[이슈분석]문종현 이스트시큐리티 이사 "랜섬웨어 위협 존재하고, 살아있다"

[이슈분석]문종현 이스트시큐리티 이사 "랜섬웨어 위협 존재하고, 살아있다"

“랜섬웨어 위협은 여전히 존재하고 살아있습니다. 올해 초와 달리 이슈에서 멀어졌지만 매일 감염피해가 보고됩니다.”

문종현 이스트시큐리티 이사(시큐리티대응센터장)는 랜섬웨어 위협은 절대 사라진 것은 아니며 오히려 경각심이 낮아져 피해가 커질 수 있다고 경고했다. 랜섬웨어는 줄지 않았다. 오히려 올해 1분기와 비교해 2분기 늘어났다. 이스트시큐리티 시큐리티대응센터(ESRC)에 따르며 알약을 통해 차단된 2분기 랜섬웨어 공격 횟수는 1분기 대비 약 20% 급증했다. 2분기 수집된 신·변종 랜섬웨어 샘플 수도 1분기와 비교해 1.5배 증가했다.

문 이사는 랜섬웨어는 세계적으로 변종을 만들고 유포되는 형태로 일부가 국내 유입된다고 설명했다. 대부분 이메일로 뿌려지고 있으며 웹사이트 취약점을 통해 침투한다.

문 이사는 “최근 공정거래위원회를 사칭한 갠드크랩 랜섬웨어 공격자는 2016년, 2017년, 2018년 꾸준히 활동했던 조직”이라면서 “최근 해당 공격자 활동이 잠잠해 졌지만 새로운 공격 방법을 들고 올 수 있다는 점을 고려해 주시한다”고 말했다.

해커 조직이 한국시장을 거대한 암시장으로 보고 있다는 설명도 덧붙였다. 러시아에서 제작한 것으로 알려진 갠드크랩 랜섬웨어는 최근 안랩이 복호툴을 배포하자 공개 협박에 나섰다. 랜섬웨어 제작자가 한국 보안 업체를 상대로 이 같은 행동을 보인 것은 이례적이라는 설명이다.

문 이사는 “랜섬웨어 제작자 도발은 복호 툴 공개 때문일 수 있지만 한국에서 랜섬웨어 배포를 통한 수익이 높지 않았다면 관심 갖지 않았을 것”이라면서 “한국을 자신의 큰 시장, 사이버 암시장으로 보는 것이 아닌지 생각하게 된다”고 덧붙였다.

랜섬웨어 종류는 한국에 알려진 것보다 많아 주의가 필요하다고 지적했다. 한국에 알려진 랜섬웨어는 갠드크랩, 매그니버, 헤르메스 정도지만 이외 'MoneroPay' 'Annabelle' 'BlackRuby' 'desuCrypt' 'Donut' 등 다양한 종류가 매 분기 새롭게 발견된다.

외국 업체와 거래하는 기업은 이메일 주소를 해외에 공개하기 때문에 해외 공격자가 이메일 주소 수집 공격 대상이다. 외국 사이트를 자주 가는 사람도 공격 대상이 된다. 누구나 피해자가 될 수 있다는 설명이다.

문 이사는 “한국에 보고된 적 없다고 해서 위험이 적은 것이 아니라 제대로 알려지지 않았을 뿐”이라면서 “랜섬웨어 관련 각 보안 업체는 자사 백신 프로그램 등을 통해 수집되는 로그, 감염자 로그를 기반으로 통계를 만들고 있기 때문에 실제 피해나 위협은 이보다 더 클 것”이라고 설명했다.

정영일기자 jung01@etnews.com