​
[그림 1] 2018.01 ~ 2019.03 랜섬웨어 통계 (샘플 및 감염 리포트 건수)
　

분기 감염 리포트 증가 원인은 갠드크랩(GandCrab)과 워너크라이(Wannacry)가 2월과 3월에 폭발적으로 증가했기 때문이다. 갠드크랩 샘플 건수를 먼저 알아보면, 지난해 4분기 2만2천건에서 11만1천건으로 무려 399.4% 증가했다. 감염 리포트는 지난해 4분기의 6만여건보다 77% 증가한 10만7천건으로 집계됐다.

​
[그림 2] 2018.10 ~ 2019.03 갠드크랩 샘플 및 감염 리포트 추세

　

이러한 증가 원인으로는 서비스형 랜섬웨어(Ransomware-as-a-Service, RaaS)의 영향으로, 다수의 유포자에 의해 갠드크랩이 집중적으로 유포된 것으로 추정된다. 갠드크랩의 유포 방법을 간략히 살펴보면, 익스플로잇 킷을 이용한 유포 방법을 들 수 있다. 사용자가 취약한 버전의 어도비 플래시를 사용하는 경우로 멀바타이징(Malvertising)을 이용하여 갠드크랩에 감염되도록 유도한다. 또 다른 방법은 고전적인 수법인 악성 스팸메일을 이용하는 것이다. 메일 첨부파일명이 ‘이력서’를 가장하거나 경찰을 사칭하는 ‘소환장’ 또는 ‘알리미’ 같은 파일명을 이용하는 것이 대부분의 사례이다. 사용자의 실행을 유도하는 이러한 첨부 문서파일 내부에는 악의적인 매크로가 포함되어 있으며, 문서를 열어보면 매크로에 의해 갠드크랩이 다운로드 및 실행된다.

이와 함께 샘플 건수와 감염 리포트가 동시에 증가한 랜섬웨어도 있다. 바로 파라다이스(Paradise)와 워너크라이(Wannacry)다. 파라다이스 랜섬웨어는 2019년 1분기 새롭게 등장한 것은 아니며, 기존에도 이미 알려진 랜섬웨어다. 이 랜섬웨어는 어도비 플래시 버전의 취약점(CVE-2018-4878)을 악용하는 폴아웃 익스플로잇 킷(Fallout EK)으로부터 웹을 통해 유입된다. 참고로 해당 공격을 수행하는 공격자는 원래 갠드크랩을 유포하였으나 3월부터는 파라다이스 랜섬웨어로 변경하여 배포하는 것으로 보인다.

감염 리포트 건수가 폭발적으로 증가한 워너크라이 랜섬웨어 경우 샘플 건수는 2만건에서 4만5천건으로 지난해 4분기에 비해 117.2% 증가했다. 또한 감염 리포트는 560건에서 3만8천건으로 무려 6,656.6% 증가한 것으로 나타났다.

​
[그림 3] 2018.01 ~ 2019.03 워너크라이 샘플 및 감염 리포트 추세
　

공교롭게도 올해 1분기 워너크라이에서 악용된 SMB 취약점(MS17-010)을 이용한 공격 시도가 국내에 확산되었다. 특히 트릭스터(Trickster)라고 명명된 악성코드는 해당 취약점을 악용하여 암호화폐를 채굴하는 ‘코인마이너’ 악성코드를 설치했다. 해당 취약점이 공개된 지 2년이 지났지만 아직도 이를 타깃으로 한 공격 시도가 많다는 것은, 패치가 적용되지 않아 위협에 노출된 시스템이 여전히 많다는 것을 간접적으로 보여주고 있다.

1분기 주목할 만한 신규 랜섬웨어로는 클롭 랜섬웨어(Clop Ransomware)를 꼽을 수 있다. 이 랜섬웨어는 올해 2월 국내에 첫 피해 사례가 보고되었다. 기업 사용자를 대상으로 감염 보고가 있었으며 공격 방식은 스피어피싱(Spear phishing) 메일을 이용해 액티브 디렉토리(Active Directory) 환경의 관리자 계정을 확보했다. 이후 관리가 취약한 액티브 디렉토리 환경 내부로 랜섬웨어를 유포했다. 클롭 랜섬웨어는 개인 사용자보다는 기업 환경을 노리는 타깃형 랜섬웨어다.

다음은 2019년 1분기 랜섬웨어 샘플 수량에 대한 Top10 비율이다.

​
[그림 4] 2018년 랜섬웨어 Top 10 샘플 비율
　

[그림 4]에서 확인할 수 있듯이 갠드크랩 랜섬웨어가 무려 66%의 비율로 1분기에도 최악의 랜섬웨어로 확인되었다. 마치 지난해 4분기에 제대로 감염 활동을 하지 못한 것에 대한 공격자의 보상심리가 작용된 듯이 샘플 건수와 감염 리포트 건수가 크게 증가 했다. 파일리스(Fileless) 형태로 은밀하게 활동하는 대표적인 랜섬웨어인 매그니베르(Magniber)와 선(Seon)도 지난해 4분기에 이어 올해도 여전히 피해를 입히는 것으로 해당 랜섬웨어들은 이번 분기에는 월 평균 각각 8천5백건, 4천3백건 정도의 행위 차단 이력이 확인 되었기 때문이다. 두 랜섬웨어의 유입 경로와 악용된 취약점은 다음과 같다.

​[표 1] 매그니베르와 선 랜섬웨어 유입 경로와 악용된 취약점

2019년 1분기 마이너 악성코드 통계

2019년 1분기 마이너 악성코드 샘플 건수는 108만4천건으로, 2018년 4분기 71만7천건 대비 51% 증가했다. 반면, 전년 동기와 비교해보면 18% 감소했다. 2018년 1분기에는 2017년 말부터 갑작스러운 암호화폐 가치 상승 영향으로 샘플도 비례하여 증가했다. 그러나 유독 2018년 12월과 2019년 1월만 샘플 건수가 급격히 증가한 원인은 명확히 확인되지 않았다. 감염 리포트 건수도 비례하여 증가했다면 샘플의 확산과 유포 방법이 다양해지고 있는 것으로 추정할 수 있다. 그러나 급격히 증가한 샘플 건수와 달리 감염 리포트 건수는 현저히 낮은 것으로 확인되었다.

2019년 1분기의 감염 리포트는 19만8천건으로 지난해 4분기의 62만9천건보다 68% 감소했다. 또한 지난해 동기와 비교 해보면 무려 77% 감소했다. 샘플 건수 대비 감염 리포트 건수가 적은 원인은 몇 가지로 추정할 수 있다. 먼저, 확산과 유포에 있어 선제적 대응이 잘 된 것일 수도 있다. 또 하나는 마이너 악성코드에서만 볼 수 있는 현상으로 암호화폐 가치 하락이 영향을 미친 것으로 보인다.

​
[그림 5] 마이너 악성코드 샘플 수량, 감염 리포트 수량 vs 비트코인 가격 (2018.01 ~ 2019.03)
　

현재 채굴 산업과 암호화폐 시장은 다소 침체되어 있지만 당장 마이너 악성코드가 움츠려 들지는 않을 것으로 보인다. 마이너 악성코드 제작자들은 확산과 유포 방법 그리고 그 대상을 새롭게 발전시키고 있다. 실제로 2019년 1분기에는 2년전에 알려진 윈도우 SMB 취약점(MS17-010)을 이용한 공격이 확산되었다. 이 공격은 개인 사용자보다는 기업을 타깃으로 진행됐다.

랜섬웨어와 마이너를 비롯한 다양한 악성코드들의 유입 경로로 매번 1위를 놓치지 않는 것이 바로 취약점이다. 취약점을 악용하면 사용자와의 별다른 상호작용 없이 사용자 시스템에 악성코드를 감염시킬 수 있다. 2년이 지난 취약점을 악용한 랜섬웨어가 기승을 부리고 여기에 더해 작년에 알려진 비교적 얼마 지나지 않는 취약점을 악용한 랜섬웨어들도 활개를 치고 있다. 보안 제품들이 보안 패치 관리를 해주고 악성코드를 검사하고 차단 할 수는 있지만 랜섬웨어에 의해서 이미 암호화된 자료는 복구할 수는 없다. 취약점이 패치 되어 있고 불필요한 공유 폴더를 사용하지 않는다면 악성코드 위협으로부터 시스템은 더욱 안전해 질 수 있다. 2019년 1분기가 지난 이 시점 아직도 케케묵은 취약점을 내 시스템이 가지고 있다면 이번 기회에 보안 취약점 패치를 해보면 어떨까.​

[출처 : 안랩(((www.ahnlab.com)]