국내외에서 올해 1·4분기 동안 발견된 주요 랜섬웨어들의 유포 방식이 운영체제(OS)나 웹 서버 보안 취약점을 활용하는 등 점차 다양해진 것으로 나타났다.
특히 랜섬웨어를 제작대행해주는 업체들도 생겨나 이용자들의 주의가 요구되고 있다.
사이버 보안업체 안랩은 올해 1·4분기 국내 및 해외에서 발견된 주요 랜섬웨어 13종의 특징과 흐름을 분석해 이같은 내용의 '1·4분기 랜섬웨어 트렌드'를 6일 발표했다.
랜섬웨어의 주요 트렌드는 랜섬웨어 유포방법의 '다양화', 유포 파일 형태 '확대', 랜섬웨어의 '서비스화' 등으로 좁혀진다는 설명이다.
PC나 모바일 이용자의 주요 자료와 사진 등의 파일을 암호화시켜 '인질'로 잡아 이를 잠금해제 하는 조건으로 금품을 요구하는 악성코드인 랜섬웨어는 최근 들어 급증하는 추세다.
일단 랜섬웨어는 과거 e메일 첨부파일·메신저 전파 등 고전 기법으로 유포되는 것에서 벗어나 각종 응용프로그램과 OS, 웹 취약점, 토렌트 등으로 유포되고 있다.
1·4분기에는 국내외 웹 사이트와 연계돼 동작하는 광고 사이트의 정상적인 네트워크를 악용하는 멀버타이징(Malvertising)과 사용자의 PC가 직접 서버가 돼 사용자끼리 파일을 공유하는 토렌트 서비스를 악용해 감염 효과를 노리는 시도가 발견됐다.
유포 파일 형태도 확대되는 추세다. 초기 랜섬웨어는 문서파일(.doc, .pdf)로 위장하거나, 화면 보호기 파일(.scr)로 유포됐지만 최근에는 매크로와 자바스크립트 등을 활용하는 수준으로 확돼됐다.
최근 이슈가 된 록키(locky) 랜섬웨어는 미국, 일본, 중국 등 해외에서 온 송장(invoice), 지급(Payment) 등을 위장한 정상 문서파일에 악성 매크로를 포함시켜 실행을 유도했다.
랜섬웨어의 '서비스화'도 포착됐다. 랜섬웨어를 제작해 배포하려는 사람을 대행해 랜섬웨어를 제작해주는 'RaaS(Ransomware as a service)'가 등장했다.
이 제작자들은 랜섬웨어의 전파, 감염 현황에 대한 정보를 제공하기도 한다.
또 감염자를 대상으로 현재 상황과 입금방법을 상담하는 '라이브챗' 기능을 탑재한 랜섬웨어도 등장했다. 이외에 디자인도 정식 서비스처럼 수준높게 구성해 피해자가 마치 '피해 구제 서비스'를 받는 것처럼 착각하게 한 랜섬웨어들도 있었다.
안랩 ASEC대응팀 박태환 팀장은 "2013년부터 미국, 중국, 일본, 독일, 영국 등 글로벌 지역에서 피해를 기록한 랜섬웨어는 점점 버전 업그레이드나 다른 영역과 제휴를 하는 등 나름의 실적을 위한 '서비스 체계'를 갖춰가고 있다"며 "앞으로 랜섬웨어는 더욱 교묘해지고 고도화할 가능성이 높아 법인 및 개인 사용자들의 주의가 필요하다"고 말했다.
hjkim01@fnnews.com 김학재 기자
※ 저작권자 ⓒ 파이낸셜뉴스, 무단전재-재배포 금지