‘랜섬웨어(Ransomware)’는 가까운 지인들 중 한
명씩은 피해자가 있을 정도로 빈번하게 발생하고 있는 보안 위협이다. 따라서 지난 2016년 최악의
악성코드 1위를 꼽으라면 누구나 랜섬웨어를 떠올리기 쉽다. 그런데 실제로 지난 한해 동안 가장 많이
발생했던 보안 위협 피해 사례의 주범은 따로 있었다. 안랩의 악성코드 진단명을 기준으로 최근 1년 간
가장 위협적이었던 보안 위협 Top 3를 알아본다.
안랩 시큐리티대응센터(AhnLab Security Emergency response Center,
ASEC)가 악성코드 감염 피해 신고를 자사 악성코드 진단명을 기준으로 분석한 결과, 2016년 가장
빈번하게 탐지된 악성코드 3종은 뱅킹 악성코드, 랜섬웨어, 봇이다. 단, 직접적으로 악성 행위를
수행하는 것으로 보기 어려운 불필요한 프로그램(Potentially Unwanted Program)과
애드웨어(Adware)류의 악성코드는 제외했다.
[그림 1] 2016년 악성코드 Top 3
(안랩 악성코드 진단명 기준)
No 1. 뱅키(Banki) 악성코드
매우 근소한 차이로 뱅킹 악성코드(Trojan/Win32.Banki)가 랜섬웨어를 누르고 1위를
차지했다. 뱅키(Banki)류로 분류되는 뱅킹 관련 악성코드는 금융 정보를 탈취하는 악성코드로,
Trojan/Win32.Banbra, Trojan/Win32.Banki,
Trojan/Win32.Banker 등의 진단명으로 탐지 및 분류되는 악성코드들이다.
랜섬웨어 보다 뱅킹 악성코드가 1위를 차지했다는 것이 다소 의아하게 느껴질 수도 있다. 랜섬웨어는
지난 한 해 동안 언론 보도를 통해 워낙 많이 언급되기도 했고, 실제로 많은 피해를 입혔기 때문이다.
또 랜섬웨어에 비해 뱅킹 악성코드는 사용자가 감염 또는 피해 여부를 즉각적으로 알아차리기 어렵기
때문에 체감상 상대적으로 피해가 덜한 것으로 느낄 수 있다. 그러나 뱅킹 악성코드는 10여년간 꾸준히
유포되며 지속적으로 피해를 야기하고 있다.
뱅킹 악성코드는 2003년 온라인 게임핵 악성코드에서 시작된 것으로, 초기에는 게임 계정이나 상품권
계정을 탈취할 목적으로 제작됐다. 현재는 타깃 범위가 은행 등 금융 정보 탈취까지 확대되었고, 이
과정에서 안티바이러스(백신) 등 보안 솔루션 우회 및 무력화, 루트킷, 메모리 해킹 등 기술적으로도
많은 발전이 이루어졌다.
No 2. 어차피 최악은 랜섬웨어
비록 2위를 차지했지만, 랜섬웨어가 영향력면에서 지난 해 최악의 악성코드임에는 틀림없다. 1위를
차지한 뱅킹 악성코드와의 차이도 크지 않을 뿐만 아니라 실제 ASEC에 신고된 피해 및 문의 건수로는
랜섬웨어가 1위를 차지해 가히 명실공히 최악의 보안 위협이라 할만 하다.
지난 해 주로 탐지 및 분류된 랜섬웨어 진단명으로는 Trojan/Win32.Cerber,
Trojan/Win32.Crypt, Trojan/Win32.Cryptolocker,
Trojan/Win32.CryptXXX, Trojan/Win32.locky 등이 있다. 주로 스팸
메일, 익스플로잇킷(Exploit Kit), 멀버타이징(Malvertising) 등의 공격 기법을
통해 유포되었고, 공격 대상으로는 개인과 기업을 가리지 않고 피해를 입혔다. 피해 지역 또한
전세계적으로 광범위하다.
[그림 2] 스팸 메일을 통한 랜섬웨어
유포
특히, 지난 2016년에는 랜섬웨어 악성코드의 제작과 유포를 대행해주는 서비스인 RaaS
(Ransomware-as-a-Service)가 본격화되면서 피해가 폭발적으로 증가했다. 2017년에도 랜섬웨어는 지속될 것으로 전망된다.
랜섬웨어 피해를 최소화하기 위해서는 반드시 주요 프로그램 및 OS에 최신 보안 업데이트를 적용하고, 사용 중인 백신(안티바이러스)의 엔진을 최신
버전으로 유지해야 한다. 또 의심스러운 메일의 첨부 파일을 열지 않는 습관과 중요한 데이터는 정기적으로 백업하는 습관이 필요하다.
No 3. 사라지지 않는 봇(Bot)
3위를 차지한 악성코드 진단명은 Trojan/Win32.Betabot이다. 봇(bot) 악성코드류의 진단명에는
Trojan/Win32.Inject, Trojan/Win32.Injector, Dropper/Win32.Betabot 등이 있다. 봇 악성코드의
주요 행위는 안티바이러스 제품의 동작이나 보안 관련 사이트의 접근을 방해하고 봇 기능을 한다.
봇 악성코드가 최다 진단 3위 안에 들만큼 지난 해 자주 발견된 이유는 토렌트를 통한 불법 다운로드로 짐작된다. [그림 3]은 봇 악성코드가
첨부된 파일 리스트로, 이를 통해 실제 감염 경로를 유추할 수 있다. 대부분 인기 영화나 예능 프로그램 이름, 또 호기심을 자극하는 음란물 등의
파일로 위장하여 토렌트 프로그램을 통해 유포되고 있다.
[그림 3] Trojan/Win32.Betabot 파일 목록
토렌트를 통해 불법 공유되는 영화나 드라마, 예능 관련 파일에 악성코드가 첨부되어 유포된 사례는 수년
간 꾸준히 발견되고 있다. 특히 백도어(backdoor) 악성코드가 드롭되어 감염되는 경우, 사용자의
의심을 피하기 위해 실제 영상이 재생되는 파일들도 존재한다. 랜섬웨어 역시 토렌트 사이트를 통해
유포되는 경우가 적지 않다.
악성코드 감염을 예방하기 위해서는 토렌트 등을 통해 불법 공유되는 파일의 이용을 지양하는 것이
바람직하다. 또 파일 다운로드 시 백신의 정밀 검사 기능을 이용해 확인하는 습관이 필요하다.
2016년 악성코드 Top 3로 꼽힌 악성코드는 랜섬웨어를 비롯해 이미 우리에게 잘 알려진
위협들이다. 물론, 지속적으로 다양한 기술을 적용하며 진화하고 있지만 뱅킹 악성코드나 스팸과 같이
10년이 지난 악성코드와 공격 기법이 여전히 유효하다는 것을 알 수 있다. 또한 새로운 악성코드,
새로운 공격 기법이 등장하더라도 기존의 위협들이 사라지는 것은 아니다. 따라서 평소 악성코드 피해를
최소화하고 안전하게 PC를 이용할 수 있도록 사용자들 역시 기본적인 보안 수칙을 챙기는 노력이
필요하다.
[출처 : 안랩(www.ahnlab.com)]