이스트시큐리티, 랜섬웨어 4만3645건 차단…"변종도 대거 등장"

(사진=이스트시큐리티)

[이데일리 김가은 기자] 랜섬웨어 공격이 기하급수적으로 증가하고 있다. 특히 암호화 속도가 2배 가량 빨라진 것은 물론, 모든 운영체제(OS)를 감염시키는 변종도 발견됐다. 중소기업만 노리는 공격 활동도 급증했다.

5일 이스트시큐리티는 백신 프로그램 알약에 탑재된 ‘랜섬웨어 행위기반 사전 차단’ 기능을 통해 지난 2분기 총 4만3645건에 달하는 공격을 차단했다고 밝혔다. 일 평균 485건의 공격을 차단했다는 의미다.

이스트시큐리티는 주요 랜섬웨어 동향으로 △바북(babuk) 랜섬웨어 소스코드를 이용한 랜섬웨어 변종의 대거 등장 △암호화 속도가 가장 빠른 로르샤흐(Rorschach) 랜섬웨어 등장 △윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 랜섬웨어 △랜섬웨어 공격방식의 지속적 진화 △중소기업만 노리는 랜섬웨어 에잇베이스(8base) 활동 급증을 꼽았다.

바북록커 랜섬웨어는 지난 2021년 1월 처음 등장한 기업용 랜섬웨어다. 피해자에 따라 고유 확장자, 랜섬노트, 토르 인터넷주소(URL) 등을 달리 했을 뿐만 아니라, 이중 갈취 전략을 통해 활발한 활동을 이어 나갔다.

그러던 중 2021년 6월 말 바북록커 랜섬웨어 빌더가 온라인에 유출됐다. 이유는 밝혀지지 않았다. 이후 지난해 하반기와 올해 상반기, 바북록커 소스코드를 이용해 제작된 랜섬웨어 변종들이 대거 발견됐다. 올해 4월에 처음 발견된 RA 그룹 랜섬웨어 역시 바북록커에서 유출된 코드를 활용하여 제작됐다.

또 로르샤흐라는 이름의 새로운 랜섬웨어가 발견되었다. 지금까지 발견된 랜섬웨어들 중 록빗3.0(Lockbit 3.0) 랜섬웨어가 암호화 속도가 가장 빨랐다. 로르샤흐는 암호화 속도가 이보다 약 2배 더 빠르다.

윈도우, 리눅스 및 맥OS를 모두 감염시킬 수 있는 새로운 랜섬웨어도 발견됐다. 새로 발견된 사이클롭스(Cyclops) 공격 그룹은 서비스형 랜섬웨어(RaaS)를 통해 윈도우, 리눅스 및 맥OS를 모두 감염시킨다. 사이클롭스 랜섬웨어의 암호화 알고리즘 및 문자열 난독화 기술은 바북 랜섬웨어와 록빗 랜섬웨어와 유사하다. 이에 두 랜섬웨어와의 연관성이 있다고 추측되고 있다.

중소기업만 노리는 랜섬웨어인 에잇베이스(8base) 활동 또한 급증했다. 에잇베이스 랜섬웨어는 지난해 3월 처음 등장했지만 활발한 활동을 하지 않았다. 이 랜섬웨어는 주로 보안이 취약한 중소기업들을 공격 대상으로 삼으며 올해 4~5월까지는 소수의 공격만 진행했다. 그러나 6월부터 활동이 급증했으며, 현재까지 이미 80개가 넘는 조직이 해당 랜섬웨어에 공격을 당한 것으로 확인되었다.

이스트시큐리티 관계자는 “랜섬웨어 감염으로 인한 국내 사용자 피해를 미연에 방지하기 위해 한국인터넷진흥원(KISA)과의 긴밀한 협력을 통해 랜섬웨어 정보 수집과 유기적 대응 협력을 진행하고 있다”고 말했다.