[디지털데일리 최민지 기자] 지난 3월 아시아태평양 지역 내 기업체 대상 랜섬웨어 공격이 급증한 것으로 드러났다. 국내도 안전지대는 아니었다. 3월 국내 기업체 대상 랜섬웨어 공격은 지난해 10월 대비 22배 증가한 것이다.

파이어아이(www.fireeye.kr 지사장 전수홍)는 최근 아태지역 랜섬웨어 공격 트렌드를 26일 발표했다. 파이어아이에 따르면 실제로 일본 기업을 대상으로 한 랜섬웨어 공격의 경우, 지난해 10월 대비 올해 3월 약 3600배 증가했으며, 같은 기간 홍콩에서는 약 1600배 늘었다.

파이어아이 동적 위협 인텔리전스의 데이터에 따르면 랜섬웨어 공격은 지난해 중반부터 지속 증가하기 시작해 올해 3월 급격한 증가세를 기록했다. 파이어아이 연구원들은 록키(Locky) 랜섬웨어가 50개국에 걸쳐 전방위적으로 이메일 스팸 공격을 시도함에 따라, 현저한 증가세를 보였다고 밝혔다.

이메일을 통한 랜섬웨어 공격은 주로 인보이스 혹은 사진을 송부하는 메일로 가장하지만 피해자들이 첨부 파일을 여는 순간 랜섬웨어 감염으로 이어지는 형태를 보인다.

또한, 랜섬웨어 공격자들은 의료기관을 목표로 하고 있다. 헬스케어 분야는 고객의 의료정보 등 주요 데이터를 보유하고 있지만 사이버 보안에 대해 많은 투자를 하지 않고 있어 취약점이 존재하기 때문이다.

지난 2월 차병원 그룹 소유의 미국 로스앤젤레스 소재 할리우드 장로병원(HPMC) 랜섬웨어 공격을 받아 병원 내 파일을 암호화하고 데이터에 대한 몸값을 요구한 공격자에게 1만7000달러(한화 약 2000만원)을 지불했다.

독일 소재 루카스 병원과 클리니쿰 아른스베르크 병원, 미 메릴랜드 주의 유니온 메모리얼 병원 및 워싱턴의 메드스타 병원 등도 랜섬웨어로 인해 데이터가 암호화가 됐으며, 복호화 키의 대가로 각 45비트코인, 1만8500달러(한화 약 2200만원) 상당의 몸값을 요구 받았다.

3월의 랜섬웨어 공격 급증에 대해 파이어아이는 공격자들이 언론에 보도되는 것에 희열을 느껴 최근의 언론의 보도가 다른 사이버 범죄자들의 공격을 촉진했을 가능성이 있다고 분석했다. 페트야(Petya) 랜섬웨어는 몸값 지불 페이지에 최근 보도된 기사들의 링크들을 포함시킨 바 있다.

또한, 공격자는 노력에 비해 상대적으로 높은 이익을 챙길 수 있다는 점에서 랜섬웨어 공격에 주목하고 있다. 지난해 소규모 랜섬웨어 공격을 통해 공격자들은 7만5000달러(한화 약 9000만원)의 부당 이익을 챙겼다. 크립토월(CryptoWall)과 같은 대중화된 랜섬웨어의 성공은 일종의 청사진으로 작용하고 있다는 것.

미 인터넷범죄신고센터(IC3)에 따르면, 2014년 4월부터 2015년 6월 사이 크립토월로 인해 피해자들이 입은 재정적 손해 규모는 1800만달러(한화 약 214억5000만원)을 넘어선다..

또, 서비스형 랜섬웨어(RaaS) 모델을 적용한 새로운 랜섬웨어 변종이 등장하면서 랜섬웨어 감염사례가 증가하고 있다. 크립토월, 토렌트락커(TorrentLocker)는 다수의 최근 침해 사례에서 파일 암호화 역량 혹은 위장 기능에서 한층 업그레이드된 정황이 포착됐다. 기존 랜섬웨어 변종들은 계속해서 악성코드로서의 기능, 암호화 기술 그리고 방어 솔루션 대응 기능 등을 업그레이드하고 있는 것이다.

대표적 변종 랜섬웨어는 ▲몸값을 지불하지 않을 때 데이터를 공개하겠다고 협박하는 ‘키메라’ ▲리눅스와 맥OS 간 상호 호환성 및 패키징이 가능한 ‘랜섬 32’ ▲데스크톱·터미널 서비스를 악용하는 ‘로우레벨04’ ▲리눅스 웹 기반 서버들을 목표로 하는 변종 ‘리눅스엔코더1’ 등이 있다.

전수홍 파이어아이코리아 지사장은 “국내 랜섬웨어 증가세는 다른 아태지역 국가에 비해 상대적으로 낮지만, 한국 역시 동일한 증가세를 기록하는 것은 시간문제”라며 “랜섬웨어 공격이 지난해 10월부터 올해 3월 사이 3600배 증가한 일본의 경우가 국내 상황의 전조가 될 것”이라고 말했다.

이어 “특히 기업체를 대상으로 한 공격이 급증함에 따라 국내 기업, 특히 헬스케어 기관들은 사이버 보안에 대한 적극적인 투자 노력이 필요하다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr