로운 버전도 출현했다.

맥아피 연구소는 CTB락커가 확산된 원인으로 보안 소프트웨어를 회피하는 영리한 기술, 고급 이메일 피싱, 그리고 범람하는 사이버 공간 속에 CTB락커 피싱 메시지를 삽입해 비용을 지불하도록 유도하는 ‘연계’ 프로그램 등을 뽑았다.

CTB락커는 인터넷 릴레이 채팅, P2P 네트워크, 뉴스그룹 게시물, 이메일 스팸 등 다양한 방식으로 유포된다. 이메일 수신자의 의심을 최소화하기 위해 높은 수준의 로컬화를 시도한다. 아울러 보안 제품의 감시망을 피하기 위해 다운로더가 집(.zip) 압축 파일에 숨겨지고, 여기에 또 다른 zip 파일이 들어있어 최종적으로 화면보호기 파일로 압축 해제되는 형태로 동작한다. 작성자는 ‘협력’ 프로그램 만들어 시장에 피싱을 빠르게 확산시키며 감염을 유도하고 있다.

이로 인한 피해를 막는 방법으로 맥아피 연구소는 조직과 개인이 인텔시큐리티 피싱 퀴즈(Intel Security Phishing Quiz, https://phishingquiz.mcafee.com/)와 같은 도구 사용 등 피싱 이메일을 사용자가 인지하는 방법을 우선 적용할 것을 제안했다.

이밖에도 1분기에 새로운 어도비 플래시 악성코드 샘플이 317%까지 증가했다. 이같은 증가는 여러 요인에 기인하는 것으로 지적됐다. 어도비 플래시의 광범위하게 사용, 어도비 플래시 패치가 있음에도 적용하지 않는 사용자, 제품의 취약점을 악용할 수 있는 새로운 방법, 어도비 플래시 파일(.swf)을 재생할 수 있는 모바일 기기 수의 급격한 증가, 일부 어도비 플래시 공격 탐지에 대한 어려움 등이다.

연구진은 자바(Java) 아카이브와 마이크로소프트 실버라이트 취약성부터 어도비 플래시 취약성까지 키트 개발자들이 악용할 수 있는 요소들이 꾸준히 변화하고 있다고 전망했다.

42건의 새로운 어도비 플래시 취약성이 미국의 NIST 취약점 데이터베이스(National Vulnerability Database)에 제출됐고 이 취약점이 게시된 날 어도비는 42건의 모든 취약점에 대해 수정을 적용했다.

맥아피 연구소 수석 부사장 빈센트 위퍼(Vincent Weafer)는 “플래시같은 제품의 인기로 인해 잠재적으로 수백만 명의 사용자를 위협할 수 있는 보안 문제를 사전에 적극적으로 식별 및 완화해야 하는 노력도 필요하게 됐다”며, “인텔시큐리티의 보고서는 IT업계가 위협 정보를 공유하는 업계 파트너 및 잠재적 위협을 예방하기 위해 정보에 빠르게 대응하는 기술 제공 업체 등 사이버보안 전문가를 활용해 효과적으로 보안 문제를 해결해나갈 수 있는 방안을 제시한다”고 말했다.

맥아피 연구소는 취약점을 해결하기 위한 공급업체의 노력과 더불어 회사 및 개인 사용자가 최신 보안 패치로 자사 제품을 꾸준히 업데이트할 것을 촉구했다.

2015년 2월에 사이버보안 커뮤니티는 HDD(하드디스크드라이브)와 SSD(솔리드스테이트드라이브)의 펌웨어를 악용하는 이퀘이션그룹(Equation Group)이라는 비밀 조직을 확인했다. 당시 노출된 다시 쓰기 모듈을 평가한 맥아피 연구소는 이 모듈이 이전에 보고된 하드디스크 다시 쓰기 기능 외에도 SSD 펌웨어 다시 쓰기에 사용될 수 있다는 것을 발견했다.

일단 다시 쓰기가 완료되면 HDD 및 SSD 펌웨어는 감염된 시스템이 부팅될 때마다 관련 악성코드를 다시 로드할 수 있고, 해당 악성코드는 드라이브를 다시 포맷하거나 운영체제를 다시 설치하더라도 그대로 시스템에 남게 된다. 감염된 보안 소프트웨어는 드라이브의 숨김 영역에 저장된 관련 악성코드를 발견할 수 없다.

위퍼는 “인텔은 하이브리드 소프트웨어·하드웨어 위협 및 공격에 대해 심각하게 고려하고 있다. 우리는 펌웨어 또는 바이오스(BIOS) 조작 기능을 가진 악성코드의 자가학습된 PoC(proofs of concept)와 실제 사례를 모두 밀접하게 모니터링했으며, 이퀘이션 그룹 펌웨어 공격은 이들 집단 중 가장 정교한 위협의 일부로 평가된다. 지난 사례를 보면 가능성이 높은 표적을 대상으로 악성코드 공격이 이뤄졌기 때문에 기업은 앞으로의 위협에 대해 방어수단을 스스로 준비해 대처해야 한다”고 덧붙였다.

맥아피 연구소는 기업이나 기관들이 악성링크가 포함된 피싱 메시지, 악성코드에 감염된 USB 드라이브 및 CD 등 알려진 초기 공격 경로에서 위협 탐지를 강화해야할 뿐 아니라 데이터 유출을 예방할 수 있는 솔루션을 도입을 고려해야 한다고 권고했다.

이밖에도 2015년 1분기에는 모바일 악성코드가 증가했고 SSL(시큐어소켓레이어) 공격도 지속됐다.

주로 소프트펄스(SoftPulse)라는 단일 애드웨어에 기인했던 PC의 새로운 악성코드 성장이 2014년 4분기에 급증했다 올 1분기에 다시 정상 수준으로 되돌아갔다. 새로운 모바일 악성코드 샘플 수는 2014년 4분기부터 2015년 1분기까지 49% 증가했다. 안드로이드 모바일 악성코드인 ‘주(zoo)’는 1분기 동안 13% 증가했으며, 이제 4억개의 샘플을 갖게 됐다.

SSL 관련 공격은 2014년 4분기 기준 잠시 감소세를 보였지만 지속되고 있다. 이러한 감소는 이전 분기에 악용된 취약성 대부분을 제거했던 SSL 라이브러리 업데이트로 인해 발생했을 가능성이 높다. 쉘쇼크(Shellshock) 공격은 작년 말에 출현한 이후 여전히 꽤 널리 퍼져 있다.

<이유지 기자>yjlee@ddaily.co.kr

이유지
webmaster@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널