[김국배기자] 불특정 다수를 노리던 랜섬웨어(ransomware)가 표적 공격으로 진화하고 있다.
랜섬웨어는 개인 PC·스마트폰에 사용자 허가없이 침입한 뒤 감염된 PC와 스마트폰 내 파일을 암호화 등의 방법으로 사용하지 못하게 하고 금전을 요구하는 악성코드다. 데이터를 볼모로 삼아 흔히 '사이버 인질극'이라 부른다.
10일 사이버 보안업계에 따르면 국내외를 막론하고 하루가 멀다 하고 새로운 종류의 랜섬웨어가 등장하고 있다.
실제로 글로벌 사이버보안업체 시만텍에 따르면 지난해 국내에서 발견된 랜섬웨어 공격은 약 4천440건이다. 매주 85건씩 발견되는 셈이다.
◆병원 노리는 랜섬웨어
일반적으로 랜섬웨어는 스팸 메일이나 보안이 취약한 웹사이트를 통해 무작위로 악성코드를 뿌리고 사용자 파일을 암호화한 후 비트코인을 요구한다.
그러나 최근엔 이런 랜섬웨어 공격이 특정 대상을 겨냥하기 시작했다. 지난 3월에는 미국 대형병원 세 곳이 랜섬웨어 공격에 피해를 입었다. 지난해 말에는 의료기관을 목표로 삼은 '삼삼(SamSam)' 랜섬웨어 공격이 나타났다.
의료기관의 경우 환자의 생명과 직결되는 정보의 중요성과 시급성 때문에 해커들의 협박을 잘 버티지 못해 표적이 되는 것으로 분석된다.
안랩에 따르면 표적화 돼 가는 랜섬웨어는 주로 스피어 피싱(Spear Phishing) 기법을 쓴다.
스피어 피싱은 표적형 악성 메일로 특정인을 대상으로 신뢰할 만한 발신인이 보낸 것처럼 위장한 메일이다. 악성 웹사이트로 유도하거나 악성 첨부파일로 악성코드에 감염시키는 수법을 쓰고있다.
안랩 ASEC대응팀 박태환 팀장은 "올초부터 의료기관을 중심으로 국내외에서 발생하는 랜섬웨어 피해사례가 많이 보고되고 있다"며 "랜섬웨어 협박에 대한 반응률이 여타 산업에 비해 상대적으로 높다는 점을 간파해 주요 표적으로 삼는 것"이라고 분석했다.
◆국내도 표적 공격 머지 않아…'대란' 우려도
국내에서는 아직까지 표적형 랜섬웨어 공격이 발견되진 않았지만 머지 않아 등장할 것이라는 전망이 많다.
특히 국내에 파밍(Pharming) 공격을 일삼아온 중국 해커들이 본격적으로 랜섬웨어 공격에 관여하기 시작할 경우 '랜섬웨어 대란'이 일어날 것이라는 예측도 나온다. 랜섬웨어 공격의 '현지화' 수준이 높아질 수 있기 때문이다.
이 해커 조직들은 유독 국내 온라인뱅킹 사용자들에게 파밍 악성코드를 뿌리는 것으로 보안업계에 알려져 있다. 악성코드 이름 자체가 'KR뱅커(KRBanker)'일 정도다. 글로벌 보안업체 팔로알토네트웍스도 지난 9일 KR뱅커 활동이 급증하고 있다고 밝힌 바 있다.
PC가 파밍 악성코드에 감염되면 정상 인터넷주소(URL)로 금융기관 사이트에 접속해도 가짜 뱅킹 사이트로 연결되며 계좌번호, 비밀번호 등의 입력을 유도하는 방식으로 금융정보를 탈취한다.
하우리 최상명 CERT팀 실장은 "현재의 한글 랜섬웨어는 단순 번역한 수준이라 어색한 부분이 있었지만 중국 파밍 해커들이 손을 대면 완벽한 한글화 작업이 이뤄지고 국내에 집중적으로 유포해 감염율이 훨씬 높아질 것"이라고 예상했다.
/김국배기자 vermeer@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기