라이센스뉴스 = 황지원 기자 | 보안 전문 기업 이스트시큐리티(대표 정상원)는 자사의 백신 프로그램 ‘알약’을 통해, 2021년 1분기 총 15만4887건의 랜섬웨어 공격을 차단했다고 9일 밝혔다.

통계에 따르면 2021년 1분기 알약을 통해 차단된 랜섬웨어 공격은 ▲총 15만4887건으로, 이를 일간 기준으로 환산하면 일평균 ▲약 1720건의 랜섬웨어 공격이 차단된 것으로 볼 수 있다.

이번 통계는 개인 사용자를 대상으로 무료 제공하는 공개용 알약의 ‘랜섬웨어 행위기반 사전 차단 기능’을 통해 차단된 공격만을 집계한 결과로, 패턴 기반 공격까지 포함하면 전체 공격은 더욱 많을 것으로 추정된다.

다만, 1분기 총 랜섬웨어 공격수는 지난해 4분기 대비 감소한 것으로 집계되었으며, 랜섬웨어가 기승을 부리기 시작한 2019년부터 현재까지 약 2년간의 공격 추이도 전반적으로 감소하는 추세를 보였다.

이스트시큐리티 대응센터(이하 ESRC)에 따르면, 2021년 1분기에는 이메일 내 입사 지원서, 이력서, 포트폴리오 등으로 위장한 첨부파일로 유포되는 마콥(Makop) 랜섬웨어 위협이 지속되었다.

또한, 랜섬머니 지불을 강요하기 위한 목적의 디도스(DDoS) 공격과 언론인 및 피해자의 사업 파트너에게 음성 전화를 시도하는 등 새로운 전략을 추가한 소디노키비(Sodinokibi) 랜섬웨어 공격이 새롭게 등장했다.

더불어 ESRC는 1분기 주목할만한 보안 위협으로, 3월에 등장한 디어크라이(DearCry), 블랙킹덤(Black Kingdom) 랜섬웨어를 먼저 꼽았다.

이 랜섬웨어는 3월 초부터 이슈가 된 Microsoft Exchange서버의 ‘ProxyLogon’ 취약점(CVE-2021-26855)을 악용해, 미국, 캐나다, 영국, 독일, 호주 등 전 세계 다양한 국가를 타깃으로 공격을 감행하고 있다.

이 밖에도 ▲도플페이머(Doppelpaymer) 랜섬웨어 그룹의 현대기아자동차의 기업 내부 자료 다크웹 공개 사건, ▲비너스락커 조직의 RaaS 형태의 마콥(Makop) 랜섬웨어 공격 지속이 대두되었다.

또한 ▲국제 수사 기관 공조 성과에 따른 지기(Ziggy) 랜섬웨어 운영자의 운영 중단 선언, ▲기업용 랜섬웨어인 바북 라커(Babuk Locker)의 등장, 웜 기능을 갖춘 류크(Ryuk) 랜섬웨어 변종 발견 등을 1분기 주요 이슈로 선정했다.

지난 1분기에는 도플페이머 랜섬웨어 그룹이 운영하는 다크웹 사이트에서는 실제로 현대차와 현대글로비스 등 계열사 데이터가 대거 발견되었고, 이 데이터에는 제네시스 자동차 도면, 기업 재무 자료, 내부 직원 아웃룩 이메일 백업 파일 등의 포함된 것으로 알려졌다.

아울러 국제 수사 기관의 공조로 넷워커(Netwalker) 등의 랜섬웨어가 무력화되었으며, 이로 인해 지기 랜섬웨어 운영자들이 스스로 운영을 중단하겠다 선언하고 피해자들에게 복호화 키를 공개하기도 하였다.

또한, 처음으로 발견된 기업용 랜섬웨어 바북 라커는 피해자에 따라 고유 확장자, 랜섬노트, 토르(Tor) URL 등을 다르게 지정하고 안전한 암호화 알고리즘을 사용해 파일 복구를 방지하는 고도화된 수법을 사용하였다.

류크 랜섬웨어 변종은 웜 기능을 통해 피해자의 로컬 네트워크 내에 있는 다른 장치로 감염을 확산하는 특징을 가진 것으로 분석되었다.