[아이뉴스24 김혜경 기자] 올해 2분기 랜섬웨어 탐지 동향의 특징은 '워너프렌드미(WannaFriendMe)' 등 신종 랜섬웨어의 등장과 국내 차단 건수가 지난달 현저히 줄었다는 점이다. 이 같은 현상은 이례적이라는 평가다. 신‧변종 랜섬웨어는 지난 분기 대비 줄었지만 기존 알려진 랜섬웨어 탐지 수치는 큰 변화가 없어 위협은 여전히 높다는 분석이다.
19일 이스트시큐리티 등에 따르면 지난달 초 '워너프렌드미'라는 새로운 랜섬웨어가 등장했다. 류크(.Ryuk) 확장자를 이용했으며, 카오스(Chaos) 랜섬웨어의 변종에 가까운 것으로 알려졌다.
'로블록스(Roblox)'라는 특정 게임 생태계 내에서 복호화(암호 해독) 툴을 판매하고, 로벅스(Robux) 코인으로 몸값 지불을 유도한 것이 특징이다. 구체적인 피해 사례와 피해 규모는 아직 알려지지 않았다. 해당 랜섬웨어 제작자는 왜 유명 게임 플랫폼에서 복호화 키를 거래하고, 비트코인이나 이더리움 등으로 몸값을 받지 않을까.
로블록스 이용자가 호기심 차원에서 랜섬웨어를 제작했을 가능성이 높다는 것이 전문가 의견이다. 시큐리티대응센터(ESRC) 센터장 문종현 이사는 "악성 프로그램 실행 속도가 빠르고 이미 알려진 류크 랜섬웨어처럼 위장했지만 해당 랜섬웨어 제작자는 치밀하지는 못한 것으로 보인다"며 "애플 아이클라우드 계정을 사용한다는 점을 외부에 노출했고 랜섬웨어 제작에 C# 프로그래밍 언어를 사용했다는 점에서 로블록스 유저가 재미로 제작해 유포했을 것으로 추정된다"고 설명했다.
일반적으로 랜섬웨어 제작자나 유포자들은 수사기관이 추적하기 어려운 이메일 계정을 사용한다. 워너프렌드미 제작자는 랜섬웨어 감염 후 남긴 메시지를 통해 1700개의 로벅스와 자신의 아이클라우드 계정 이메일로 연락할 것을 요구했다. 현재 복호화 툴은 삭제된 상태다.
문 이사는 "해킹 포럼에서 카오스 랜섬웨어 제작 도구를 가져와 만든 상대적으로 낮은 수준의 랜섬웨어로 분석된다"며 "다만 일반적인 랜섬웨어 기능 내포됐으므로 위험성은 여전히 존재한다"고 말했다.
ESRC에 따르면 4월부터 지난달 30일까지 백신 프로그램 '알약'에서 차단된 랜섬웨어 공격은 14만8천689건으로, 1분기 대비 2만9천여건 줄었다. 4월과 5월에 탐지된 건수는 각각 6만1천582건, 6만561건으로 집계돼 큰 변화가 없었지만 지난달에는 2만6천546건으로 대폭 감소한 것으로 나타났다.
이번 통계는 공개용 알약 제품의 '랜섬웨어 행위 기반 차단 기능'을 통해 차단된 수치만 집계한 결과다. 지난달부터 랜섬웨어 차단 건수는 감소 추세로 전환했지만 '패턴 기반 탐지' 수치는 큰 변화가 없는 것으로 나타났다. 행위 기반 탐지는 신‧변종 형태의 랜섬웨어를, 패턴 기반은 이미 알려진 형태의 랜섬웨어를 탐지‧분석한다는 점에서 차이가 있다. 즉 6월 기준 신‧변종 공격은 일시적으로 줄었다는 뜻으로 풀이된다.
문 이사는 "공격자가 이미 알려진 랜섬웨어는 지속적으로 유포하고 있지만 신‧변종의 경우 지난달 급감했다는 것"이라며 "이 같은 상황은 이례적인데 국내로 한정해서 봤을 때 공격자들이 새로운 랜섬웨어 유포를 위한 준비 작업을 하고 있을 수도 있으므로 여러 가능성을 열어두고 3분기까지 추세를 지켜봐야 한다"고 말했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기