[보안 따라잡기]2분기 랜섬웨어 공격 줄었다…코로나·재택근무 노린 공격 ‘여전’

자료=이스트시큐리티 제공

[이데일리 이후섭 기자] 올해 2분기 랜섬웨어 공격은 1분기에 비해 다소 줄어든 것으로 나타났다. 코로나19 사태가 장기화되면서 해당 이슈를 노린 랜섬웨어 공격이 지속적으로 감소하고 있으나, 여전히 기승을 부리는 것으로 확인됐다.

25일 보안 전문기업 이스트시큐리티에 따르면 올 2분기 백신 프로그램 `알약`을 통해 총 16만3933건의 랜섬웨어 공격을 차단했다. 이는 지난 1분기 18만5105건에서 11.4% 감소한 수치로, 일평균 차단 공격건수도 1분기 2057건에서 2분기 1822건으로 줄었다. 월별로 살펴보면 지난 1월(6만6175건)과 3월(6만2090건)에 6만건을 넘겼던 것이 4월 5만8739건에서 6월 5만2770건으로 꾸준히 감소하는 추세를 보였다.

이스트시큐리티 대응센터(ESRC)는 2분기 주요 랜섬웨어 동향으로, △비너스락커 조직이 유포하는 `넴티(Nemty)`&`마콥(Makop)` 공격 지속 △코로나19 이슈 노린 공격 지속 △재택근무 확산에 따른 원격 연결 수요가 증가함에 따라 이를 노린 리모트 데스크톱 프로토콜(RDP) 취약점 악용 공격 활발 등을 꼽았다.

국내에서의 다양한 사회적 이슈를 활용해 한글로 작성된 악성 이메일을 보내고, 사용자가 랜섬웨어 이메일 첨부파일을 열어보도록 유도하는 넴티 랜섬웨어와 마콥 랜섬웨어가 맹위를 떨쳤다. 또 주요 랜섬웨어 공격 중 하나인 소디노키비(Sodinokibi)는 추적을 회피하기 위해 랜섬머니 결제수단을 기존 비트코인에서 익명성이 강한 모네로(Monero)로 변경하고 꾸준히 공격 활동을 전개하고 있는 것이 확인됐다.

ESRC는 “코로나19 이슈를 노린 공격 역시 총 공격수는 지난 1분기와 비교해 감소 중이나 `Filecoder_CoronaRansom`, `Corona Virus ScreenLocker` 등의 키워드를 활용한 랜섬웨어가 여전히 유포되고 있어 안심할 수 없는 상황”이라고 진단했다.

지난 5월에는 국내 웹호스팅 업체가 랜섬웨어 공격을 받아 웹호스팅 서버 일부가 감염되는 침해사고가 발생하기도 했다. 업체는 공격 사실을 확인하고 한국인터넷진흥원과 사이버수사대에 즉시 신고한 뒤 고객들에게 공지를 통해 대응 현황을 공유했다. 리눅스 웹호스팅 서버 40여대가 감염되고 고객 홈페이지 일부가 정상 구동되지 않는 불편이 발생됐으나, 백업해둔 자료 덕분에 별다른 피해는 없는 것으로 알려졌다.

또 코로나19로 재택근무가 확산되면서 재택근무에 사용하는 도구 자체에서 발생하는 취약점이 새로운 위협원으로 부상했다. 특히 화상회의 플랫폼 `줌(Zoom)`에서 해커에 의해 계정 정보 53만건이 유출되는 사건이 발생했고, 화상 수업 등에 해커들이 무단 침입하는 등 `줌 폭격(Zoom-bombing)`이 세계 각지에서 이어지면서 보안과 프라이버시 침해 우려로 줌 사용을 완전히 중단하기도 했다. 줌은 보안 강화 계획을 밝히고 줌 5.0 버전을 선보이는 등 보안 이슈 극복에 공을 들이고 있다.

문종현 ESRC 센터장은 “2분기 유포된 랜섬웨어 중 비너스락커 조직이 넴티, 마콥 랜섬웨어 등을 활용해 활발히 활동 중인 정황이 수십 차례 포착된 바 있다”며 “ESRC에서 선정한 주요 동향 외 해외에서 기업, 의료 기관, 산업 시스템을 주로 노렸던 대규모의 랜섬웨어 캠페인의 경우, 국내에서는 아직 피해사례가 확인되지 않았으나 미리 대비할 필요가 있다”고 당부했다.

랜섬웨어는 대부분 이메일로 유포되고 있지만, 재택근무 환경을 노린 공격이 꾸준히 이어지고 있어 기업 내부망으로 접속하는 임직원들의 재택근무 단말기에 대한 운영체제(OS)·소프트웨어(SW) 보안업데이트 점검은 물론 RDP 취약점을 활용하는 유포 사례에 대한 보안인식 교육도 병행돼야 한다는 조언이다.