류크 랜섬웨어, 5개월간 370만 달러 갈취

류크 랜섬웨어, 5개월간 370만 달러 갈취

'류크(Ryuk)' 랜섬웨어가 지난 5개월간 몸값으로 370만달러(약 41억5000만원) 상당을 갈취한 것으로 조사됐다. 당초 예상과 달리 북한 해킹그룹과는 무관할 가능성도 제기됐다.

미국 정보보안업체 크라우드스트라이크(CrowdStrike) 조사에 따르면 '류크' 랜섬웨어는 지난해 8월 첫 등장 이래 52건의 거래에 걸쳐 705.8 비트코인(BTC)을 몸값으로 받아갔다. 현재 가치로 환산 시 피해액이 370만달러가 넘는다는 게 업체 분석이다.

'헤르메스(Hermes)' 랜섬웨어 변종으로 분류되는 '류크'는 주로 제조 분야 기업이나 인프라를 노리는 표적형 랜섬웨어다. 최근에는 지난해 마지막 주말에 미국 주요 일간지 배포를 지연시켜 화제가 됐다. 트리뷴의 인쇄·배포시스템이 공격받아 시카고트리뷴, 볼티모어선 등 소속매체뿐 아니라 LA타임즈, 뉴욕타임즈, 월스트리트저널 등도 피해를 입었다.

'류크'는 다크웹에서 300달러가량에 팔리면서 무차별 유포됐던 '헤르메스'와 다른 공격양상을 보인다. 몸값에 거액을 지출할 만한 곳을 겨냥, 주로 악성메일을 미끼로 침투하고 잠복해 지능형지속위협(APT)을 가한다. 알려진 비트코인 주소로부터 파악된 몸값 액수는 최소 1.7BTC, 최대 99BTC를 기록했다. 피해 조직 규모에 따라 몸값이 달라지는 모습이다.

그동안 '헤르메스' 랜섬웨어는 북한 해킹그룹 '라자루스(Lazarus)'에서 유포한 것으로 알려졌다. 상당부분 코드를 공유하는 '류크' 랜섬웨어 공격 또한 북한 지원 조직 소행으로 의심됐다. 그러나 최근 크라우드스트라이크는 현재까지 '류크'를 악용해온 유일한 조직인 '그림스파이더(Grim Spider)'가 러시아와 연관돼있을 것으로 분석했다. 관련 조사에서 러시아 IP주소가 나온 데 이어, 복구 과정에서 일부 파일명도 러시아어로 돼있는 것을 확인했다.

문종현 이스트시큐리티 이사는 “아직 국내에서 류크 랜섬웨어로 큰 피해를 입은 사례가 보고되진 않았으나 현 추세를 봤을 때 주의할 필요가 있다”면서 “국내 보안업계에서 랜섬웨어에 발 빠르게 대응해 소강상태인 것처럼 보일 뿐, 점점 공격이 거세지고 지능화되는 양상”이라고 말했다. 이어 “RaaS(서비스형 랜섬웨어)의 경우 제작자 추적이 현실적으로 어렵다. 보안업계 최대 고민거리 중 하나”라며 “사이버범죄 관련 국제적 공조가 예외 없이 이뤄지지 않는 이상 근본적인 해결책이 나오긴 힘들 것”이라고 덧붙였다.

팽동현기자 paing@etnews.com