[아이뉴스24 김국배기자] 랜섬웨어 공격의 90% 가까이를 워너크라이(WannaCry)와 케르베르(Cerber) 단 두 가지 유형이 차지하고 있다는 분석이 나왔다.
150개국 1억명 이상의 사용자를 확보하고 있는 글로벌 보안업체 소포스(Sophos)가 지난 4월 1일부터 10월 3일까지 6개월간 전 세계 자사 고객 컴퓨터를 분석한 결과 지난 5월 등장한 워너크라이가 랜섬웨어 가운데 가장 많이 발견됐다.
워너크라이 랜섬웨어 비중은 45.3%로 케르베르(44.2%)를 제쳤다. 작년 초 처음 발견된 케르베르는 오랜 기간 가장 비중이 컸던 랜섬웨어다. 두 개 랜섬웨어를 합친 비중은 89.5%에 달한다.
김봉근 소포스 한국지사장은 "워너크라이의 급속한 확산으로 우리는 웜(Warm)과 유사한 특성을 지닌 랜섬웨어를 처음 보게 됐다"며 "고객들이 보안을 유지하면서 워너크라이가 점차 줄어들고 있긴 하지만 컴퓨터를 계속 스캐닝하고 공격하는 본래 성질 때문에 위협은 여전히 남아있다"고 말했다.
이어 "사이버 공격은 워너크라이와 낫페트야에서 볼 수 있는 복제 방식으로 지속될 것"이라며 "이는 낫페트야와 많은 유사점을 보여주는 배드래빗 랜섬웨어를 통해 여실히 알 수 있다"고 덧붙였다.
올 6월 발견된 낫페트야의 경우 여전히 확산 동기가 명확치 않다고 소포스 측은 분석했다. 사이버 범죄자가 실험을 하고 있거나 금전을 요구하는 랜섬웨어와 달리 시스템 파괴가 목표였던 것으로 의심하고 있다. 실제로 피해자가 공격자에게 연락하기 위한 공격자의 이메일 계정이 작동하지 않아 피해자가 데이터를 해독하고 복구할 수 없었다.
정상 경로로 접속할 수 없는 사이트인 '다크웹'에서 랜섬웨어 키트로 판매되는 케르베르는 심각한 위협이다. 케르베르 제작자는 코드를 지속적으로 업데이트하고 '중간상(middle-men)'으로 불리는 공격자가 희생자로부터 받는 몸값의 일정 비율을 청구한다.
소포스 측은 "다크웹 비즈니스 모델은 합법적인 회사와 유사한 방식으로 작동하며 케르베르의 지속적인 개발에 자금을 지원할 가능성이 있다"며 "이익금은 이 악성코드를 유지하는 동기를 부여하고 있다"고 추정했다.
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기